Llei 22/2022, del 9 de juny, de mesures per a la seguretat de les xarxes i dels sistemes d’informació

Atès que el Consell General en la seva sessió del dia 9 de juny del 2022 ha aprovat la següent:

Llei 22/2022, del 9 de juny, de mesures per a la seguretat de les xarxes i dels sistemes d’informació

Exposició de motius

És crucial per al nostre país aprofitar tots els avantatges de l’era digital per potenciar el nostre creixement econòmic i reforçar la nostra capacitat d’innovació, dins dels límits segurs i ètics que defineixen conjuntament aquesta Llei, els reglaments que la desenvolupin i la resta de marcs normatius que determini l’Agència Nacional de Ciberseguretat del Principat d’Andorra.

L’enclavament geopolític del Principat d’Andorra, la nostra consciència situacional, la creixent dependència que la nostra economia té de les xarxes i dels sistemes d’informació nacionals i transfronterers, les possibles sinergies en la prevenció d’amenaces i en els desafiaments que suposaran els ciberincidents, i l’anàlisi que s’ha realitzat en relació a les normatives necessàries per regular la correcta transformació digital que s’està projectant per al nostre país, comporten la necessitat d’aproximar les nostres capacitats en matèria de ciberseguretat a les que la Unió Europea exigeix als seus estats membres a través de la seva Directiva (UE) 2016/1148 del Parlament Europeu i del Consell, del 6 de juliol del 2016, relativa a las mesures destinades a garantir un elevat nivell comú de seguretat de les xarxes i dels sistemes d’informació a la Unió. Aquesta Llei es basa en l’esmentada directiva, i l’adapta conforme a les particularitats del Principat d’Andorra i a l’experiència que la mateixa Unió Europea ha compilat en relació a la necessitat de reduir la càrrega normativa per als organismes competents i els costos per a les entitats públiques i privades a les que aplica aquesta normativa, prenent en consideració allò que estableix la Proposta de la Comissió Europea COM (2020) 823 final, relativa a les mesures destinades a garantir un elevat nivell comú de ciberseguretat, la qual proposa la derogació de la referida Directiva (UE) 2016/1148.

Per les mateixes raons esmentades a l’inici del paràgraf anterior, ens és igualment necessari dedicar encara més atenció a les entitats crítiques, enteses com aquelles que, a més de proveir un servei essencial per al Principat d’Andorra, tenen la peculiaritat d’utilitzar una infraestructura que no es pot redundar o reemplaçar per una altra en cas de mal funcionament. El bon funcionament del nostre país requereix exigir a aquestes entitats dues coses: un nivell de protecció mínim per a les denominades infraestructures crítiques, i que es dotin d’una capacitat de recuperació enfront d’incidents en aquest tipus d’infraestructures, molt major que l’exigible a les entitats essencials que sí que compten amb solucions alternatives, per evitar l’alteració del servei essencial en tots els possibles casos en què un incident afecti una única infraestructura. És per tot això que, addicionalment a l’esmentat en el paràgraf anterior, aquesta Llei adapta a les particularitats del Principat d’Andorra la Directiva (UE) 2008/114/CE del Consell, del 8 de desembre del 2008, sobre la identificació i designació d’infraestructures crítiques europees i l’avaluació de la necessitat de millorar-ne la seva protecció, i s’adequa igualment a les lliçons apreses per la Unió Europea en relació a la necessitat d’ampliar el focus en la protecció d’aquestes infraestructures crítiques, amb l’objectiu d’aconseguir la major i més ràpida recuperació de l’entitat que gestiona la infraestructura crítica si les mesures de protecció fallen, lliçons que estan recopilades en la Proposta de Directiva del Parlament europeu i del Consell COM(2020) 829 final, relativa a la resiliència de les entitats crítiques.

Mitjançant aquesta Llei, s’estableixen les obligacions de definir, implementar, i evolucionar una estratègia nacional de ciberseguretat, de gestionar els riscos de ciberseguretat, d’incrementar la cooperació amb altres estats, especialment els propers, i de millorar la ciberresiliència de les entitats públiques i privades que resulten “essencials” o “crítiques” per prestar o tenir el potencial de prestar serveis fonamentals per a l’economia i la societat andorranes en l’àmbit de vuit sectors digitalitzats o en vies de digitalització (energia, transport, banca, infraestructures dels mercats financers, sanitat, aigües potables, residuals i superficials, infraestructures digitals, i administració pública), i de determinades entitats “importants” que operen en altres sectors no essencials però considerats importants (serveis postals i de missatgeria; gestió de residus; fabricació, producció, distribució i comercialització de substàncies i mescles químiques; producció, transformació i distribució d’aliments; i fabricació i prestadors de serveis digitals), i s’exigeix que el nostre país garanteixi que les nostres entitats essencials i importants, ja siguin de naturalesa pública o privada, comptin amb requisits en matèria de ciberseguretat i notifiquin els incidents que pateixin en relació amb aquesta matèria.

