Llei de mesures per a la seguretat de les xarxes i dels sistemes d'informació

a) Els requisits per a la protecció dels serveis essencials i dels serveis importants, les obligacions de gestió de riscos i d’incidents de ciberseguretat per part de les entitats prestadores d’aquests serveis, i els mecanismes de supervisió del seu compliment, inclòs un sistema de notificació d’incidències;

b) L’obligació de les autoritats nacional competents d’identificar les entitats crítiques i les entitats que han de ser tractades com a equivalents a entitats crítiques en certs aspectes, perquè sense prestar els serveis essencials elles mateixes sí que poden impactar-los;

c) L’obligació de les entitats crítiques d’adoptar determinades mesures, establertes reglamentàriament, destinades a garantir la prestació de serveis essencials;

d) Un marc per a l’elaboració d’un catàleg nacional d’entitats essencials per a la seguretat de les xarxes i dels sistemes d’informació; i.

e) Un marc institucional per a l’aplicació de l’Estratègia Nacional de Seguretat de les xarxes i dels sistemes d’informació.

a) els serveis siguin prestats per una de les següents tipologies d’entitats incloses en el sector d’infraestructures digitals de l’Annex I:i. xarxes públiques de comunicacions electròniques o serveis de comunicacions electròniques disponibles per al públic,ii. proveïdors de serveis de confiança, iiii. registres de noms de domini de primer nivell i proveïdors de serveis de sistema de noms de domini (DNS).

b) l’entitat sigui una entitat de l’administració pública tal com es defineix a l’article 3.12;

c) l’entitat sigui l’únic prestador d’un servei al Principat d’Andorra;

d) una possible pertorbació del servei prestat per l’entitat pogués tenir repercussions sobre la seguretat pública, l’ordre públic o la salut pública;

e) una possible pertorbació del servei proveït per l’entitat pogués induir riscos sistèmics, en particular per als sectors en els quals tal pertorbació podria tenir repercussions de caràcter transfronterer;

f) l’entitat sigui crítica en vista de la seva importància específica a nivell nacional o comunal per al sector o tipus de servei en concret o per a altres sectors interdependents al Principat d’Andorra; o.

g) l’entitat s’identifiqui com a entitat crítica o com una entitat equivalent a una entitat crítica reglamentàriament.

a) s’ha creat per satisfer necessitats d’interès general i no té caràcter industrial o mercantil;

b) està dotada de personalitat jurídica;

c) està majoritàriament finançada pel Govern d’Andorra, els Comuns o entitats de dret públic; o bé, la gestió de la qual es troba sotmesa a un control per part d’aquestes administracions o entitats; o els òrgans d’administració, de direcció o de supervisió de la qual estan composats per membres que, més de la meitat són nomenats pel Govern d’Andorra, els Comuns o entitats de dret públic; i.

d) presta un servei públic.Queden excloses les entitats de l’administració pública que realitzen activitats en els àmbits de la seguretat pública, la policia, la defensa o la seguretat nacional.

l) i d’emmagatzematge de dades i que es transmet, canalitza i rep completament per fils, ràdio, mitjans òptics o qualsevol altre mitjà electromagnètic.

a) Xarxa de comunicacions electròniques, consistent en sistemes de transmissió i, quan sigui procedent, equips de commutació o encaminament i altres recursos, inclosos els elements de xarxa que no són actius, que permetin el transport de senyals mitjançant cables, ones hertzianes, mitjans òptics o altres mitjans electromagnètics amb inclusió de les xarxes de satèl·lits, xarxes terrestres fixes (de commutació de circuits i de paquets, inclòs Interne.

t) i mòbils, sistemes de línia elèctrica, en la mesura que s’utilitzin per a la transmissió de senyals, xarxes utilitzades per a la radiodifusió sonora i televisiva, i xarxes de televisió per cable, amb independència del tipus d’informació transportada;

b) Tot dispositiu o grup de dispositius interconnectats o relacionats entre si en què un o diversos d’ells realitzen, mitjançant un programari, el tractament automàtic de dades digitals; o.

c) Dades digitals emmagatzemades, tractades, recuperades o transmeses mitjançant elements previstos a les lletres anteriors, per al seu funcionament, utilització, protecció i manteniment.

a) Una definició dels objectius i les prioritats de l’Estratègia Nacional de Ciberseguretat del Principat d’Andorra.

b) Un marc de governança per aconseguir aquests objectius i prioritats, incloses les polítiques a què es refereix l’apartat 2 i les funcions i responsabilitats de les administracions públiques i les entitats de l’administració pública i d’altres actors pertinents.

c) Una avaluació per determinar els actius pertinents i els riscos de ciberseguretat.

d) Una determinació de les mesures per garantir la preparació, resposta i recuperació enfront d’incidents, inclosa la cooperació entre els sectors públic i privat.

e) Un llistat dels diversos actors i autoritats que participen en l’execució de l’Estratègia Nacional de Ciberseguretat del Principat d’Andorra.

f) Un marc polític per a la coordinació reforçada entre les autoritats competents en virtut d’aquesta Llei a l’efecte de l’intercanvi d’informació sobre incidents i ciberamenaces i l’exercici de les tasques de supervisió i sanció.

