1. Les entitats essencials i les entitats importants, a través dels seus òrgans de direcció, han de designar una persona física, una unitat o un òrgan col·legiat, perquè actuï com a Delegat de la Seguretat de la Informació (DSI) i sigui el punt de contacte i coordinació tècnica entre l’entitat que l’ha designat i l’autoritat nacional competent i el CSIRT-AD.
2. Quan el DSI sigui una unitat o un òrgan col·legiat, es designa una persona física representant del mateix.
3. En tot cas, les entitats essencials o importants també han de designar un substitut del DSI perquè assumeixi les seves funcions en casos d’absència, vacant o malaltia.
4. Les dades de contacte del DSI en funcions s’han de notificar a l’autoritat competent en el termini màxim d’un mes a comptar de la data de designació que s’escaigui. El mateix procediment es realitza en el supòsit de canvis en les dades de contacte, per exemple deguts a cessaments o nomenaments, havent-los de notificar a l’autoritat nacional competent, que al seu torn els compartirà immediatament amb el CSIRT-AD, en el termini màxim d’un mes a comptar de la data del canvi.
5. El DSI actua com a punt de contacte per notificar els incidents conforme a l’article 15, així com per gestionar allò que escaigui en el si de l’entitat que l’hagi nomenat, conforme als articles 13 i 14.
6. Addicionalment, a títol enunciatiu i no limitatiu, el DSI exerceix, sota la responsabilitat de l’entitat que l’ha nomenat, les funcions següents:
a) Elaborar i proposar, de conformitat amb el que estableix l’article 12, polítiques de seguretat, incloent una proposta de mesures tècniques i organitzatives, adequades i proporcionades, per prevenir i gestionar els possibles riscos relatius a la seguretat de les infraestructures crítiques, les xarxes, i els sistemes d’informació necessaris per proveir els serveis essencials o importants, per així reduir al mínim els efectes dels ciberincidents que afectin els dits serveis.
b) Elaborar el document de declaració d’aplicabilitat de mesures de seguretat en relació amb l’Esquema Nacional de Seguretat del Principat d’Andorra.
c) Supervisar l’aplicació de les polítiques de seguretat, protocols i procediments en l’entitat, supervisar-ne la seva efectivitat i establir períodes de control.
d) Fomentar la formació i l’aplicació de bones pràctiques en seguretat de les infraestructures crítiques, les xarxes, i els sistemes d’informació necessaris per proveir els serveis essencials o importants que ofereix l’entitat que els va designar com a DSI.
e) Remetre al CSIRT-AD, que al seu torn informa a l’autoritat nacional competent, sense dilació indeguda, les notificacions d’incidents, vulnerabilitats o ciberamences que tinguin efectes pertorbadors en la prestació dels serveis essencials o importants.
f) Rebre, interpretar, supervisar i transmetre l’aplicació de les instruccions i guies emanades de l’autoritat nacional competent o del CSIRT-AD.
g) Recopilar, preparar i subministrar informació o documentació a l’autoritat nacional competent o al CSIRT-AD quan així ho sol·licitin o per iniciativa pròpia.
h) Intercanviar informació sobre ciberseguretat pertinent directament amb els DSI d’altres entitats essencials i importants autoritzades per l’entitat que l’ha nomenat, o mitjançant els canals de comunicació que l’ANC-AD pugui establir a tal efecte, i en particular, informació referent a ciberamenaces, vulnerabilitats, indicadors de compromís, declaracions d’aplicabilitat, tàctiques, tècniques i procediments, alertes de ciberseguretat i eines de configuració, sempre que aquest intercanvi d’informació:i. es faci amb l’objectiu de prevenir les possibles ciberamenaces, descoratjar-les, detectar-les, i respondre o mitigar els incidents;ii. reforci el nivell de ciberseguretat, en particular, en conscienciar sobre les ciberamenaces, limiti o impedeixi la capacitat de tals amenaces per propagar-se, o recolzi una bateria de capacitats de defensa, correcció i divulgació de les vulnerabilitats, tècniques de detecció d’amenaces, estratègies de mitigació o etapes de resposta i recuperació.
Aquest intercanvi es posarà en pràctica mitjançant mecanismes d’intercanvi d’informació que respectin la possible naturalesa delicada de la informació compartida, i amb el que pugui establir-se reglamentàriament.
7. El DSI pot formar part de la plantilla laboral de l’entitat que el nomena o exercir les seves funcions en el marc d’un contracte de serveis.
8. Les entitats essencials i importants han de garantir, a títol enunciatiu i no limitatiu, que el DSI:
a) Sigui una persona o un grup de persones amb coneixements especialitzats i amb experiència en matèria de ciberseguretat, tant des del punt de vista organitzatiu com des del tècnic i jurídic, en virtut de les funcions assignades a l’apartat 6.
b) Se li garanteixen els recursos necessaris per a l’exercici de les seves funcions.
c) Se li atorgui una posició dins de l’organització de l’entitat que faciliti l’exercici de les seves funcions per poder participar de manera adequada, i en temps oportú, en totes les qüestions relatives a la seguretat, així com el manteniment d’una comunicació real i efectiva amb l’alta direcció.
d) S’asseguri la seva independència respecte dels responsables de les infraestructures crítiques, les xarxes i els sistemes d’informació del seu àmbit de treball.