És crucial per al nostre país aprofitar tots els avantatges de l’era digital per potenciar el nostre creixement econòmic i reforçar la nostra capacitat d’innovació, dins dels límits segurs i ètics que defineixen conjuntament aquesta Llei, els reglaments que la desenvolupin i la resta de marcs normatius que determini l’Agència Nacional de Ciberseguretat del Principat d’Andorra.

L’enclavament geopolític del Principat d’Andorra, la nostra consciència situacional, la creixent dependència que la nostra economia té de les xarxes i dels sistemes d’informació nacionals i transfronterers, les possibles sinergies en la prevenció d’amenaces i en els desafiaments que suposaran els ciberincidents, i l’anàlisi que s’ha realitzat en relació a les normatives necessàries per regular la correcta transformació digital que s’està projectant per al nostre país, comporten la necessitat d’aproximar les nostres capacitats en matèria de ciberseguretat a les que la Unió Europea exigeix als seus estats membres a través de la seva Directiva (UE) 2016/1148 del Parlament Europeu i del Consell, del 6 de juliol del 2016, relativa a las mesures destinades a garantir un elevat nivell comú de seguretat de les xarxes i dels sistemes d’informació a la Unió. Aquesta Llei es basa en l’esmentada directiva, i l’adapta conforme a les particularitats del Principat d’Andorra i a l’experiència que la mateixa Unió Europea ha compilat en relació a la necessitat de reduir la càrrega normativa per als organismes competents i els costos per a les entitats públiques i privades a les que aplica aquesta normativa, prenent en consideració allò que estableix la Proposta de la Comissió Europea COM (2020) 823 final, relativa a les mesures destinades a garantir un elevat nivell comú de ciberseguretat, la qual proposa la derogació de la referida Directiva (UE) 2016/1148.

Per les mateixes raons esmentades a l’inici del paràgraf anterior, ens és igualment necessari dedicar encara més atenció a les entitats crítiques, enteses com aquelles que, a més de proveir un servei essencial per al Principat d’Andorra, tenen la peculiaritat d’utilitzar una infraestructura que no es pot redundar o reemplaçar per una altra en cas de mal funcionament. El bon funcionament del nostre país requereix exigir a aquestes entitats dues coses: un nivell de protecció mínim per a les denominades infraestructures crítiques, i que es dotin d’una capacitat de recuperació enfront d’incidents en aquest tipus d’infraestructures, molt major que l’exigible a les entitats essencials que sí que compten amb solucions alternatives, per evitar l’alteració del servei essencial en tots els possibles casos en què un incident afecti una única infraestructura. És per tot això que, addicionalment a l’esmentat en el paràgraf anterior, aquesta Llei adapta a les particularitats del Principat d’Andorra la Directiva (UE) 2008/114/CE del Consell, del 8 de desembre del 2008, sobre la identificació i designació d’infraestructures crítiques europees i l’avaluació de la necessitat de millorar-ne la seva protecció, i s’adequa igualment a les lliçons apreses per la Unió Europea en relació a la necessitat d’ampliar el focus en la protecció d’aquestes infraestructures crítiques, amb l’objectiu d’aconseguir la major i més ràpida recuperació de l’entitat que gestiona la infraestructura crítica si les mesures de protecció fallen, lliçons que estan recopilades en la Proposta de Directiva del Parlament europeu i del Consell COM(2020) 829 final, relativa a la resiliència de les entitats crítiques.

Mitjançant aquesta Llei, s’estableixen les obligacions de definir, implementar, i evolucionar una estratègia nacional de ciberseguretat, de gestionar els riscos de ciberseguretat, d’incrementar la cooperació amb altres estats, especialment els propers, i de millorar la ciberresiliència de les entitats públiques i privades que resulten “essencials” o “crítiques” per prestar o tenir el potencial de prestar serveis fonamentals per a l’economia i la societat andorranes en l’àmbit de vuit sectors digitalitzats o en vies de digitalització (energia, transport, banca, infraestructures dels mercats financers, sanitat, aigües potables, residuals i superficials, infraestructures digitals, i administració pública), i de determinades entitats “importants” que operen en altres sectors no essencials però considerats importants (serveis postals i de missatgeria; gestió de residus; fabricació, producció, distribució i comercialització de substàncies i mescles químiques; producció, transformació i distribució d’aliments; i fabricació i prestadors de serveis digitals), i s’exigeix que el nostre país garanteixi que les nostres entitats essencials i importants, ja siguin de naturalesa pública o privada, comptin amb requisits en matèria de ciberseguretat i notifiquin els incidents que pateixin en relació amb aquesta matèria.

