Decret 418/2022, del 12 d’octubre del 2022
Decret 418/2022, del 12-10-2022, pel qual s’aprova el Reglament d’infraestructures crítiques del Principat d’Andorra.
Exposició de motius
L’avaluació de la protecció de les infraestructures crítiques que la Comissió Europea va dur a terme durant la primera meitat del 2019, i que va donar lloc a la proposta de la Comissió Europea COM(2020) 829 final, relativa a la resiliència de les entitats crítiques, que la Llei 22/2022, del 9 de juny, de mesures per a la seguretat de les xarxes i dels sistemes d’informació (en endavant, “Llei NIS-AD”) adapta a les peculiaritats del nostre país, demostra una evolució en la naturalesa de les amenaces a les quals s’enfronten les infraestructures crítiques. Algunes d’aquestes amenaces (com és el cas de les que exploten la informació privilegiada o les associades al canvi climàtic) estan evolucionant, mentre que d’altres (com les que introdueixen els vehicles aeris no tripulats o la intel·ligència artificial) són noves i, si bé és probable que la introducció d’algunes tecnologies millori la capacitat per protegir les infraestructures crítiques (com serà, per exemple, el cas del 5G a les infraestructures crítiques on fins ara no era possible una redundància en les xarxes per garantir la seguretat de les comunicacions), és igualment probable que aquestes mateixes tecnologies exacerbin vulnerabilitats preexistents o en creïn de noves. En aquest context d’increment continuat de les amenaces, canvis accelerats i incertesa, és utòpic pensar que l’esforç dedicat a la protecció de les infraestructures crítiques serà suficient per garantir la prestació dels serveis essencials amb la qualitat que requereixen.La Llei NIS-AD assenyala la necessitat de dedicar a les entitats crítiques una atenció especial en l’àmbit de la seguretat de la informació, perquè tenen la peculiaritat d’utilitzar infraestructures necessàries per prestar serveis essencials per al Principat d’Andorra i per a les quals no hi pot haver una redundància o no es poden reemplaçar per unes altres en cas de mal funcionament. El bon funcionament del nostre país requereix exigir a aquestes entitats dos coses: d’una banda, es requereix un nivell de seguretat mínim per a totes les infraestructures que participen en la prestació dels serveis importants i essencials, regulat dins l’Esquema de seguretat nacional del Principat d’Andorra; i, d’altra banda, tenint en compte que, de manera realista, les infraestructures crítiques no poden estar completament protegides tot el temps, i per evitar l’alteració dels serveis essencials en tots els possibles casos en què un incident afecti una única infraestructura, cal que les entitats crítiques es dotin d’una capacitat de recuperació enfront d’incidents molt més grans que l’exigible a la resta d’entitats essencials que sí que compten amb solucions alternatives.
Concretament, per assolir això últim, la lletra b de l’apartat 2 de l’article 4 de la Llei NIS-AD requereix que, en el marc de l’Estratègia nacional de ciberseguretat del Principat d’Andorra, es desenvolupi i s’adopti un reglament que ha de contenir, com a mínim:
i. Els procediments per identificar i designar infraestructures crítiques per al Principat d’Andorra.
ii. Les condicions per a la creació d’un catàleg nacional d’infraestructures crítiques, que ha d’aglutinar totes les dades i la valoració de la criticitat de les infraestructures mencionades i que serà emprat com a base per planificar les actuacions necessàries en matèria de seguretat i protecció d’aquestes infraestructures, en nodrir-se de les aportacions dels mateixos operadors.
iii. La regulació d’instruments de planificació per protegir les infraestructures crítiques de les entitats essencials i les entitats importants.
iv. Les obligacions per a les entitats crítiques, incloent-hi els requisits de seguretat de les comunicacions, amb la finalitat d’augmentar la seva resiliència i millorar la seva capacitat per proveir els seus serveis al Principat d’Andorra.
iv. Les normes sobre supervisió d’entitats crítiques i l’aplicació d’obligacions a les mateixes entitats.
ii. Les condicions per a la creació d’un catàleg nacional d’infraestructures crítiques, que ha d’aglutinar totes les dades i la valoració de la criticitat de les infraestructures mencionades i que serà emprat com a base per planificar les actuacions necessàries en matèria de seguretat i protecció d’aquestes infraestructures, en nodrir-se de les aportacions dels mateixos operadors.
iii. La regulació d’instruments de planificació per protegir les infraestructures crítiques de les entitats essencials i les entitats importants.
iv. Les obligacions per a les entitats crítiques, incloent-hi els requisits de seguretat de les comunicacions, amb la finalitat d’augmentar la seva resiliència i millorar la seva capacitat per proveir els seus serveis al Principat d’Andorra.
iv. Les normes sobre supervisió d’entitats crítiques i l’aplicació d’obligacions a les mateixes entitats.
