1. Aquesta Llei s’aplica a les entitats públiques i privades previstes en el marc de les entitats essencials i importants d’acord amb la seva definició a l’article 3, que ocupen a 50 o més persones o que el volum anual de negocis de les quals o el seu balanç general anual supera els deu milions d’euros.
2. Addicionalment, aquesta Llei s’aplica a les entitats essencials i importants amb independència de la seva grandària i volum anual de negoci o balanç general anual, quan:
a) els serveis siguin prestats per una de les següents tipologies d’entitats incloses en el sector d’infraestructures digitals de l’Annex I:i. xarxes públiques de comunicacions electròniques o serveis de comunicacions electròniques disponibles per al públic,ii. proveïdors de serveis de confiança, iiii. registres de noms de domini de primer nivell i proveïdors de serveis de sistema de noms de domini (DNS).
b) l’entitat sigui una entitat de l’administració pública tal com es defineix a l’article 3.12;
c) l’entitat sigui l’únic prestador d’un servei al Principat d’Andorra;
d) una possible pertorbació del servei prestat per l’entitat pogués tenir repercussions sobre la seguretat pública, l’ordre públic o la salut pública;
e) una possible pertorbació del servei proveït per l’entitat pogués induir riscos sistèmics, en particular per als sectors en els quals tal pertorbació podria tenir repercussions de caràcter transfronterer;
f) l’entitat sigui crítica en vista de la seva importància específica a nivell nacional o comunal per al sector o tipus de servei en concret o per a altres sectors interdependents al Principat d’Andorra; o.
g) l’entitat s’identifiqui com a entitat crítica o com una entitat equivalent a una entitat crítica reglamentàriament.
3. Els reglaments i les altres eventuals normes i actes jurídics de caràcter sectorial en relació amb aquesta Llei que prevegin disposicions relatives a la gestió dels riscos de les tecnologies de la informació i la comunicació (TIC), la gestió o notificació dels incidents associats a les TIC, les proves de la resiliència operativa digital, els mecanismes d’intercanvi d’informació, i el risc de tercers relacionat amb les TIC, que tinguin un efecte almenys equivalent al de les obligacions establertes en aquesta Llei, s’aplicaran de forma prioritària a les entitats essencials i importants incloses en l’àmbit d’aplicació dels dits reglaments, normes i actes jurídics.
4. L’establert en l’apartat anterior s’entén sense perjudici del deure de notificació d’incidents establert a l’article 15, en la mesura que no sigui incompatible amb la normativa sectorial de què es tracti.