Igual que estan fent cada cop més les normatives en matèria de protecció de dades personals i les que regulen els actius digitals, aquesta Llei canvia el paradigma del repartiment de rols i responsabilitats entre les autoritats de control i les entitats incloses en els seus àmbits d’actuació. La creixent transformació digital ha demostrat ineficient el model d’autoritat de control que pretén definir i imposar les mesures tècniques i organitzatives amb les quals s’hauria de reduir l’exposició de tot tipus d’entitats als riscos que tenen el seu origen en els ciberincidents. Per poder preveure l’enorme diversitat de riscos de les ciberincidències i adequar-se a la velocitat amb què canvien tant aquests riscos com les mesures que han d’implantar les entitats, és necessari adoptar una aproximació de responsabilitat descentralitzada. Aquesta Llei estableix, per tant, que sigui cada entitat essencial o important la que quedi obligada demostrar la seva responsabilitat proactiva en la identificació i gestió dels riscos per als serveis que la classifiquen com a essencial o important, de forma proporcionada en relació amb els riscos que presenten les xarxes i els sistemes d’informació que utilitza i tenint en compte l’estat de la tècnica. Són doncs aquestes entitats, independentment de si s’encarreguen elles mateixes del manteniment de les seves xarxes i sistemes d’informació o l’externalitzen, les que es responsabilitzen de determinar els seus propis requisits de seguretat i d’implantar les mesures tècniques i organitzatives que elles mateixes considerin necessàries i suficients per reduir el seu risc de patir ciberincidències greus, fins a un nivell que l’autoritat de control consideri suficient, sobre la base d’uns criteris definits i les que queden obligades a notificar molt ràpidament els seus incidents de ciberseguretat per, entre d’altres raons, evitar la seva propagació i que altres entitats puguin beneficiar-se tant de l’alerta com de les lliçons apreses. I, fins i tot, són les pròpies entitats les que queden obligades a informar els seus usuaris quan aquesta informació pugui reduir el risc de la ciberamenaça per a aquests. En aquest nou paradigma, el paper de l’autoritat de control deixa de ser el de reguladora que dicta mesures suposadament eficients per al conjunt dels sectors i activitats i passa a ser, principalment, el de supervisora de la responsabilitat proactiva de les entitats, amb capacitat per sancionar-les amb, entre d’altres, multes administratives que han de ser efectives, proporcionades i dissuasives, i per, fins i tot, imposar prohibicions temporals per a què determinades persones físiques exerceixin funcions de direcció.

Aquesta nova aproximació s’ha mostrat més eficient que la del regulador clàssic per minimitzar el cost total dels ciberincidents, resultant de sumar els costos associats al compliment de la normativa i els costos associats als danys i perjudicis econòmics i socials que causen els ciberincidents. Així, la seva ràpida i adequada implantació és estrictament necessària per aconseguir els objectius específics de transformació digital del Principat d’Andorra de manera satisfactòria.

Aquesta Llei es divideix en un total de quatre títols i dos annexos, en els quals s’hi estableix el seu objecte, àmbit d’aplicació i definicions, el marc estratègic i institucional, les obligacions tant per a les entitats essencials, siguin o no crítiques i importants, com per a les autoritats de control competents i l’equip de referència de resposta del Principat d’Andorra per al tractament d’incidents de ciberseguretat, el règim sancionador, els sectors a considerar per a la identificació d’entitats essencials i els sectors a considerar per a la identificació d’entitats importants

Així mateix, aquesta Llei inclou una disposició addicional i quatre disposicions finals.

La disposició addicional encomana al Govern que, en el termini màxim de divuit mesos, avaluï la conveniència de constituir o no una entitat amb personalitat jurídica pròpia que assumeixi funcions diverses en matèria de digitalització, o relacionades amb aquesta matèria, incloent-hi l’Agència Nacional de Ciberseguretat del Principat d’Andorra (ANC-AD) i l’equip de referència de resposta del Principat d’Andorra per al tractament d’incidents de ciberseguretat (CSIRT-AD).

Pel que fa a les disposicions finals, la primera modifica la Llei 31/2021, del 22 de novembre, de text consolidat qualificada de seguretat pública, modificada per la Llei 4/2022, del 31 de gener, del pressupost per a l’exercici del 2022, especialment per a l’establiment de mesures en cas que el funcionament de les entitats essencials o importants així ho requereixi. Les altres tres disposicions finals, són relatives al desenvolupament reglamentari, la iniciativa de presentar la consolidació d’un text legal i l’entrada en vigor de la Llei.

Títol I. Disposicions generals

Article 1. Objecte

1. Aquesta Llei té com a objecte regular el reforç de la resiliència de les entitats crítiques i la seguretat de les xarxes i dels sistemes d’informació utilitzats per a la prestació de serveis essencials i importants al Principat d’Andorra.