g) Una estratègia per reforçar la resiliència de les entitats crítiques que inclogui, com a mínim:i. Objectius estratègics i prioritats per tal de millorar la resiliència general de les entitats crítiques, tenint en compte les interdependències transfrontereres i intersectorials.ii. Un marc de governança per assolir els objectius estratègics i les prioritats, inclosa una descripció dels rols i les responsabilitats de les autoritats nacionals competents designades en aquesta Llei, entitats crítiques i altres parts implicades en la implementació de l’estratègia.iii. Una descripció de les mesures necessàries per millorar la resiliència general de les entitats crítiques, inclosa una avaluació del risc nacional, la identificació d’entitats crítiques i d’entitats equivalents a entitats crítiques i les mesures de suport a les entitats crítiques; iiv. Un marc de polítiques per a una coordinació millorada entre les autoritats nacionals competents designades en aquesta Llei a l’efecte de l’intercanvi d’informació sobre incidents i ciberamenaces i l’exercici de tasques de supervisió.

a) Un Esquema Nacional de Seguretat constituït pels principis bàsics i requisits mínims necessaris per a una protecció adequada de la informació tractada i els serveis prestats per les entitats essencials i les entitats importants, així com per les entitats que els prestin serveis o els proveeixin solucions per als seus serveis essencials o importants i les seves respectives cadenes de subministrament, amb l’objectiu d’assegurar l’accés, la confidencialitat, la integritat, la traçabilitat, l’autenticitat, la disponibilitat i la conservació de les dades, les informacions i els serveis utilitzats en mitjans electrònics que gestionin per la prestació dels serveis essencials o importants, i sense perjudici que pogués resultar necessari complementar les mesures de seguretat previstes en aquest esquema amb altres mesures específiques que puguin derivar-se dels compromisos internacionals contrets pel Principat d’Andorra o la seva pertinença a organismes o fòrums internacionals en la matèria.Aquest Esquema Nacional de Seguretat podrà estendre’s a totes les entitats de l’administració pública, i contindrà, com a mínim:i. Una política per abordar la ciberseguretat en la cadena de subministrament de productes i serveis de TIC utilitzats per les entitats essencials o les entitats importants per a la prestació dels seus serveis;ii. Directrius relatives a la inclusió i l’especificació dels requisits en matèria de ciberseguretat aplicables als productes i serveis de TIC en la contractació pública;iii. Una política per promoure i facilitar una divulgació coordinada de les vulnerabilitats;iv. Una política orientada a mantenir la disponibilitat general i la integritat del nucli públic de la Internet oberta;v. Una política sobre la promoció i el desenvolupament de capacitats de ciberseguretat, incloent la conscienciació i iniciatives de recerca i desenvolupament;vi. Una política destinada a donar suport a les institucions acadèmiques i de recerca perquè desenvolupin eines de ciberseguretat i infraestructures de xarxa segures;vii. Les polítiques, els procediments pertinents i les eines apropiades per compartir informació per facilitar i promoure l’intercanvi voluntari d’informació sobre ciberseguretat entre les empreses; iviii. Una política que englobi les necessitats específiques de les petites i mitjanes empreses, especialment d’aquelles que es troben excloses de l’àmbit d’aplicació d’aquesta Llei, pel que fa a orientacions i suport per millorar la seva resiliència enfront de les amenaces de ciberseguretat.

b) Un Reglament d’Infraestructures Crítiques per a la protecció i el reforç de la resiliència de les infraestructures crítiques que contindrà, com a mínim:i. Procediments per a la identificació i designació d’infraestructures crítiques per al Principat d’Andorra;ii. Les condicions per a la creació d’un Catàleg Nacional d’Infraestructures Crítiques, que ha d’aglutinar totes les dades i la valoració de la criticitat de les citades infraestructures i que serà emprat com a base per planificar les actuacions necessàries en matèria de seguretat i protecció d’aquestes, en nodrir-se de les aportacions dels propis operadors;iii. La regulació d’instruments de planificació per a la protecció de les infraestructures crítiques de les entitats essencials i les entitats importants;iv. Les obligacions per a les entitats crítiques, incloent-hi els requisits de seguretat de les comunicacions, amb la finalitat d’augmentar la seva resiliència i millorar la seva capacitat per proveir els seus serveis al Principat d’Andorra; iv. Les normes sobre supervisió d’entitats crítiques i l’aplicació d’obligacions a les mateixes.

a) Determinarà les capacitats, els actius i els procediments que es poden desplegar en cas que es produeixi una crisi a l’efecte d’aquesta Llei; i.

b) Desenvoluparà un Pla nacional de resposta a incidents i crisis de ciberseguretat, en un termini màxim de nou mesos des de l’entrada en vigor d’aquesta Llei, on es fixaran els objectius i les modalitats de la gestió dels incidents i les crisis de ciberseguretat, que ha de contenir almenys els següents aspectes:i. Els objectius de les mesures i activitats nacionals en matèria de preparació;ii. Les tasques i responsabilitats de les autoritats nacionals competents d’acord amb el que es preveu en aquesta Llei;iii. Els procediments de gestió de crisis i els canals per a l’intercanvi d’informació;iv. Les mesures de preparació, inclosos els exercicis i les activitats de formació;v. Les parts interessades pertinents, tant públiques com privades, i la infraestructura implicada; ivi. Els procediments i mecanismes nacionals entre l’ANC-AD, el CSIRT-AD i altres autoritats o organismes nacionals pertinents per garantir la participació efectiva del Principat d’Andorra en la gestió coordinada d’incidents i crisis de ciberseguretat.

a) Coordinarà la creació i el manteniment del marc estratègic de seguretat de les xarxes i dels sistemes d’informació descrit a l’article 4.