Ateses les consideracions esmentades, a proposta del Cap de Govern, el Govern, en la sessió del 12 d’octubre, aprova aquest Decret amb el contingut següent:
Article únic
S’aprova el Reglament d’infraestructures crítiques del Principat d’Andorra, que entra en vigor l’endemà de ser publicat al Butlletí Oficial del Principat d’Andorra.
Reglament d’infraestructures crítiques del Principat d’Andorra
Capítol primer. Consideracions generals
Article 1. Objecte
1. Aquest Reglament (en endavant, el “RIC-AD” o “el Reglament”) regula l’establiment d’instruments de planificació per mesurar i millorar el nivell de protecció i resiliència de les entitats crítiques i les entitats equivalents a entitats crítiques, de conformitat amb el precepte establert a la lletra b de l’apartat 2 de l’article 4 de la Llei NIS-AD.
2. Aquest Reglament estableix el dret de les entitats crítiques a rebre de l’Agència Nacional de Ciberseguretat del Principat d’Andorra (en endavant, “l’ANC-AD”) suport i orientació específics destinats a aconseguir un alt nivell de resiliència enfront de tots els riscos pertinents.
Article 2. Definicions
1. Els termes següents, utilitzats dins el context del RIC-AD, tenen el significat següent:
a) ANC-AD: Agència Nacional de Ciberseguretat del Principat d’Andorra.
b) CSIRT-AD: centre de resposta a incidents de seguretat de les xarxes i dels sistemes d’informació de referència al Principat d’Andorra.
c) Catàleg nacional d’infraestructures crítiques (CNIC): instrument que conté la valoració i tota la informació completa, actualitzada i contrastada de les infraestructures crítiques per al Principat d’Andorra. El CNIC inclou les infraestructures crítiques de les entitats crítiques, les de les entitats equivalents a entitats crítiques i les situades fora del Principat d’Andorra.
d) CID i DIC: tots dos són sigles de les paraules confidencialitat, integritat i disponibilitat, ordenades segons la dimensió que, en principi, té més rellevància per a la seguretat. En l’àmbit de les tecnologies de la informació és habitual utilitzar el terme CID, mentre que en l’àmbit la tecnologia d’operació se sol utilitzar el terme DIC.
e) DSI: delegat de la seguretat de la informació, d’acord amb el que s’estableix a l’article 18 de la Llei NIS-AD.
f) Informació sensible sobre infraestructures crítiques: dades específiques sobre infraestructures crítiques que, en cas de revelar-se, podrien utilitzar-se per planejar i dur a terme accions l’objectiu de les quals sigui provocar la pertorbació o la destrucció d’aquestes infraestructures.
g) Pla de suport operatiu: plans elaborats pel Cos de Policia del Principat d’Andorra amb la col·laboració de les entitats crítiques i les entitats equivalents a entitats crítiques que els necessitin, per recollir les mesures de vigilància, prevenció i protecció que han d’adoptar les unitats policials en relació amb amenaces com, per exemple, la delinqüència o el terrorisme que puguin afectar les infraestructures crítiques, així com la reacció per a la qual han d’estar preparades si el risc associat a alguna d’aquestes amenaces es materialitza.
h) Seguretat: la capacitat de les xarxes i dels sistemes d’informació de resistir, amb un nivell determinat de fiabilitat, tota acció que comprometi la disponibilitat, autenticitat, integritat o confidencialitat de les dades emmagatzemades, transmeses o tractades, o els serveis corresponents oferts per les xarxes i sistemes d’informació esmentats o que són accessibles per aquests darrers.
b) CSIRT-AD: centre de resposta a incidents de seguretat de les xarxes i dels sistemes d’informació de referència al Principat d’Andorra.