2. Per a l’assoliment del seu objecte, aquesta Llei estableix, principalment:



3. El que es disposa en aquesta Llei s’entén sense perjudici de les accions que es puguin emprendre per part de les autoritats públiques corresponents per salvaguardar i garantir la seguretat nacional i les funcions essencials, per protegir la informació reservada d’Estat o la revelació de la qual sigui contrària als interessos essencials del Principat d’Andorra o per al manteniment de l’ordre públic, la detecció, investigació i persecució dels delictes, i l’enjudiciament dels seus autors.

Article 2. Àmbit d’aplicació

1. Aquesta Llei s’aplica a les entitats públiques i privades previstes en el marc de les entitats essencials i importants d’acord amb la seva definició a l’article 3, que ocupen a 50 o més persones o que el volum anual de negocis de les quals o el seu balanç general anual supera els deu milions d’euros.

2. Addicionalment, aquesta Llei s’aplica a les entitats essencials i importants amb independència de la seva grandària i volum anual de negoci o balanç general anual, quan:



3. Els reglaments i les altres eventuals normes i actes jurídics de caràcter sectorial en relació amb aquesta Llei que prevegin disposicions relatives a la gestió dels riscos de les tecnologies de la informació i la comunicació (TIC), la gestió o notificació dels incidents associats a les TIC, les proves de la resiliència operativa digital, els mecanismes d’intercanvi d’informació, i el risc de tercers relacionat amb les TIC, que tinguin un efecte almenys equivalent al de les obligacions establertes en aquesta Llei, s’aplicaran de forma prioritària a les entitats essencials i importants incloses en l’àmbit d’aplicació dels dits reglaments, normes i actes jurídics.

4. L’establert en l’apartat anterior s’entén sense perjudici del deure de notificació d’incidents establert a l’article 15, en la mesura que no sigui incompatible amb la normativa sectorial de què es tracti.

Article 3. Definicions

A l’efecte d’aquesta Llei, s’entén per:

1. AFA: Autoritat Financera Andorrana.

2. ANC-AD: Agència Nacional de Ciberseguretat del Principat d’Andorra.

3. APDA: Agència Andorrana de Protecció de Dades.

4. Avaluació de riscos: una metodologia per determinar la naturalesa i l’abast d’un risc mitjançant l’anàlisi d’amenaces i perills potencials, i l’avaluació de les condicions de vulnerabilitat existents que podrien pertorbar les operacions de l’entitat crítica.

5. Ciberamenaces: una circumstància, un esdeveniment o una acció potencial capaç de danyar, interrompre o afectar de manera adversa les xarxes i els sistemes d’informació, així com els seus usuaris i altres parts interessades.

6. Ciberseguretat: les activitats necessàries per a la protecció de les xarxes i els sistemes d’informació, dels seus usuaris i d’altres afectats per les ciberamenaces.

7. CSIRT: centre de resposta a incidents de seguretat de les xarxes i dels sistemes d’informació.

8. CSIRT-AD: CSIRT de referència del Principat d’Andorra.

9. DNS, o Sistema de Noms de Domini: un sistema de noms distribuït jeràrquicament que permet als usuaris finals accedir als serveis i recursos d’Internet.

10. Entitat: tota persona física o jurídica constituïda i reconeguda com a tal en virtut del dret nacional del seu lloc d’establiment i que, actuant en nom propi, pot exercir drets i estar subjecta a obligacions.

11. Entitat crítica: una entitat que proporciona un o més serveis essencials la prestació dels quals depèn d’una o més infraestructures crítiques situades al Principat d’Andorra.

12. Entitat de l’administració pública: una entitat del Principat d’Andorra que compleix els següents criteris:



13. Entitat de registre de noms de domini de primer nivell: una entitat en la qual s’ha delegat un domini de primer nivell específic i que és responsable d’administrar aquest domini, inclòs el registre de noms de domini en el de primer nivell i el funcionament tècnic del domini d’aquest nivell, en particular l’explotació dels seus servidors de nom, el manteniment de les seves bases de dades i la distribució dels arxius de zona del domini de primer nivell entre els servidors de nom.

14. Entitat equivalent a entitat crítica: tota entitat que sense ser crítica gestiona una o més infraestructures crítiques situades al Principat d’Andorra.

15. Entitat essencial: tota entitat de l’administració pública o privada, que ofereix un servei essencial d’acord amb la definició de l’apartat 35.

16. Entitat important: tota entitat de l’administració pública o privada que ofereix un servei important d’acord amb la definició de l’apartat 36.

17. Estratègia Nacional de Ciberseguretat: marc coherent del Principat d’Andorra que estableix prioritats i objectius estratègics en matèria de seguretat de les xarxes i dels sistemes d’informació al país.

18. Gestió d’incidents: conjunt de mesures i procediments destinats a detectar, analitzar i limitar un incident i respondre davant aquest.