b) Establirà una llista de serveis essencials i serveis importants en els sectors a què es refereixen l’Annex I i l’Annex II. Aquesta llista s’ha de dur a terme en un termini màxim de sis mesos després de l’entrada en vigor d’aquesta Llei. Posteriorment, quan sigui necessari, i almenys una primera vegada en un termini màxim de divuit mesos després de l’entrada en vigor d’aquesta Llei i a partir d’aquell moment cada quatre anys i cada vegada que l’ANC-AD actualitzi la llista, realitzarà una avaluació de tots els riscos rellevants que puguin afectar a la prestació d’aquests serveis essencials, amb la finalitat d’identificar entitats crítiques i entitats equivalents a entitats crítiques i ajudar-les a prendre mesures d’acord amb l’establert a l’article 12.L’avaluació del risc:i. Haurà de tenir en compte tots els riscos naturals i els originats per l’home, inclosos els accidents, els desastres naturals, les emergències de salut pública, i les amenaces antagòniques, inclosos els delictes de terrorisme.ii. Els elements rellevants de l’avaluació del risc hauran de posar-se a disposició de les entitats crítiques que s’identifiquin d’acord amb l’establert a l’article 11, per ajudar-les a dur a terme la seva avaluació de riscos d’acord amb l’establert a l’article 13 i a prendre mesures per garantir la seva resiliència d’acord amb l’establert a l’article 12.

c) Donarà suport a les entitats que es troben dins de l’àmbit d’aplicació d’aquesta Llei per millorar la seva ciberseguretat i resiliència. Aquest suport pot incloure, a títol informatiu i no limitatiu:i. El desenvolupament de materials i metodologies d’orientació;ii. Donar suport a l’organització d’exercicis per comprovar la seva seguretat i resiliència;iii. Proporcionar formació al seu personal; iiv. Establir eines per donar suport a l’intercanvi voluntari d’informació entre entitats i per resoldre qüestions en relació amb aquesta Llei.

d) Adoptarà actes d’execució per establir les especificacions tècniques i metodològiques necessàries relatives a l’aplicació de les mesures esmentades a l’article 12.2.

e) Establirà procediments per a l’expedició, la revisió periòdica i la retirada de certificacions, segells i marques que acrediten el compliment de les obligacions de seguretat en les xarxes i en els sistemes d’informació.

f) Establirà procediments i estructures per tramitar les reclamacions relatives a infraccions de la certificació o a la manera en què una entitat aplica o ha aplicat la certificació, i per fer que aquests procediments i estructures siguin transparents per al públic.

a) Cooperar amb l’ANC-AD en tot allò que aquesta li demani en relació amb aquesta Llei.

b) Supervisar les ciberamenaces, les vulnerabilitats i els incidents a escala nacional.

c) Difondre alertes imminents, avisos i informacions sobre les ciberamenaces, les vulnerabilitats i els incidents entre les entitats essencials i importants i altres parts interessades corresponents.

d) Proporcionar a les entitats que notifiquin incidents, informació rellevant sobre el seguiment de la notificació de què es tracti, inclosa informació que pugui donar suport a la resposta efectiva de l’entitat a l’incident.

e) Respondre a incidents.

f) Notificar a l’ANC-AD els incidents notoris que es presentin en el marc d’aquesta Llei.

g) Efectuar anàlisis dinàmiques de riscos i d’incidents i de coneixement de la situació en matèria de ciberseguretat.

h) Realitzar, a petició d’entitats, exploracions proactives de la seguretat de les infraestructures crítiques i de les xarxes i els sistemes d’informació utilitzats en la prestació dels serveis essencials o que puguin afectar a serveis essencials per al Principat d’Andorra o altres països.

i) Coordinar-se amb els organismes competents a través dels protocols d’actuació per a l’acompliment d’aquesta Llei que, si escau, es poden desplegar reglamentàriament.

j) Elaborar i fomentar l’adopció i la utilització de pràctiques comunes o normalitzades, sistemes de classificació i taxonomies relatius a:i. Procediments de gestió d’incidents;ii. Gestió de crisis de ciberseguretat; iiii. Divulgació de vulnerabilitats.

a) El nom de l’entitat i, si escau, del seu representant;

b) L’adreça del seu establiment principal i de la resta dels seus establiments legals al Principat d’Andorra o, de no estar establerta al Principat d’Andorra, del seu representant designat en virtut de l’establert a l’article 19; i.

c) Les dades de contacte actualitzades, en particular les adreces de correu electrònic i els números de telèfon de les entitats.

a) Evitar que es produeixin incidents, fins i tot mitjançant mesures de reducció del risc de desastres i d’adaptació climàtica;

b) Garantir una protecció física adequada de les zones, instal·lacions i altres infraestructures sensibles, incloses les tanques, les barreres, les eines i les rutines de control perimetral, així com els equips de detecció i els controls d’accés;

c) Resistir i mitigar les conseqüències dels incidents, inclosa la implementació de procediments i protocols de gestió de riscos i crisis i rutines d’alerta;

d) Recuperar-se dels incidents, incloses les mesures de continuïtat del negoci i la identificació de cadenes de subministrament alternatives;

e) Garantir una gestió adequada de la seguretat dels empleats, inclòs l’establiment de categories de personal que exerceixen funcions crítiques degut als seus drets d’accés a zones, instal·lacions i altres infraestructures sensibles i a informació sensible, sobre les quals cal presentar a l’autoritat nacional competent un informe que inclogui:i. La identitat de la persona establerta sobre la base de proves documentals;ii. Qualsevol antecedent penal d’almenys els cinc anys anteriors, i durant un màxim de deu anys, sobre delictes rellevants per a la contractació en un lloc específic, al Principat d’Andorra o tercers països de residència durant aquest període de temps;iii. Ocupacions anteriors, formació i qualsevol manca de formació o ocupació al currículum de la persona durant, com a mínim, els cinc anys anteriors i durant un màxim de deu anys; iiv. Qualsevol altra informació objectiva disponible que pugui ser necessària per determinar la idoneïtat de la persona interessada per treballar en el lloc en relació amb el qual l’entitat crítica ha sol·licitat informació.

