1. Al fine di dimostrare il rispetto di determinati obblighi di cui all'articolo 24, l'Autorita' nazionale competente NIS, secondo le modalita' di cui all'articolo 40, comma 5, puo' imporre ai soggetti essenziali e ai soggetti importanti di utilizzare categorie di prodotti TIC, servizi TIC e processi TIC, di cui, rispettivamente, all'articolo 2, comma 1, lettere ff), gg) e hh), sviluppati dal soggetto essenziale o importante o acquistati da terze parti, che siano certificati nell'ambito dei sistemi europei di certificazione della cybersicurezza di cui all'articolo 49 del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019. L'Autorita' nazionale competente NIS promuove, altresi', l'utilizzo di servizi fiduciari qualificati da parte dei soggetti essenziali e dei soggetti importanti.
2. Nelle more dell'adozione di pertinenti sistemi europei di certificazione della cybersicurezza di cui all'articolo 49 del regolamento (UE) 2019/881, l'Autorita' nazionale competente NIS, secondo le modalita' di cui all'articolo 40, comma 5, puo' imporre ai soggetti essenziali e ai soggetti importanti di utilizzare categorie di prodotti TIC, servizi TIC e processi TIC, sviluppati dal soggetto essenziale o importante o acquistati da terze parti, che siano certificati nell'ambito di schemi di certificazione riconosciuti a livello nazionale o europeo.