19. Gestió de riscos: procés de planificar la gestió de riscos, i conjunt d’activitats orientades a identificar, analitzar, respondre, monitorar i controlar els riscos.

20. Incident: qualsevol esdeveniment que pugui pertorbar o que pertorbi les operacions d’una entitat, o que comprometi la disponibilitat, autenticitat, integritat o confidencialitat de les dades emmagatzemades, transmeses o tractades, o els serveis corresponents oferts per xarxes i sistemes d’informació o accessibles per mitjà d’aquests.

21. Infraestructura: un actiu, sistema o part d’aquest, necessari per a la prestació d’un servei essencial.

22. Infraestructures crítiques: infraestructures que són indispensables i no permeten solucions alternatives, pel que la seva pertorbació o destrucció, tindria efectes perjudicials significatius sobre la prestació d’un o més serveis essencials.

23. Mercat en línia: un servei digital que permet als consumidors celebrar contractes a distància mitjançant una interfície en línia.

24. Motor de cerca en línia: un servei digital que permet als usuaris introduir consultes per fer recerques, en principi, de tots els llocs web, o de llocs web en un idioma concret, mitjançant una consulta sobre un tema qualsevol en forma de paraula clau, consulta oral, frase o un altre tipus d’entrada i que, en resposta, mostra resultats en qualsevol format en què pot trobar-se informació relacionada amb el contingut sol·licitat.

25. Òrgan de direcció: l’òrgan o òrgans d’administració de l’entitat nomenats de conformitat amb el dret nacional, facultats per fixar l’estratègia, els objectius i l’orientació general de l’administració d’aquesta entitat, o les persones equivalents que dirigeixin efectivament l’entitat o exerceixin funcions clau de conformitat amb la legislació andorrana.

26. Plataforma de serveis de xarxes socials: una plataforma que permet que els usuaris finals es connectin, comparteixin, descobreixin i es comuniquin entre si a través de múltiples dispositius i, en particular, mitjançant xats, publicacions, vídeos i recomanacions;

27. Proveïdor de serveis de DNS: una entitat que proporciona serveis de resolució recursiva de noms de domini a usuaris finals d’Internet i a altres proveïdors de serveis de DNS, o una entitat que proporciona resolució de noms de domini autoritzada com a servei que poden obtenir entitats essencials o importants de tercers.

28. Quasiincident: qualsevol succés que posseeix el potencial per produir un incident i no arriba a produir-lo, ja sigui per l’atzar o per una intervenció oportuna.

29. Resiliència: la capacitat de prevenir, resistir, mitigar, absorbir, adaptar-se i recuperar-se d’un incident que pertorbi o pugui pertorbar les operacions d’una entitat crítica.

30. Risc: qualsevol circumstància o fet que pugui tenir un efecte advers potencial en la resiliència de les entitats crítiques;

31. Seguretat de les xarxes i sistemes d’informació: la capacitat de les xarxes i dels sistemes d’informació de resistir, amb un nivell determinat de fiabilitat, tota acció que comprometi la disponibilitat, autenticitat, integritat o confidencialitat de les dades emmagatzemades, transmeses o tractades, o els serveis corresponents oferts per les referides xarxes i sistemes d’informació o accessibles per aquests.

32. Servei de computació en núvol: un servei digital que fa possible l’administració sota demanda i l’accés remot ampli a un conjunt modulable i elàstic de recursos informàtics distribuïts que es poden compartir.

33. Servei de centre de dades: un servei que engloba les estructures, o agrupacions d’estructures, dedicades a l’allotjament, la interconnexió i l’explotació centralitzats de les tecnologies de la informació i els equips de xarxa que proporcionen serveis d’emmagatzematge, tractament i transport de dades, juntament amb totes les instal·lacions i infraestructures necessàries per a la distribució de l’energia i el control ambiental.

34. Servei digital: tot servei de la societat de la informació, és a dir, tot servei proveït normalment a canvi d’una remuneració, a distància, a petició individual d’un destinatari de serveis, i enviat des de la font i rebut pel destinatari mitjançant equips electrònics de tractament (inclosa la compressió digital) i d’emmagatzematge de dades i que es transmet, canalitza i rep completament per fils, ràdio, mitjans òptics o qualsevol altre mitjà electromagnètic.

35. Servei essencial: servei ofert per una entitat quina tipologia s’emmarca en el de les entitats essencials previstes a l’Annex I, que les autoritats nacionals competents designen com tal d’acord amb l’article 6.4.b), en resultar necessari per al manteniment de les funcions socials bàsiques, la salut, la seguretat, el benestar social i econòmic dels ciutadans, o el funcionament eficaç de les institucions de l’Estat i les administracions públiques, que depengui per a la seva provisió de xarxes i sistemes d’informació, i que pot veure greument afectada la continuïtat de les seves prestacions en supòsits de ciberincidents i, en conseqüència, ocasionar un greu perjudici social i econòmic al Principat d’Andorra.