f) Sensibilitzar el personal pertinent sobre les mesures esmentades en les lletres a) a e).

a) Anàlisi i gestió de riscos.

b) Gestió de riscos de tercers o proveïdors.

c) Catàleg de mesures de seguretat, organitzatives, tecnològiques i físiques.

d) Gestió del personal i professionalitat.

e) Adquisició de productes o serveis de seguretat.

f) Detecció i gestió d’incidents.

g) Plans de recuperació i assegurament de la continuïtat de les operacions.

h) Millora contínua.

i) Interconnexió de sistemes.

j) Registre de l’activitat dels usuaris.

a) La mesura en què les entitats essencials i importants utilitzen serveis, sistemes o productes de TIC crítics i depenen d’ells;

b) La importància de serveis, sistemes o productes de TIC crítics específics per exercir funcions crítiques o sensibles, en particular el tractament de dades personals;

c) La disponibilitat de serveis, sistemes o productes de TIC alternatius;

d) La resiliència de la cadena de subministrament global de serveis, sistemes o productes de TIC enfront de les pertorbacions; i.

e) En el cas dels serveis, sistemes o productes de TIC emergents, el pes que poden tenir en el futur per a les activitats de les entitats.

a) La política de seguretat de les infraestructures crítiques, les xarxes i els sistemes d’informació necessaris per a la prestació de serveis essencials o importants;

b) La política de gestió de riscos;

c) La gestió d’incidents (prevenció, detecció i resposta a incidents);

d) La continuïtat de les activitats i la gestió de crisis;

e) La seguretat de la cadena de subministrament, inclosos els aspectes de seguretat relatius a les relacions entre cada entitat i els seus proveïdors o prestadors de serveis com, per exemple, proveïdors de serveis d’emmagatzematge i transformació o anàlisi de dades o de serveis de seguretat administrada;

f) La seguretat en l’adquisició, el desenvolupament i el manteniment d’infraestructures crítiques, xarxes i sistemes d’informació, inclosa la gestió i divulgació de les vulnerabilitats;

g) Les polítiques i els procediments (assaig i auditori.

a) per avaluar l’eficàcia de les mesures per a la gestió de riscos de ciberseguretat; i.

h) La utilització de criptografia i xifratge.

a) Gestionar i resoldre els incidents de seguretat que afectin les infraestructures crítiques, les xarxes o els sistemes d’informació utilitzats per prestar els seus serveis essencials o importants.Si es tracta d’infraestructures, xarxes o sistemes externs s’ha de garantir que els proveïdors externs compleixen amb l’aplicació de les mesures necessàries per garantir la seguretat.

b) Sol·licitar opinió o suport especialitzat al CSIRT-AD per fer front als incidents, vulnerabilitats o ciberamenaces sorgides i, en tot cas, atendre a les indicacions rebudes per part del CSIRT-AD per resoldre els riscos, mitigar-ne els efectes i reposar els sistemes afectats.En aquest supòsit, les indicacions emeses pel CSIRT-AD per mitigar els efectes i reposar els sistemes afectats són d’aplicació vinculant.

c) Aplicar la seva política de gestió de la seguretat de les infraestructures crítiques, les xarxes i els sistemes d’informació davant del sorgiment de qualsevol incident que afecti la prestació dels seus serveis essencials i importants, així com el conjunt d’obligacions i recomanacions emeses per l’autoritat nacional competent o el CSIRT-AD.

a) L’incident ha causat o pot causar pertorbacions operatives o perjudicis econòmics substancials per a l’entitat afectada; o.

b) L’incident ha afectat o pot afectar altres persones físiques o jurídiques en causar perjudicis materials o morals considerables en relació amb:i. El nombre d’usuaris afectats per la pertorbació del servei essencial i la seva quota de mercat.ii. La duració de l’incident.iii. La no disponibilitat d’alternatives per mantenir un nivell suficient de prestació del servei.iv. L’extensió o àrees geogràfiques afectades o que puguin quedar afectades per l’incident.v. El grau de pertorbació del funcionament del servei.vi. L’abast de l’impacte en activitats econòmiques i socials crucials.vii. La importància dels sistemes afectats o de la informació afectada per l’incident per a la prestació del servei essencial.viii. La dependència d’altres sectors estratègics respecte del servei i la repercussió, en termes de grau i durada, de l’incident en les activitats socials i econòmiques o en la seguretat pública.ix. El dany a la reputació.Reglamentàriament es poden afegir factors específics del sector per determinar si un incident pot tenir efectes pertorbadors significatius.

a) Una notificació inicial sense demora indeguda i en qualsevol cas en el termini de vint-i-quatre hores des que s’hagi tingut constància de l’incident, en la qual s’indicarà, quan s’escaigui, si cal suposar que l’incident respon a una acció il·lícita o malintencionada;b)Totes aquelles notificacions intermitges que resultin precises o sol·liciti el CSIRT-AD per actualitzar o completar la informació inclosa en la notificació inicial i informar sobre l’evolució de l’incident mentre aquest no es trobi resolt; i.

c) Un informe final, a tot tardar un mes després de presentar la notificació inicial prevista a la lletra a), en la qual s’hi recullin almenys els següents elements:i. una descripció detallada de l’incident, la seva gravetat i el seu impacte;ii. el tipus d’amenaça o causa principal que probablement va desencadenar l’incident; iiii. les mesures de mitigació aplicades i en curs.

