1. L’Estratègia Nacional de Ciberseguretat del Principat d’Andorra comprèn els objectius estratègics i les mesures polítiques i normatives necessàries per aconseguir i mantenir un nivell elevat de seguretat en les xarxes i en els sistemes d’informació, cobrint els sectors operats per les entitats essencials i importants en els termes definits en aquesta Llei, i engloba, a títol enunciatiu i no limitatiu:
a) Una definició dels objectius i les prioritats de l’Estratègia Nacional de Ciberseguretat del Principat d’Andorra.
b) Un marc de governança per aconseguir aquests objectius i prioritats, incloses les polítiques a què es refereix l’apartat 2 i les funcions i responsabilitats de les administracions públiques i les entitats de l’administració pública i d’altres actors pertinents.
c) Una avaluació per determinar els actius pertinents i els riscos de ciberseguretat.
d) Una determinació de les mesures per garantir la preparació, resposta i recuperació enfront d’incidents, inclosa la cooperació entre els sectors públic i privat.
e) Un llistat dels diversos actors i autoritats que participen en l’execució de l’Estratègia Nacional de Ciberseguretat del Principat d’Andorra.
f) Un marc polític per a la coordinació reforçada entre les autoritats competents en virtut d’aquesta Llei a l’efecte de l’intercanvi d’informació sobre incidents i ciberamenaces i l’exercici de les tasques de supervisió i sanció.
g) Una estratègia per reforçar la resiliència de les entitats crítiques que inclogui, com a mínim:i. Objectius estratègics i prioritats per tal de millorar la resiliència general de les entitats crítiques, tenint en compte les interdependències transfrontereres i intersectorials.ii. Un marc de governança per assolir els objectius estratègics i les prioritats, inclosa una descripció dels rols i les responsabilitats de les autoritats nacionals competents designades en aquesta Llei, entitats crítiques i altres parts implicades en la implementació de l’estratègia.iii. Una descripció de les mesures necessàries per millorar la resiliència general de les entitats crítiques, inclosa una avaluació del risc nacional, la identificació d’entitats crítiques i d’entitats equivalents a entitats crítiques i les mesures de suport a les entitats crítiques; iiv. Un marc de polítiques per a una coordinació millorada entre les autoritats nacionals competents designades en aquesta Llei a l’efecte de l’intercanvi d’informació sobre incidents i ciberamenaces i l’exercici de tasques de supervisió.
2. En el marc de l’Estratègia Nacional de Ciberseguretat del Principat d’Andorra, es desenvolupen i adopten reglamentàriament:
a) Un Esquema Nacional de Seguretat constituït pels principis bàsics i requisits mínims necessaris per a una protecció adequada de la informació tractada i els serveis prestats per les entitats essencials i les entitats importants, així com per les entitats que els prestin serveis o els proveeixin solucions per als seus serveis essencials o importants i les seves respectives cadenes de subministrament, amb l’objectiu d’assegurar l’accés, la confidencialitat, la integritat, la traçabilitat, l’autenticitat, la disponibilitat i la conservació de les dades, les informacions i els serveis utilitzats en mitjans electrònics que gestionin per la prestació dels serveis essencials o importants, i sense perjudici que pogués resultar necessari complementar les mesures de seguretat previstes en aquest esquema amb altres mesures específiques que puguin derivar-se dels compromisos internacionals contrets pel Principat d’Andorra o la seva pertinença a organismes o fòrums internacionals en la matèria.Aquest Esquema Nacional de Seguretat podrà estendre’s a totes les entitats de l’administració pública, i contindrà, com a mínim:i. Una política per abordar la ciberseguretat en la cadena de subministrament de productes i serveis de TIC utilitzats per les entitats essencials o les entitats importants per a la prestació dels seus serveis;ii. Directrius relatives a la inclusió i l’especificació dels requisits en matèria de ciberseguretat aplicables als productes i serveis de TIC en la contractació pública;iii. Una política per promoure i facilitar una divulgació coordinada de les vulnerabilitats;iv. Una política orientada a mantenir la disponibilitat general i la integritat del nucli públic de la Internet oberta;v. Una política sobre la promoció i el desenvolupament de capacitats de ciberseguretat, incloent la conscienciació i iniciatives de recerca i desenvolupament;vi. Una política destinada a donar suport a les institucions acadèmiques i de recerca perquè desenvolupin eines de ciberseguretat i infraestructures de xarxa segures;vii. Les polítiques, els procediments pertinents i les eines apropiades per compartir informació per facilitar i promoure l’intercanvi voluntari d’informació sobre ciberseguretat entre les empreses; iviii. Una política que englobi les necessitats específiques de les petites i mitjanes empreses, especialment d’aquelles que es troben excloses de l’àmbit d’aplicació d’aquesta Llei, pel que fa a orientacions i suport per millorar la seva resiliència enfront de les amenaces de ciberseguretat.
b) Un Reglament d’Infraestructures Crítiques per a la protecció i el reforç de la resiliència de les infraestructures crítiques que contindrà, com a mínim:i. Procediments per a la identificació i designació d’infraestructures crítiques per al Principat d’Andorra;ii. Les condicions per a la creació d’un Catàleg Nacional d’Infraestructures Crítiques, que ha d’aglutinar totes les dades i la valoració de la criticitat de les citades infraestructures i que serà emprat com a base per planificar les actuacions necessàries en matèria de seguretat i protecció d’aquestes, en nodrir-se de les aportacions dels propis operadors;iii. La regulació d’instruments de planificació per a la protecció de les infraestructures crítiques de les entitats essencials i les entitats importants;iv. Les obligacions per a les entitats crítiques, incloent-hi els requisits de seguretat de les comunicacions, amb la finalitat d’augmentar la seva resiliència i millorar la seva capacitat per proveir els seus serveis al Principat d’Andorra; iv. Les normes sobre supervisió d’entitats crítiques i l’aplicació d’obligacions a les mateixes.
3. L’Estratègia Nacional de Ciberseguretat del Principat d’Andorra ha de ser objecte de revisió i d’avaluació almenys cada quatre anys, en funció dels indicadors de rendiment clau, procedint en tot cas a la seva modificació quan sigui necessari. S’ha de garantir la consulta als sectors rellevants representats en els diferents comitès i comissions que s’estructuren sota l’Agència Nacional de Ciberseguretat (ANC-AD).