Decret 416/2024, del 30-10-2024, de modificació del Decret 418/2022, del 12-10-2022, d’aprovació del Reglament d’infraestructures crítiques del Principat d’Andorra.

Exposició de motius

Des de l’aprovació del Decret 418/2022, del 12-10-2022, d’aprovació del Reglament d’infraestructures crítiques del Principat d’Andorra, com un dels mecanismes per garantir la ciberseguretat al territori de conformitat amb la Llei 22/2022, del 9 de juny, de mesures per a la seguretat de les xarxes i dels sistemes d’informació (en endavant, “Llei NIS-AND”), la tasca executada en matèria de seguretat pública en el ciberespai, anticipant i prevenint els delictes en matèria de seguretat de les xarxes i sistemes d’informació, ha estat implementada de manera exemplificativa.

Seguint el principi de millora contínua contingut a l’article 12 de la Llei NIS-AND, exigible a les infraestructures crítiques, es considera necessària l’actualització del Reglament de les infraestructures crítiques del Principat d’Andorra, per introduir-hi exigències amb vista a oferir més garanties per millorar-les pel que respecta a les empreses que els proveeixin serveis, tecnologia o productes, mitjançant l’exigència de presentar una auditoria de seguretat externa; així mateix, aquests serveis, tecnologia o productes cal que siguin els que l’Agència Nacional de Ciberseguretat del Principat d’Andorra (en endavant, “ANC-AD”) inclou al seu Registre de components certificats.

Aquestes modificacions també afavoreixen que l’ANC-AD continuï sent el punt de referència generador de confiança digital per a les infraestructures crítiques, que representen sectors estratègics per al Principat d’Andorra.

Finalment, aquesta actualització reforça el compromís nacional de cooperar en l’àmbit nacional i en l’internacional en tot el que sigui necessari per a la seguretat de les xarxes i els sistemes d’informació del Principat d’Andorra.

D’acord amb les consideracions exposades, i a proposta del cap de Govern, el Govern, en la sessió del 30 d’octubre del 2024, aprova aquest Decret amb el contingut següent:

Article 1. Modificació de l’article 12 del Reglament d’infraestructures crítiques del Principat d’Andorra

Es modifica l’article 12 del Reglament d’infraestructures crítiques del Principat d’Andorra, aprovat pel Decret 418/2022, del 12-10-2022, que queda redactat com segueix:

“Article 12. Auditories de la seguretat i garanties mínimes dels serveis o la tecnologia o els productes

1. Les entitats crítiques i les entitats equivalents a entitats crítiques són objecte, almenys anualment, d’una auditoria externa ordinària que verifica el compliment dels requisits establerts en aquest Reglament. Amb caràcter extraordinari, ha de fer-se aquesta auditoria sempre que es produeixin modificacions substancials en les infraestructures de l’entitat inscrites en el CNIC, o en un nombre significatiu de mesures de seguretat requerides d’acord amb el PSE corresponent. Aquesta auditoria extraordinària ha de determinar la data de còmput per al càlcul de l’any per efectuar l’auditoria ordinària següent, d’acord amb el que s’indica al paràgraf anterior.

2. L’auditoria es duu a terme d’acord amb la guia d’auditoria d’infraestructures crítiques publicada per l’ANC-AD, i amb els nivells de seguretat que l’ANC-AD hagi assignat als serveis essencials que depenen de cada infraestructura crítica.