a) Entre les entitats essencials o importants i l’ANC-AD, el CSIRT-AD o les autoritats nacionals competents.

b) Entre el CSIRT-AD i l’ANC-AD.

c) Entre el CSIRT-AD i altres CSIRT designats internacionalment.

d) Entre l’ANC-AD i altres autoritats competents internacionals.

e) Entre les autoritats nacionals competents i l’ANC-AD.

f) Entre les autoritats nacionals competents i el CSIRT-AD.

a) Elaborar i proposar, de conformitat amb el que estableix l’article 12, polítiques de seguretat, incloent una proposta de mesures tècniques i organitzatives, adequades i proporcionades, per prevenir i gestionar els possibles riscos relatius a la seguretat de les infraestructures crítiques, les xarxes, i els sistemes d’informació necessaris per proveir els serveis essencials o importants, per així reduir al mínim els efectes dels ciberincidents que afectin els dits serveis.

b) Elaborar el document de declaració d’aplicabilitat de mesures de seguretat en relació amb l’Esquema Nacional de Seguretat del Principat d’Andorra.

c) Supervisar l’aplicació de les polítiques de seguretat, protocols i procediments en l’entitat, supervisar-ne la seva efectivitat i establir períodes de control.

d) Fomentar la formació i l’aplicació de bones pràctiques en seguretat de les infraestructures crítiques, les xarxes, i els sistemes d’informació necessaris per proveir els serveis essencials o importants que ofereix l’entitat que els va designar com a DSI.

e) Remetre al CSIRT-AD, que al seu torn informa a l’autoritat nacional competent, sense dilació indeguda, les notificacions d’incidents, vulnerabilitats o ciberamences que tinguin efectes pertorbadors en la prestació dels serveis essencials o importants.

f) Rebre, interpretar, supervisar i transmetre l’aplicació de les instruccions i guies emanades de l’autoritat nacional competent o del CSIRT-AD.

g) Recopilar, preparar i subministrar informació o documentació a l’autoritat nacional competent o al CSIRT-AD quan així ho sol·licitin o per iniciativa pròpia.

h) Intercanviar informació sobre ciberseguretat pertinent directament amb els DSI d’altres entitats essencials i importants autoritzades per l’entitat que l’ha nomenat, o mitjançant els canals de comunicació que l’ANC-AD pugui establir a tal efecte, i en particular, informació referent a ciberamenaces, vulnerabilitats, indicadors de compromís, declaracions d’aplicabilitat, tàctiques, tècniques i procediments, alertes de ciberseguretat i eines de configuració, sempre que aquest intercanvi d’informació:i. es faci amb l’objectiu de prevenir les possibles ciberamenaces, descoratjar-les, detectar-les, i respondre o mitigar els incidents;ii. reforci el nivell de ciberseguretat, en particular, en conscienciar sobre les ciberamenaces, limiti o impedeixi la capacitat de tals amenaces per propagar-se, o recolzi una bateria de capacitats de defensa, correcció i divulgació de les vulnerabilitats, tècniques de detecció d’amenaces, estratègies de mitigació o etapes de resposta i recuperació. Aquest intercanvi es posarà en pràctica mitjançant mecanismes d’intercanvi d’informació que respectin la possible naturalesa delicada de la informació compartida, i amb el que pugui establir-se reglamentàriament.

a) Sigui una persona o un grup de persones amb coneixements especialitzats i amb experiència en matèria de ciberseguretat, tant des del punt de vista organitzatiu com des del tècnic i jurídic, en virtut de les funcions assignades a l’apartat 6.

b) Se li garanteixen els recursos necessaris per a l’exercici de les seves funcions.

c) Se li atorgui una posició dins de l’organització de l’entitat que faciliti l’exercici de les seves funcions per poder participar de manera adequada, i en temps oportú, en totes les qüestions relatives a la seguretat, així com el manteniment d’una comunicació real i efectiva amb l’alta direcció.

d) S’asseguri la seva independència respecte dels responsables de les infraestructures crítiques, les xarxes i els sistemes d’informació del seu àmbit de treball.

a) Controlar el compliment de les normes i instruccions tècniques que, si escau, siguin aplicables a les entitats subjectes a la seva supervisió.

b) Verificar el compliment de les funcions del DSI designat en les entitats de serveis essencials i importants.

c) Fer les inspeccions, comprovacions, proves i revisions necessàries per verificar el compliment de les mesures de seguretat previstes en aquesta Llei i, en particular, de l’aplicabilitat de la política de seguretat de les entitats i l’aplicació de les pertinents mesures de seguretat.

a) Inspeccionsin situi supervisió a distància, incloent controls aleatoris;

b) Auditories periòdiques;

c) Auditories de seguretat específiques basades en avaluacions de riscos o en informació disponible sobre riscs;

d) Anàlisis de seguretat a través de criteris d’avaluació de riscs objectius, no discriminatoris, justos i transparents;

e) Sol·licituds de tota la informació necessària per avaluar les mesures de ciberseguretat adoptades per l’entitat, en particular les polítiques de ciberseguretat documentades, així com el compliment del procediment de notificació previst en aquesta Llei, si és necessari;

f) Sol·licituds d’accés a dades, documents o qualsevol informació necessària per al desenvolupament de les seves funcions de supervisió; i.

g) Sol·licituds de tota mena de proves necessàries per acreditar l’aplicació de les polítiques de ciberseguretat. Respecte a les lletres e), f) i g), en tot moment l’autoritat nacional competent ha d’indicar la finalitat de la sol·licitud i especificar la informació requerida.