Igual que estan fent cada cop més les normatives en matèria de protecció de dades personals i les que regulen els actius digitals, aquesta Llei canvia el paradigma del repartiment de rols i responsabilitats entre les autoritats de control i les entitats incloses en els seus àmbits d’actuació. La creixent transformació digital ha demostrat ineficient el model d’autoritat de control que pretén definir i imposar les mesures tècniques i organitzatives amb les quals s’hauria de reduir l’exposició de tot tipus d’entitats als riscos que tenen el seu origen en els ciberincidents. Per poder preveure l’enorme diversitat de riscos de les ciberincidències i adequar-se a la velocitat amb què canvien tant aquests riscos com les mesures que han d’implantar les entitats, és necessari adoptar una aproximació de responsabilitat descentralitzada. Aquesta Llei estableix, per tant, que sigui cada entitat essencial o important la que quedi obligada demostrar la seva responsabilitat proactiva en la identificació i gestió dels riscos per als serveis que la classifiquen com a essencial o important, de forma proporcionada en relació amb els riscos que presenten les xarxes i els sistemes d’informació que utilitza i tenint en compte l’estat de la tècnica. Són doncs aquestes entitats, independentment de si s’encarreguen elles mateixes del manteniment de les seves xarxes i sistemes d’informació o l’externalitzen, les que es responsabilitzen de determinar els seus propis requisits de seguretat i d’implantar les mesures tècniques i organitzatives que elles mateixes considerin necessàries i suficients per reduir el seu risc de patir ciberincidències greus, fins a un nivell que l’autoritat de control consideri suficient, sobre la base d’uns criteris definits i les que queden obligades a notificar molt ràpidament els seus incidents de ciberseguretat per, entre d’altres raons, evitar la seva propagació i que altres entitats puguin beneficiar-se tant de l’alerta com de les lliçons apreses. I, fins i tot, són les pròpies entitats les que queden obligades a informar els seus usuaris quan aquesta informació pugui reduir el risc de la ciberamenaça per a aquests. En aquest nou paradigma, el paper de l’autoritat de control deixa de ser el de reguladora que dicta mesures suposadament eficients per al conjunt dels sectors i activitats i passa a ser, principalment, el de supervisora de la responsabilitat proactiva de les entitats, amb capacitat per sancionar-les amb, entre d’altres, multes administratives que han de ser efectives, proporcionades i dissuasives, i per, fins i tot, imposar prohibicions temporals per a què determinades persones físiques exerceixin funcions de direcció.

Aquesta nova aproximació s’ha mostrat més eficient que la del regulador clàssic per minimitzar el cost total dels ciberincidents, resultant de sumar els costos associats al compliment de la normativa i els costos associats als danys i perjudicis econòmics i socials que causen els ciberincidents. Així, la seva ràpida i adequada implantació és estrictament necessària per aconseguir els objectius específics de transformació digital del Principat d’Andorra de manera satisfactòria.

Aquesta Llei es divideix en un total de quatre títols i dos annexos, en els quals s’hi estableix el seu objecte, àmbit d’aplicació i definicions, el marc estratègic i institucional, les obligacions tant per a les entitats essencials, siguin o no crítiques i importants, com per a les autoritats de control competents i l’equip de referència de resposta del Principat d’Andorra per al tractament d’incidents de ciberseguretat, el règim sancionador, els sectors a considerar per a la identificació d’entitats essencials i els sectors a considerar per a la identificació d’entitats importants

Així mateix, aquesta Llei inclou una disposició addicional i quatre disposicions finals.