36. Servei important: servei ofert per una entitat de tipologia emmarcada com a entitat important a l’Annex II, que les autoritats nacionals competents designen com tal d’acord amb l’article 6.4.b), en resultar necessari per al manteniment de les funcions socials bàsiques, la salut, la seguretat, el benestar social i econòmic dels ciutadans, o el funcionament eficaç de les institucions de l’Estat i les administracions públiques, que depengui per a la seva provisió de xarxes i sistemes d’informació, i que pot veure greument afectada la continuïtat de les seves prestacions en supòsits de ciberincidents i, en conseqüència, ocasionar un greu perjudici social i econòmic al Principat d’Andorra,

37. Vulnerabilitat: deficiència, susceptibilitat o fallada d’un actiu, sistema, procés o control que pot ser aprofitat per una o més ciberamenaces.

38. Xarxa de distribució de continguts: una xarxa de servidors distribuïts geogràficament a l’efecte de garantir una elevada disponibilitat, accessibilitat o distribució ràpida de continguts i serveis digitals als usuaris d’Internet en nom dels proveïdors de continguts i serveis.

39. Xarxes i sistemes d’informació:

Títol II. Marc estratègic i institucional

Capítol Primer. Marc estratègic

Article 4. Marc estratègic de seguretat de les xarxes i dels sistemes d’informació

1. L’Estratègia Nacional de Ciberseguretat del Principat d’Andorra comprèn els objectius estratègics i les mesures polítiques i normatives necessàries per aconseguir i mantenir un nivell elevat de seguretat en les xarxes i en els sistemes d’informació, cobrint els sectors operats per les entitats essencials i importants en els termes definits en aquesta Llei, i engloba, a títol enunciatiu i no limitatiu:



2. En el marc de l’Estratègia Nacional de Ciberseguretat del Principat d’Andorra, es desenvolupen i adopten reglamentàriament:



3. L’Estratègia Nacional de Ciberseguretat del Principat d’Andorra ha de ser objecte de revisió i d’avaluació almenys cada quatre anys, en funció dels indicadors de rendiment clau, procedint en tot cas a la seva modificació quan sigui necessari. S’ha de garantir la consulta als sectors rellevants representats en els diferents comitès i comissions que s’estructuren sota l’Agència Nacional de Ciberseguretat (ANC-AD).

Article 5. Marc nacional de gestió de crisis de ciberseguretat

1. L’ANC-AD és la responsable de la gestió dels incidents i de les crisis a gran escala, per als quals:

Capítol Segon. Marc institucional

Article 6. Autoritats nacionals competents

1. L’ANC-AD és l’autoritat nacional competent encarregada de la ciberseguretat i de les tasques de supervisió a què es refereix el |capítol tercer del Títol III per a les xarxes i els sistemes d’informació que cobreixen els sectors esmentats als apartats 1, 2, 5, 6, 7 i 8 de l’Annex I, així com per a totes les entitats importants per a les quals l’AFA no és l’autoritat nacional competent.

2. L’AFA, en coordinació amb l’ANC-AD, és l’autoritat nacional competent encarregada de la ciberseguretat i de les tasques de supervisió a què es refereix el capítol tercer del Títol III per a les xarxes i els sistemes d’informació que cobreixen els sectors de les entitats financeres i del mercat financer tal com es defineixen als apartats 3 i 4 de l’Annex I, així com per als serveis proveïts per les entitats que es trobin sota la supervisió de l’AFA.

3. L’ANC-AD actuarà com a punt de contacte únic en matèria de ciberseguretat per al Principat d’Andorra (Punt de Contacte Nacional Únic), i com a tal serà l’autoritat nacional competent que exercirà la funció d’enllaç per garantir la cooperació transfronterera amb les autoritats competents en matèria de ciberseguretat d’altres països, per garantir la cooperació intersectorial entre l’AFA i l’ANC-AD pel que respecta al previst en aquesta Llei, així com per garantir la cooperació entre el CSIRT-AD i els altres països, incloent-hi la xarxa de CSIRT de la Unió Europea.

4. L’ANC-AD, amb la col·laboració de l’AFA pel que fa al seu àmbit competencial de conformitat amb l’establert en aquesta Llei:



5. L’ANC-AD, amb la col·laboració de l’AFA i el CSIRT-AD, està facultada per adoptar actes delegats establint normes detallades que especifiquin algunes o totes les mesures que s’han de prendre en la mesura que sigui necessari per a l’aplicació eficaç i coherent dels objectius d’aquesta Llei, tenint en compte qualsevol evolució rellevant en riscos, tecnologia o prestació dels serveis afectats per aquesta Llei, així com qualsevol especificitat relacionada amb sectors i tipus d’entitats de l’Annex I i l’Annex II.

6. El Govern d’Andorra ha de vetllar perquè les autoritats nacionals competents disposin dels recursos adequats perquè puguin dur de forma efectiva i eficient les seves funcions per tal de poder complir amb els objectius d’aquesta Llei.