a) Advertir a les entitats per l’incompliment de les obligacions establertes en aquesta Llei.

b) Emetre instruccions vinculants perquè les entitats corregeixin les deficiències detectades o les infraccions de les obligacions establertes en aquesta Llei.

c) Exigir a les entitats que posin fi a les conductes que incompleixen les obligacions establertes en aquesta Llei i que s’abstinguin a repetir-les.

d) Exigir a les entitats que adeqüin les seves mesures de gestió de riscos o obligacions de notificació a l’establert en el capítol primer d’aquest Títol.

e) Ordenar a les entitats que informin les persones físiques o jurídiques a les quals presten serveis que es poden veure afectades per una ciberamenaça significativa i de les corresponents mesures correctores o de protecció que les dites persones poden adoptar en resposta a l’amenaça.

f) Ordenar a les entitats l’aplicació, en un termini raonable, de les recomanacions formulades després d’haver realitzat una auditoria de seguretat.

g) Designar a un responsable de supervisió per dur a terme unes funcions clarament definides i perquè supervisi, durant un període determinat, el compliment de les seves obligacions previstes al Títol III.

h) Ordenar a les entitats que facin públics d’una forma concreta els incompliments de les obligacions establertes en aquesta Llei.

i) Emetre comunicats públics en els quals s’identifiqui a les persones físiques i jurídiques responsables d’incompliments d’obligacions establertes en aquesta Llei i la naturalesa dels dits incompliments.

j) Imposar, en el cas de l’ANC-AD, o sol·licitar la imposició per part de l’ANC-AD, en el cas de l’AFA, d’una multa administrativa de conformitat amb el previst al Títol IV, a títol addicional o substitutiu de les mesures referides a les lletres a) a i) d’aquest apartat, en funció de les circumstàncies de cada cas particular.

a) Suspendre la certificació de compliment;

b) Imposar una prohibició temporal sobre qualsevol persona física que exerceixi responsabilitats de direcció o representació legal de l’entitat essencial, i de qualsevol altra persona física responsable de l’incompliment, d’exercir les funcions de direcció en aquesta entitat. Aquestes suspensions o prohibicions romanen fins que l’entitat referida adopti les mesures necessàries per resoldre les deficiències o compleixi els requisits de l’autoritat nacional competent que hagi aplicat la suspensió o prohibició de què es tracti.

a) La gravetat de l’incompliment i la importància de les obligacions infringides, i en especial les classificades com a greus i molt greus d’acord amb l’article 34;

b) La durada de l’incompliment, en particular si hi ha hagut incompliments reiterats;

c) Els perjudicis o les pèrdues reals originats, o els perjudicis o les pèrdues que podrien haver-se originat, en la mesura en què puguin determinar-se i tot tenint en compte, entre d’altres, les pèrdues financeres o econòmiques reals o potencials, els efectes per a altres serveis i el nombre d’usuaris afectats o potencialment afectats;

d) La intencionalitat o negligència en la infracció;

e) Les mesures adoptades per l’entitat per prevenir o reduir els perjudicis o les pèrdues;

f) L’adhesió a codis de conducta o a mecanismes de certificació aprovats; i.

g) El grau de cooperació de les persones físiques o jurídiques responsables amb les autoritats nacionals competents.

a) Inspeccionsin situi supervisióa posteriori;

b) Auditories de seguretat específiques basades en avaluacions de riscos o en la informació disponible sobre els riscos;

c) Anàlisis de seguretat basades en criteris d’avaluació de riscs objectius, justos i transparents;

d) Sol·licituds de tota informació necessària per avaluara posterioriles mesures de ciberseguretat, en particular les polítiques de ciberseguretat documentades, així com el compliment de les obligacions de notificar incidents a l’autoritat nacional competent; i.

e) Sol·licitar l’accés a dades o qualsevol informació necessària per al correcte desenvolupament de funcions de supervisió. Respecte a les lletres d) i e), en tot moment, l’autoritat nacional competent ha d’indicar la finalitat de la sol·licitud i especificar la informació requerida.

a) Advertir a les entitats per l’incompliment de les obligacions establertes en aquesta Llei.

b) Emetre instruccions vinculants perquè les entitats resolguin les deficiències detectades o les infraccions de les obligacions establertes en aquesta Llei.

c) Exigir a les entitats que posin fi a les conductes que incompleixen les obligacions establertes en aquesta Llei i que s’abstinguin a repetir-les;

d) Exigir a les entitats que adeqüin les seves mesures de gestió de riscos o obligacions de notificació a l’establert al Títol III.

e) Ordenar a les entitats que informin les persones físiques o jurídiques a les quals els presten serveis que es poden veure afectades per una ciberamenaça significativa i de les corresponents mesures correctores o de protecció que les persones afectades poden adoptar en resposta a l’amenaça.

f) Ordenar a les entitats l’aplicació, en un termini raonable, de les recomanacions formulades després d’haver realitzat una auditoria de seguretat.

g) Designar un responsable de supervisió per dur a terme unes funcions clarament definides i perquè supervisi, durant un període determinat, el compliment de les obligacions previstes en el Títol III.

h) Ordenar a les entitats que facin públics d’una forma concreta els incompliments de les obligacions establertes en aquesta Llei.

i) Emetre comunicats públics en els quals s’identifiqui a les persones físiques i jurídiques responsables d’incompliments d’obligacions establertes en aquesta Llei i la naturalesa dels dits incompliments.