La disposició addicional encomana al Govern que, en el termini màxim de divuit mesos, avaluï la conveniència de constituir o no una entitat amb personalitat jurídica pròpia que assumeixi funcions diverses en matèria de digitalització, o relacionades amb aquesta matèria, incloent-hi l’Agència Nacional de Ciberseguretat del Principat d’Andorra (ANC-AD) i l’equip de referència de resposta del Principat d’Andorra per al tractament d’incidents de ciberseguretat (CSIRT-AD).

Pel que fa a les disposicions finals, la primera modifica la Llei 31/2021, del 22 de novembre, de text consolidat qualificada de seguretat pública, modificada per la Llei 4/2022, del 31 de gener, del pressupost per a l’exercici del 2022, especialment per a l’establiment de mesures en cas que el funcionament de les entitats essencials o importants així ho requereixi. Les altres tres disposicions finals, són relatives al desenvolupament reglamentari, la iniciativa de presentar la consolidació d’un text legal i l’entrada en vigor de la Llei.

Títol I. Disposicions generals

Article 1. Objecte

Aquesta Llei té com a objecte regular el reforç de la resiliència de les entitats crítiques i la seguretat de les xarxes i dels sistemes d’informació utilitzats per a la prestació de serveis essencials i importants al Principat d’Andorra.

Per a l’assoliment del seu objecte, aquesta Llei estableix, principalment:

Els requisits per a la protecció dels serveis essencials i dels serveis importants, les obligacions de gestió de riscos i d’incidents de ciberseguretat per part de les entitats prestadores d’aquests serveis, i els mecanismes de supervisió del seu compliment, inclòs un sistema de notificació d’incidències;

L’obligació de les autoritats nacional competents d’identificar les entitats crítiques i les entitats que han de ser tractades com a equivalents a entitats crítiques en certs aspectes, perquè sense prestar els serveis essencials elles mateixes sí que poden impactar-los;

L’obligació de les entitats crítiques d’adoptar determinades mesures, establertes reglamentàriament, destinades a garantir la prestació de serveis essencials;

Un marc per a l’elaboració d’un catàleg nacional d’entitats essencials per a la seguretat de les xarxes i dels sistemes d’informació; i

Un marc institucional per a l’aplicació de l’Estratègia Nacional de Seguretat de les xarxes i dels sistemes d’informació.

El que es disposa en aquesta Llei s’entén sense perjudici de les accions que es puguin emprendre per part de les autoritats públiques corresponents per salvaguardar i garantir la seguretat nacional i les funcions essencials, per protegir la informació reservada d’Estat o la revelació de la qual sigui contrària als interessos essencials del Principat d’Andorra o per al manteniment de l’ordre públic, la detecció, investigació i persecució dels delictes, i l’enjudiciament dels seus autors.

Article 2. Àmbit d’aplicació

Aquesta Llei s’aplica a les entitats públiques i privades previstes en el marc de les entitats essencials i importants d’acord amb la seva definició a l’article 3, que ocupen a 50 o més persones o que el volum anual de negocis de les quals o el seu balanç general anual supera els deu milions d’euros.

Addicionalment, aquesta Llei s’aplica a les entitats essencials i importants amb independència de la seva grandària i volum anual de negoci o balanç general anual, quan:

els serveis siguin prestats per una de les següents tipologies d’entitats incloses en el sector d’infraestructures digitals de l’Annex I:

i. xarxes públiques de comunicacions electròniques o serveis de comunicacions electròniques disponibles per al públic,

ii. proveïdors de serveis de confiança, i

iii. registres de noms de domini de primer nivell i proveïdors de serveis de sistema de noms de domini (DNS).

l’entitat sigui una entitat de l’administració pública tal com es defineix a l’article 3.12;

l’entitat sigui l’únic prestador d’un servei al Principat d’Andorra;

⋯

La consulta d'aquest document no substitueix la lectura del Butlletí Oficial del Principat d'Andorra (BOPA) corresponent. No assumim cap responsabilitat per eventuals inexactituds derivades de la transcripció de l'original a aquest format.