Article 7. Funcions de les autoritats nacionals competents

Les autoritats nacionals competents exerceixen les següents funcions:

1. Identificar, en col·laboració amb el CSIRT-AD, serveis essencials i importants, entitats crítiques i entitats equivalents a entitats crítiques.

2. Supervisar el compliment per part de les entitats essencials o importants de les obligacions que es determinen de conformitat amb l’establert al capítol tercer del Títol III. En aquest sentit, amb o sense el suport del CSIRT-AD, les autoritats nacionals competents poden realitzar les actuacions inspectores necessàries per al correcte desenvolupament de les seves funcions de control.

3. Analitzar les notificacions que rebin a través del CSIRT-AD sobre incidents notoris que es presentin en el marc d’aquesta Llei.

4. Informar, si s’escau, públicament sobre determinats incidents, quan la difusió d’aquesta informació sigui necessària per evitar un incident o gestionar-ne un que ja s’ha produït.

5. Revisar la declaració d’aplicabilitat de mesures de seguretat inicial a què es refereix l’article 12, i els seus successius canvis.

6. Resoldre les sol·licituds d’informació d’acord amb l’article 12.2.e), sobre personal o candidats a personal que exerceix funcions crítiques.

7. Exercir la potestat sancionadora en els casos que preveu aquesta Llei, en virtut de l’establert al seu Títol IV.

8. Emetre opinions sobre qüestions relacionades amb la ciberseguretat.

9. Desenvolupar les millors pràctiques i metodologies d’implementació de les obligacions a què fa referència aquesta Llei.

10. Desenvolupar activitats i exercicis de formació transfronterers per comprovar la ciberseguretat dels serveis essencials i la resiliència de les entitats crítiques.

11. Emetre, amb la consulta prèvia al CSIRT-AD, a les entitats essencials o importants, certificats que acreditin el compliment de les obligacions de seguretat en les xarxes i els sistemes d’informació.

Article 8. CSIRT-AD

1. El CSIRT-AD és l’equip de referència de resposta als incidents de seguretat de les xarxes i els sistemes d’informació dels sectors, subsectors o entitats que figuren en l’Annex I i l’Annex II.

2. L’ANC-AD ha de vetllar perquè el CSIRT-AD disposi dels recursos adequats perquè pugui dur a terme de forma efectiva i eficient les funcions que li assigna aquesta Llei, el seu Reglament de creació i altra eventual normativa.

3. Igualment, l’ANC-AD ha de vetllar perquè el CSIRT-AD tingui a la seva disposició una infraestructura de comunicació i d’informació adequada, segura i resilient per facilitar l’intercanvi d’informació amb les entitats essencials i importants i altres parts interessades pertinents.

Article 9. Funcions del CSIRT-AD

1. El CSIRT-AD té com a principals funcions:

Títol III. Obligacions

Capítol primer. Obligacions de ciberseguretat

Article 10. Obligació d’identificació com entitat essencial o important

1. Les entitats que conforme a les definicions incloses a l’article 3 es considerin essencials o importants i estiguin dins de l’àmbit d’aplicació descrit a l’article 2 i disposin d’un establiment al Principat d’Andorra o d’un representant d’acord amb l’establert a l’article 19, remetran la següent informació a les seves respectives autoritats nacionals competents a tot tardar sis mesos a comptar de la data de publicació al Butlletí Oficial del Principat d’Andorra de la llista de serveis essencials i importants establerta a l’article 6.4.b):



2. Les entitats a què es refereix l’apartat anterior notificaran a les seves respectives autoritats nacionals competents qualsevol canvi en la informació remesa conformement al dit apartat sense demora, i en qualsevol cas, en el termini màxim de tres mesos a comptar de la data en què es produeixi el canvi.

3. Quan, a més del Principat d’Andorra, una entitat a què es refereix l’apartat 1 compti amb el seu establiment principal en altres països, l’ANC-AD també informarà les autoritats competents d’aquests països, de la condició que té aquesta entitat com a essencial o important per al Principat d’Andorra.

Article 11. Identificació d’entitats crítiques

1. En el termini màxim de sis mesos a comptar de la conclusió de l’avaluació de riscos que s’especifica a l’article 6.4.b), les autoritats nacionals competents hauran de tenir identificades les entitats crítiques i les equivalents a entitats crítiques per a cada sector i subsector a què es refereix l’Annex I.

Les autoritats nacionals competents hauran de revisar i, si escau, actualitzar aquesta llista d’entitats crítiques i equivalents almenys una primera vegada en un termini màxim de divuit mesos després de l’entrada en vigor d’aquesta Llei i, en qualsevol cas, cada quatre anys com a mínim.