j) Imposar o sol·licitar la imposició d’una multa administrativa de conformitat amb l’establert al Títol IV, a títol addicional o substitutiu de les mesures referides en les lletres a) a i) d’aquest apartat, en funció de les circumstàncies de cada cas particular.

a) Establir una llista de les entitats identificades a l’empara dels punts b) a f) de l’article 2.2 en el termini de sis mesos a comptar de la data d’entrada en vigor d’aquesta Llei, la qual revisarà periòdicament, almenys cada dos anys, i actualitzarà quan s’escaigui.

b) Crear i mantenir un registre d’entitats essencials i importants.

c) Notificar, sense dilació indeguda, a les agències de ciberseguretat existents en altres països qualsevol incident o ciberamenaça que tingui un impacte transfronterer o els pugui perjudicar o afectar de qualsevol altra forma i el seu nivell es consideri significatiu d’acord amb l’establert a l’article 15.

d) Cooperar, en l’àmbit d’aplicació d’aquesta Llei, amb l’Agència Andorrana de Protecció de Dades (APDA) i les autoritats públiques competents en seguretat pública, seguretat ciutadana i seguretat nacional, incloent-hi la comunicació sense dilació de qualsevol incident que pugui estar en l’àmbit de supervisió de cada autoritat, i mantenir-les informades sobre l’evolució d’aquests incidents.

e) Emetre informes anuals per al Govern d’Andorra sobre els incidents, quasiincidents i ciberamenaces notificats per les entitats essencials i importants, l’estat de l’aplicació de l’Estratègia Nacional de Ciberseguretat i de la situació de la ciberseguretat al Principat d’Andorra. Aquests informes de situació inclouen, a títol informatiu i no limitatiu, entre d’altres:i. L’evolució de les capacitats de la ciberseguretat al Principat d’Andorra.ii. Els recursos tècnics, financers i humans disponibles per a les autoritats nacionals competents i el CSIRT-AD.iii. Les polítiques de ciberseguretat i l’aplicabilitat de les mesures de supervisió i d’execució en funció dels resultats sorgits en l’informe anterior.iv. Un índex de ciberseguretat que proporcioni una avaluació del nivell de maduresa de les capacitats de ciberseguretat i que estigui establert segons les metodologies reconegudes internacionalment.

f) Emetre i publicar informes anuals sobre la situació de la ciberseguretat al Principat d’Andorra.

g) Comparèixer, per mitjà de la seva persona de tutela, davant de la comissió legislativa del Consell General que tracti les qüestions en matèria de ciberseguretat, per tal de presentar els informes anuals previstos en les lletres e) i f), relatius als incidents, quasiincidents i ciberamenaces notificats per les entitats essencials i importants, a l’estat de l’aplicació de l’Estratègia Nacional de Ciberseguretat i a la situació de la ciberseguretat al Principat d’Andorra.

h) Vetllar, a l’efecte de contribuir a la seguretat, estabilitat i resiliència del DNS, perquè els registres de dominis de primer nivell i les entitats que proveeixen serveis de registre de noms de domini de primer nivell:i. Recopilin i mantinguin dades sobre el registre de noms de domini en una base de dades que:• Contingui informació pertinent per identificar i contactar amb els titulars dels noms de domini i els punts de contacte que administren els noms de domini en els dominis de primer nivell.• Compti amb polítiques i procediments, que es trobin a disposició del públic, per garantir que inclogui informació precisa i completa.ii. Publiquin, sense demora indeguda desprès del registre d’un nom de domini, les dades de registre de domini que no siguin de caràcter personal.iii. Concedeixin accés a dades específiques sobre el registre de noms de domini, prèvia sol·licitud lícita i degudament justificada, als sol·licitants d’accés legítims, de conformitat amb la normativa del Principat d’Andorra en matèria de protecció de dades vigent en cada moment.

a) Garantir la disponibilitat dels seus serveis de comunicació, establint diversos canals de comunicació per ser contactat i contactar-hi directament i en tot moment, evitant errors ocasionals simples.

b) Especificar els canals i les vies de comunicació i donar-los a conèixer als seus grups d’interès.

c) Garantir que les seves instal·lacions i els seus sistemes d’informació necessaris per al compliment de l’objectiu d’aquesta Llei es situen en llocs segurs.

d) Disposar d’un sistema adequat per gestionar i canalitzar les sol·licituds.

e) Disposar de personal suficient per garantir la disponibilitat dels serveis que presta en relació amb aquesta Llei en tot moment.

f) Mantenir l’accés continuat a les infraestructures de comunicació, potenciant els sistemes redundants i els espais de treball de reserva amb l’objectiu de salvaguardar la continuïtat de la seva activitat en relació amb el previst en aquesta Llei.

g) Proporcionar a les entitats essencials o importants que es puguin veure afectades per incidents, la informació que els pugui ser rellevant per prevenir i si escau resoldre els dits incidents.

h) Proporcionar a les entitats essencials o importants notificadores, la informació pertinent respecte al seguiment de la notificació d’un incident, en particular aquella que pugui facilitar la gestió eficaç de l’incident.

i) Garantir la capacitat de participar, si escau, en xarxes de cooperació internacional.

