1. L’ANC-AD és l’autoritat nacional competent encarregada de la ciberseguretat i de les tasques de supervisió a què es refereix el |capítol tercer del Títol III per a les xarxes i els sistemes d’informació que cobreixen els sectors esmentats als apartats 1, 2, 5, 6, 7 i 8 de l’Annex I, així com per a totes les entitats importants per a les quals l’AFA no és l’autoritat nacional competent.
2. L’AFA, en coordinació amb l’ANC-AD, és l’autoritat nacional competent encarregada de la ciberseguretat i de les tasques de supervisió a què es refereix el capítol tercer del Títol III per a les xarxes i els sistemes d’informació que cobreixen els sectors de les entitats financeres i del mercat financer tal com es defineixen als apartats 3 i 4 de l’Annex I, així com per als serveis proveïts per les entitats que es trobin sota la supervisió de l’AFA.
3. L’ANC-AD actuarà com a punt de contacte únic en matèria de ciberseguretat per al Principat d’Andorra (Punt de Contacte Nacional Únic), i com a tal serà l’autoritat nacional competent que exercirà la funció d’enllaç per garantir la cooperació transfronterera amb les autoritats competents en matèria de ciberseguretat d’altres països, per garantir la cooperació intersectorial entre l’AFA i l’ANC-AD pel que respecta al previst en aquesta Llei, així com per garantir la cooperació entre el CSIRT-AD i els altres països, incloent-hi la xarxa de CSIRT de la Unió Europea.
4. L’ANC-AD, amb la col·laboració de l’AFA pel que fa al seu àmbit competencial de conformitat amb l’establert en aquesta Llei:
a) Coordinarà la creació i el manteniment del marc estratègic de seguretat de les xarxes i dels sistemes d’informació descrit a l’article 4.
b) Establirà una llista de serveis essencials i serveis importants en els sectors a què es refereixen l’Annex I i l’Annex II. Aquesta llista s’ha de dur a terme en un termini màxim de sis mesos després de l’entrada en vigor d’aquesta Llei. Posteriorment, quan sigui necessari, i almenys una primera vegada en un termini màxim de divuit mesos després de l’entrada en vigor d’aquesta Llei i a partir d’aquell moment cada quatre anys i cada vegada que l’ANC-AD actualitzi la llista, realitzarà una avaluació de tots els riscos rellevants que puguin afectar a la prestació d’aquests serveis essencials, amb la finalitat d’identificar entitats crítiques i entitats equivalents a entitats crítiques i ajudar-les a prendre mesures d’acord amb l’establert a l’article 12.L’avaluació del risc:i. Haurà de tenir en compte tots els riscos naturals i els originats per l’home, inclosos els accidents, els desastres naturals, les emergències de salut pública, i les amenaces antagòniques, inclosos els delictes de terrorisme.ii. Els elements rellevants de l’avaluació del risc hauran de posar-se a disposició de les entitats crítiques que s’identifiquin d’acord amb l’establert a l’article 11, per ajudar-les a dur a terme la seva avaluació de riscos d’acord amb l’establert a l’article 13 i a prendre mesures per garantir la seva resiliència d’acord amb l’establert a l’article 12.
c) Donarà suport a les entitats que es troben dins de l’àmbit d’aplicació d’aquesta Llei per millorar la seva ciberseguretat i resiliència. Aquest suport pot incloure, a títol informatiu i no limitatiu:i. El desenvolupament de materials i metodologies d’orientació;ii. Donar suport a l’organització d’exercicis per comprovar la seva seguretat i resiliència;iii. Proporcionar formació al seu personal; iiv. Establir eines per donar suport a l’intercanvi voluntari d’informació entre entitats i per resoldre qüestions en relació amb aquesta Llei.
d) Adoptarà actes d’execució per establir les especificacions tècniques i metodològiques necessàries relatives a l’aplicació de les mesures esmentades a l’article 12.2.
e) Establirà procediments per a l’expedició, la revisió periòdica i la retirada de certificacions, segells i marques que acrediten el compliment de les obligacions de seguretat en les xarxes i en els sistemes d’informació.
f) Establirà procediments i estructures per tramitar les reclamacions relatives a infraccions de la certificació o a la manera en què una entitat aplica o ha aplicat la certificació, i per fer que aquests procediments i estructures siguin transparents per al públic.
5. L’ANC-AD, amb la col·laboració de l’AFA i el CSIRT-AD, està facultada per adoptar actes delegats establint normes detallades que especifiquin algunes o totes les mesures que s’han de prendre en la mesura que sigui necessari per a l’aplicació eficaç i coherent dels objectius d’aquesta Llei, tenint en compte qualsevol evolució rellevant en riscos, tecnologia o prestació dels serveis afectats per aquesta Llei, així com qualsevol especificitat relacionada amb sectors i tipus d’entitats de l’Annex I i l’Annex II.
6. El Govern d’Andorra ha de vetllar perquè les autoritats nacionals competents disposin dels recursos adequats perquè puguin dur de forma efectiva i eficient les seves funcions per tal de poder complir amb els objectius d’aquesta Llei.