1. Les autoritats nacionals competents a l’empara d’aquesta Llei han de cooperar i intercanviar informació amb els responsables de redactar els reglaments o altres normes o actes jurídics sectorials, en particular, en relació amb la gestió dels riscos de ciberseguretat i dels incidents que afectin les entitats essencials o importants, així com amb el que respecta a les mesures de ciberseguretat adoptades per aquestes entitats.
2. Les autoritats nacionals competents hauran d’establir els canals que fomentin la comunicació amb les entitats que presten serveis essencials i importants, susceptibles de ser desplegats reglamentàriament.
3. Les autoritats nacionals competents hauran de coordinar-se amb el CSIRT-AD mitjançant els protocols d’actuació que, si escau, es poden desplegar reglamentàriament.
4. L’ANC-AD, en col·laboració amb l’AFA i amb el CSIRT-AD, haurà de:
a) Establir una llista de les entitats identificades a l’empara dels punts b) a f) de l’article 2.2 en el termini de sis mesos a comptar de la data d’entrada en vigor d’aquesta Llei, la qual revisarà periòdicament, almenys cada dos anys, i actualitzarà quan s’escaigui.
b) Crear i mantenir un registre d’entitats essencials i importants.
c) Notificar, sense dilació indeguda, a les agències de ciberseguretat existents en altres països qualsevol incident o ciberamenaça que tingui un impacte transfronterer o els pugui perjudicar o afectar de qualsevol altra forma i el seu nivell es consideri significatiu d’acord amb l’establert a l’article 15.
3. En fer-ho, l’ANC-AD preservarà, de conformitat amb la legislació vigent en cada moment, la seguretat i els interessos comercials de l’entitat que ha notificat l’incident, així com la confidencialitat de la informació facilitada.
d) Cooperar, en l’àmbit d’aplicació d’aquesta Llei, amb l’Agència Andorrana de Protecció de Dades (APDA) i les autoritats públiques competents en seguretat pública, seguretat ciutadana i seguretat nacional, incloent-hi la comunicació sense dilació de qualsevol incident que pugui estar en l’àmbit de supervisió de cada autoritat, i mantenir-les informades sobre l’evolució d’aquests incidents.
e) Emetre informes anuals per al Govern d’Andorra sobre els incidents, quasiincidents i ciberamenaces notificats per les entitats essencials i importants, l’estat de l’aplicació de l’Estratègia Nacional de Ciberseguretat i de la situació de la ciberseguretat al Principat d’Andorra. Aquests informes de situació inclouen, a títol informatiu i no limitatiu, entre d’altres:i. L’evolució de les capacitats de la ciberseguretat al Principat d’Andorra.ii. Els recursos tècnics, financers i humans disponibles per a les autoritats nacionals competents i el CSIRT-AD.iii. Les polítiques de ciberseguretat i l’aplicabilitat de les mesures de supervisió i d’execució en funció dels resultats sorgits en l’informe anterior.iv. Un índex de ciberseguretat que proporcioni una avaluació del nivell de maduresa de les capacitats de ciberseguretat i que estigui establert segons les metodologies reconegudes internacionalment.
f) Emetre i publicar informes anuals sobre la situació de la ciberseguretat al Principat d’Andorra.
g) Comparèixer, per mitjà de la seva persona de tutela, davant de la comissió legislativa del Consell General que tracti les qüestions en matèria de ciberseguretat, per tal de presentar els informes anuals previstos en les lletres e) i f), relatius als incidents, quasiincidents i ciberamenaces notificats per les entitats essencials i importants, a l’estat de l’aplicació de l’Estratègia Nacional de Ciberseguretat i a la situació de la ciberseguretat al Principat d’Andorra.
h) Vetllar, a l’efecte de contribuir a la seguretat, estabilitat i resiliència del DNS, perquè els registres de dominis de primer nivell i les entitats que proveeixen serveis de registre de noms de domini de primer nivell:i. Recopilin i mantinguin dades sobre el registre de noms de domini en una base de dades que:• Contingui informació pertinent per identificar i contactar amb els titulars dels noms de domini i els punts de contacte que administren els noms de domini en els dominis de primer nivell.• Compti amb polítiques i procediments, que es trobin a disposició del públic, per garantir que inclogui informació precisa i completa.ii. Publiquin, sense demora indeguda desprès del registre d’un nom de domini, les dades de registre de domini que no siguin de caràcter personal.iii. Concedeixin accés a dades específiques sobre el registre de noms de domini, prèvia sol·licitud lícita i degudament justificada, als sol·licitants d’accés legítims, de conformitat amb la normativa del Principat d’Andorra en matèria de protecció de dades vigent en cada moment.
5. A fi de promoure una aplicació convergent amb la dels estats veïns, les autoritats nacionals competents publicaran un marc normatiu mitjançant el qual fomentin, sense imposar ni afavorir l’ús d’un tipus específic de tecnologia, la utilització de normes i especificacions acceptades a escala internacional que siguin pertinents en matèria de seguretat de les infraestructures crítiques, les xarxes i els sistemes d’informació de cada sector del seu àmbit de competència.
6. Addicionalment a les anteriors obligacions, les autoritats nacionals competents podran establir obligacions específiques per garantir la seguretat de les infraestructures crítiques, les xarxes i els sistemes d’informació necessaris per prestar serveis essencials o importants i sobre notificació d’incidents, i dictar instruccions tècniques i guies orientatives per detallar el contingut d’aquestes obligacions.