a) que les autoritats nacionals competents que apliquin mesures de supervisió o execució en el Principat d’Andorra informin i consultin a les autoritats competents dels altres països afectats sobre les mesures de supervisió i execució adoptades i el seu seguiment, de conformitat amb l’establert als articles 23 i 24;

b) que una autoritat competent estrangera pugui sol·licitar a una autoritat nacional competent que adopti les mesures de supervisió o execució a què es refereixen els articles 23 i 24;

c) que una autoritat nacional competent, en rebre una sol·licitud justificada d’una autoritat competent estrangera, presti a aquesta última assistència perquè les mesures de supervisió o execució a què es refereixen els articles 23 i 24 puguin aplicar-se de manera efectiva, eficient i coherent. Aquesta assistència podrà abastar sol·licituds d’informació i mesures de supervisió, incloses les sol·licituds per a la realització d’inspeccions in situ, supervisió a distància o auditories de seguretat específiques. Les autoritats nacionals competents o el CSIRT-AD podran negar-se a cooperar amb autoritats competents d’altres països quan, després de dialogar amb les altres autoritats nacionals competents i l’ANC-AD, l’ANC-AD determini que o bé l’autoritat competent estrangera manca de competències per demanar l’assistència requerida, o bé aquesta assistència no s’adequa ni a les tasques del CSIRT-AD ni a les tasques de supervisió de l’autoritat nacional competent de què es tracti exercides de conformitat amb els articles 23 i 24.

a) La falta de remissió de la informació relativa a l’obligació d’identificació com entitat essencial o important, de conformitat amb el previst a l’article 10, quan aquesta disposi d’un establiment al Principat d’Andorra o quan l’ANC-AD ha informat l’entitat que no disposa d’establiments al Principat d’Andorra sobre les seves obligacions d’acord amb l’establert en aquesta Llei.

b) La falta d’adopció de mesures per esmenar les deficiències detectades, segons el que es disposa a l’article 23.3.

b) i a l’article 24.3.b), quan aquestes deficiències suposin vulnerabilitats a incidents amb efectes pertorbadors significatius sobre un o més serveis essencials o importants, i l’entitat no hagi atès els requeriments dictats per l’autoritat nacional competent amb anterioritat a la producció de l’incident.

c) L’incompliment reiterat de l’obligació de notificar incidents amb efectes pertorbadors significatius en el servei d’acord amb el previst a l’article 15. Es considera que és reiterat a partir del segon incompliment.

d) No adoptar les mesures necessàries per resoldre els incidents conformement a l’assenyalat a l’article 14 quan aquests tinguin un efecte pertorbador significatiu en la prestació de serveis essencials o de serveis importants al Principat d’Andorra o en altres països.

a) L’incompliment de la resta d’obligacions que aquesta Llei estableix per a les entitats essencials o importants, que no siguin qualificades com a infraccions molt greus ni lleus de conformitat amb l’establert en aquest article. Queden exemptes les entitats essencials i importants que no disposin d’un establiment al Principat d’Andorra, en tant l’ANC-AD no les hagi notificat la seva condició d’entitat essencial o important per al Principat d’Andorra i les obligacions que els hi són d’aplicació d’acord amb aquesta Llei.

b) L’incompliment de les disposicions reglamentàries o de les instruccions tècniques de seguretat dictades per l’autoritat nacional competent que correspongui sobre les precaucions mínimes que les entitats essencials o importants han d’adoptar per garantir la seguretat de les infraestructures crítiques, les xarxes i els sistemes d’informació necessaris per prestar els dits serveis.

a) L’incompliment de les disposicions reglamentàries o de les instruccions tècniques de seguretat dictades per l’autoritat nacional competent a l’empara d’aquesta Llei, quan no suposi una infracció greu.

b) No completar la informació que ha de reunir la notificació d’incidents tenint en compte el que es disposa a l’article 15.1, o, si escau, no remetre l’informe justificatiu sobre la impossibilitat de reunir la informació prevista en el dit article.

j) i 4 de l’article 23 i als apartats 3 (llevat del punt 3.

j) i 4 de l’article 24.

a) Per la comissió d’infraccions molt greus, multa administrativa de 30.001 euros fins a 100.000 euros.

b) Per la comissió d’infraccions greus, multa administrativa de 15.001 euros fins a 30.000 euros.

c) Per la comissió d’infraccions lleus, amonestació o multa administrativa de 500 euros fins a 15.000 euros.

a) El grau de culpabilitat o l’existència d’intencionalitat.

b) La continuïtat o persistència en la conducta infractora.

c) La naturalesa i quantia dels danys i perjudicis causats.

d) La reincidència, per comissió en l’últim any de més d’una infracció de la mateixa naturalesa, quan així s’hagi declarat per resolució ferma en via administrativa.

e) El nombre d’usuaris afectats.

f) El volum de facturació de l’entitat infractora.

g) La utilització per l’entitat infractora de programes de recompensa pel descobriment de vulnerabilitats en les infraestructures crítiques, les xarxes i els sistemes d’informació, siguin propis o de tercers, que resultin necessaris per prestar els seus serveis.

h) Les accions realitzades per l’entitat infractora per pal·liar els efectes o les conseqüències de la infracció.

a) Quan s’apreciï una qualificada disminució de la culpabilitat de l’entitat infractora conseqüència de la concurrència significativa de diversos dels criteris enunciats a l’article 37.

b) Quan l’entitat infractora hagi regularitzat la situació irregular de manera diligent.

c) Quan l’entitat infractora hagi reconegut espontàniament la seva culpabilitat.

a) Que els fets siguin constitutius d’infracció lleu o greu conforme al que es disposa en aquesta Llei.

b) Que no s’hagi sancionat o advertit a l’entitat infractora en els dos anys previs per la comissió d’infraccions previstes en aquesta Llei. En cas que l’advertiment no s’atengui en el termini que l’autoritat determini, es procedirà a l’obertura del corresponent procediment sancionador per raó d’aquest incompliment.

a) Les lleus, al cap d’un any.

b) Les greus, al cap de dos anys.

c) Les molt greus, al cap de tres anys.