2. Quan identifiquin entitats crítiques i equivalents a crítiques de conformitat amb l’apartat 1, les autoritats nacionals competents hauran de tenir en compte els resultats de la seva avaluació dels riscos que poden afectar els serveis essencials de la seva competència, d’acord amb l’establert a l’article 6, i aplicar els criteris que identifiquen a una entitat com entitat crítica d’acord amb la seva definició.

3. L’ANC-AD, amb la col·laboració de l’AFA pel que fa al seu àmbit competencial de conformitat amb l’establert en aquesta Llei, ha d’establir una llista de les entitats identificades com a crítiques o equivalents a crítiques i assegurar-se que es notifiqui a aquestes entitats la seva identificació com a entitats crítiques o equivalents a crítiques en el termini d’un mes després d’aquesta identificació, informant-les de les seves obligacions d’acord amb la resta d’articles d’aquest capítol i la data a partir de la qual els són aplicables les disposicions que estableix aquesta Llei i els reglaments que la desenvolupin, al respecte de les dites obligacions.

Article 12. Obligacions de ciberseguretat de les entitats essencials i importants

1. Les entitats essencials i importants sotmeses a l’àmbit d’aplicació d’aquesta Llei han d’adoptar mesures tècniques i d’organització que resultin de gestionar els riscos que es plantegin en relació amb la seguretat de les infraestructures crítiques, i de les xarxes i els sistemes d’informació utilitzats en la prestació dels serveis essencials i importants, tant si es tracta d’infraestructures crítiques, xarxes i sistemes propis, com de proveïdors externs. Així mateix, han de tenir en compte, en particular, la dependència de les infraestructures crítiques, de les xarxes i dels sistemes d’informació amb la continuïtat de serveis o subministraments contractats per l’entitat, així com les interaccions que realitzin amb infraestructures, xarxes i sistemes d’informació de tercers, i els riscos que es derivin del tractament de les dades personals, d’acord amb el que disposi la normativa andorrana vigent en cada moment en matèria de protecció de dades personals i, si escau, la normativa de la Unió Europea vigent en cada moment en matèria de protecció de dades personals.

Sense perjudici del seu deure de notificar incidents de conformitat amb l’establert a l’article 15, les entitats essencials i importants han de prendre les mesures adequades i proporcionals que els siguin aplicables d’acord amb el previst a l’Esquema Nacional de Seguretat a què fa referència aquesta Llei, sense perjudici de poder ser complementades amb mesures d’altres estàndards reconeguts en l’àmbit internacional.

2. Addicionalment, les entitats crítiques han de prendre mesures tècniques i organitzatives adequades i proporcionades per garantir la resiliència de les seves infraestructures crítiques, incloses les mesures necessàries per:



3. Les mesures que s’adoptin han de ser relacionades i formalitzades en una declaració d’aplicabilitat de mesures de seguretat que les entitats han de remetre a l’autoritat nacional competent en el termini de sis mesos a comptar de la identificació de l’entitat com a entitat essencial o important, d’acord amb l’article 10 o des de l’entrada en vigor de l’Esquema Nacional de Seguretat, el que succeeixi més tard, la qual serà objecte de revisió, almenys, cada tres anys.

4. Les entitats essencials i importants han d’adoptar polítiques de seguretat de les infraestructures crítiques, xarxes, i sistemes d’informació necessaris per prestar els seus serveis essencials i importants atesos els principis de seguretat integral, gestió de riscos, prevenció, resposta i recuperació, línies de defensa, reavaluació periòdica i segregació de tasques.

Les polítiques de seguretat de les infraestructures crítiques, les xarxes i sistemes d’informació han de contenir, com a mínim, els següents factors:



5. Les autoritats nacionals competents podran establir obligacions específiques per garantir la seguretat de les infraestructures crítiques, les xarxes i els sistemes d’informació emprats per les entitats que proveeixen serveis essencials o importants. Així mateix, podran dictar instruccions tècniques i guies orientatives per detallar el contingut d’aquestes instruccions i guies.

6. Per a l’elaboració de disposicions reglamentàries, instruccions i guies, l’autoritat nacional competent tindrà en compte totes aquelles obligacions sectorials i requisits en matèria de seguretat de la informació als quals estiguin sotmesos els operadors als quals els hi són aplicables les disposicions d’aquesta Llei.

Article 13. Gestió de riscos de ciberseguretat

1. Les entitats essencials i importants, i molt especialment les que a més d’essencials siguin crítiques, han d’adoptar les mesures tècniques i organitzatives adequades i proporcionades per establir un procés per a la gestió dels riscos que es plantegin a fi d’aconseguir un nivell elevat de resiliència de les infraestructures crítiques i de protecció de les xarxes i dels sistemes d’informació que utilitzen per a la prestació dels seus serveis essencials i importants en relació amb els riscos que es plantegin. Entre les mesures de gestió del risc han de figurar aquelles la finalitat de les quals és determinar tot risc d’incidents, prevenir, detectar i gestionar incidents i reduir les seves repercussions. Aquest procés de gestió dels riscos ha de comprendre la seguretat de les dades emmagatzemades, transmeses i tractades i, en el cas d’entitats essencials, ha de tenir en compte tots els riscos rellevants que hagin trobat les autoritats nacionals competents d’acord amb l’avaluació de riscos a què es refereix l’article 6.4.b), i totes les dependències amb altres sectors i amb entitats crítiques o equivalents a entitats crítiques.