c) Catàleg nacional d’infraestructures crítiques (CNIC): instrument que conté la valoració i tota la informació completa, actualitzada i contrastada de les infraestructures crítiques per al Principat d’Andorra. El CNIC inclou les infraestructures crítiques de les entitats crítiques, les de les entitats equivalents a entitats crítiques i les situades fora del Principat d’Andorra.
d) CID i DIC: tots dos són sigles de les paraules confidencialitat, integritat i disponibilitat, ordenades segons la dimensió que, en principi, té més rellevància per a la seguretat. En l’àmbit de les tecnologies de la informació és habitual utilitzar el terme CID, mentre que en l’àmbit la tecnologia d’operació se sol utilitzar el terme DIC.
e) DSI: delegat de la seguretat de la informació, d’acord amb el que s’estableix a l’article 18 de la Llei NIS-AD.
f) Informació sensible sobre infraestructures crítiques: dades específiques sobre infraestructures crítiques que, en cas de revelar-se, podrien utilitzar-se per planejar i dur a terme accions l’objectiu de les quals sigui provocar la pertorbació o la destrucció d’aquestes infraestructures.
g) Pla de suport operatiu: plans elaborats pel Cos de Policia del Principat d’Andorra amb la col·laboració de les entitats crítiques i les entitats equivalents a entitats crítiques que els necessitin, per recollir les mesures de vigilància, prevenció i protecció que han d’adoptar les unitats policials en relació amb amenaces com, per exemple, la delinqüència o el terrorisme que puguin afectar les infraestructures crítiques, així com la reacció per a la qual han d’estar preparades si el risc associat a alguna d’aquestes amenaces es materialitza.
h) Seguretat: la capacitat de les xarxes i dels sistemes d’informació de resistir, amb un nivell determinat de fiabilitat, tota acció que comprometi la disponibilitat, autenticitat, integritat o confidencialitat de les dades emmagatzemades, transmeses o tractades, o els serveis corresponents oferts per les xarxes i sistemes d’informació esmentats o que són accessibles per aquests darrers.
2. La resta de termes emprats en aquest Reglament tenen el significat que es defineix a l’article 3 de la Llei NIS-AD.
Article 3. Àmbit d’aplicació
1. L’àmbit d’aplicació d’aquest Reglament s’estén a les infraestructures crítiques de les entitats crítiques i les entitats equivalents a entitats crítiques, a aquestes entitats i a les autoritats competents, d’acord amb les definicions que s’inclouen a l’article 3 de la Llei NIS-AD.
2. Addicionalment, i només a l’efecte de col·laboració amb l’ANC-AD d’acord amb el que s’estableix a l’article 4 i a l’article 7 d’aquest Reglament, s’inclouen en el seu àmbit d’aplicació les entitats essencials els serveis essencials de les quals depenen d’infraestructures crítiques.
3. Finalment, i només als efectes del que s’estableix a l’article 11 d’aquest Reglament, s’inclou en el seu àmbit d’aplicació el Cos de Policia del Principat d’Andorra.
Capítol segon. Procediments per a la identificació i la designació d’infraestructures crítiques
Article 4. Identificació d’infraestructures crítiques
1. Les autoritats competents designades a l’article 6 de la Llei NIS-AD proposen les infraestructures crítiques en funció dels resultats de la seva avaluació dels riscos que poden afectar els serveis essencials de la seva competència, d’acord amb els seus criteris sectorials, com ara la durada permesa per a les pertorbacions o el temps de recuperació.
LesLleis.com
2. Per dur a terme la proposta d’infraestructures crítiques esmentada a l’apartat anterior, les autoritats competents poden comptar amb la participació i l’assessorament tècnic de les entitats essencials dels sectors de la seva competència, les quals han de col·laborar en la valoració i la descripció de les infraestructures que gestionen o de les quals depenen.
3. L’ANC-AD és responsable d’identificar les infraestructures crítiques en la prestació dels serveis essencials per al Principat d’Andorra, per a la qual cosa aplica els criteris de criticitat horitzontals adients en cada moment, com ara les possibles víctimes, l’impacte econòmic i l’impacte públic, sobre la proposta d’infraestructures crítiques a què es refereixen els apartats 1 i 2 anteriors.
Registreu-vos a LesLleis.com per
accedir al contingut complert d'aquesta pàgina.