1. A l’efecte de demostrar la conformitat amb determinats requisits que s’estableixen en aquesta Llei, les autoritats nacionals competents podran exigir a les entitats essencials i importants, o a categories d’entitats essencials o importants, del seu àmbit de competència, que certifiquin determinats productes, serveis i processos de TIC en virtut d’un esquema de certificació de la ciberseguretat específic adoptat reglamentàriament. Els productes, serveis o processos objecte de la certificació poden ser desenvolupats per l’entitat essencial o important o adquirits a tercers.
2. Igualment, una vegada s’hagi establert reglamentàriament un esquema de certificació d’un àmbit de la ciberseguretat, les autoritats nacionals competents podran emetre un certificat en relació amb el dit àmbit per aquelles entitats essencials o importants que acrediten el compliment de les obligacions de seguretat de les infraestructures crítiques, les xarxes i els sistemes d’informació corresponents.