2. L’esforç dedicat per les entitats a la gestió dels riscos de ciberseguretat ha de ser proporcional en relació amb els riscos que presenten la xarxa i els sistemes d’informació que participen en l’oferta dels seus serveis essencials i importants, i tenir en compte l’estat de la tècnica. Entre els criteris per jutjar la proporcionalitat dels esforços en la gestió dels riscos s’hi han de considerar, com a mínim, els següents:



3. Entre les mesures per a la gestió dels riscos que es plantegin, s’hi han d’incloure, almenys, els següents elements:



4. Les entitats han de tenir en compte les vulnerabilitats específiques de cada proveïdor i prestador de serveis i la qualitat general dels productes i les pràctiques en matèria de ciberseguretat dels seus proveïdors i prestadors de serveis, inclosos els seus procediments de desenvolupament segur.

5. En cas que una entitat constati que els seus serveis o comeses no s’ajusten als requisits establerts als apartats 1, 2 i 3, com més aviat millor, haurà d’adoptar totes les mesures correctores necessàries per a què el servei o comesa en qüestió, compleixi aquests requisits.

Article 14. Obligació de resoldre els incidents, d’informació i de col·laboració mútua

1. En termes de gestió d’incidents de seguretat, detecció de vulnerabilitats o ciberamenaces, les entitats essencials i importants han de:



2. Les entitats essencials i importats han de subministrar al CSIRT-AD i a l’autoritat nacional competent que escaigui tota la informació que se’ls requereixi per a l’acompliment de les funcions que els encomana aquesta Llei. En particular, podrà requerir-se informació addicional a les entitats essencials o importants per analitzar la naturalesa, les causes i els efectes dels incidents notificats, i per elaborar estadístiques i reunir les dades necessàries per elaborar els informes anuals considerats a l’article 25.4.e).

Quan les circumstàncies ho permetin, l’autoritat nacional competent o el CSIRT-AD proporcionarà a les entitats essencials o importants afectades per incidents la informació derivada del seu seguiment que pugui ser-los rellevant, en particular, per resoldre l’incident.

Article 15. Obligació de notificar

1. Les entitats que presten serveis essencials o importants han de notificar al CSIRT-AD, que al seu torn ho farà a l’autoritat nacional competent que li pertoqui i en tot cas a l’ANC-AD, els incidents que tinguin o puguin tenir efectes significatius en aquests serveis d’acord amb el que s’estableixi reglamentàriament, així com qualsevol informació que permeti a l’autoritat nacional competent o al CSIRT-AD determinar les repercussions transfrontereres que pot tenir l’incident.

Aquesta notificació es farà sense demora i en tot cas en el termini de setanta-dues hores a comptar de la seva detecció. Si en el moment de notificar l’incident o possible incident encara no disposen d’informació en relació amb la seva repercussió sobre serveis essencials o importants, poden ometre aquesta informació, amb el compromís d’enviar-la com més aviat millor, i que transcorregut un termini de setanta-dues hores des de la notificació de l’incident, l’entitat essencial o important que no hagi reunit la informació pertinent enviï al CSIRT-AD un informe justificatiu de les actuacions que hagi dut a terme per obtenir aquesta informació i dels motius pels quals no ha sigut possible obtenir-la.

Quan sigui procedent, aquestes entitats han de notificar, sense demora indeguda, als destinataris dels seus serveis que puguin veure’s afectats per l’incident, les mesures o solucions que aquests destinataris poden aplicar en resposta al mateix.

2. Les entitats de serveis essencials o importants han de notificar a l’autoritat nacional competent, per mitjà del CSIRT-AD i sense demora, qualsevol ciberamenaça significativa pels serveis essencials o importants que, al seu parer, pot desembocar en un incident significatiu d’acord amb el que s’estableixi reglamentàriament.

Quan sigui procedent, aquestes entitats han de notificar, sense demora indeguda, als destinataris dels seus serveis que puguin veure’s afectats per una ciberamenaça significativa, les mesures o solucions que aquests destinataris poden aplicar en resposta a l’amenaça. Quan sigui procedent, les entitats notificaran als destinataris la pròpia amenaça.

3. Una amenaça significativa és aquella que pot donar lloc a un incident significatiu, i un incident es considerarà significatiu si:



5. En casos degudament justificats, com ara en supòsits de força major, l’entitat pot incomplir els terminis establerts en els apartats 1 i 2.

6. Les notificacions efectuades a l’empara d’aquest article han d’incloure la informació que permeti determinar qualsevol efecte transfronterer de l’incident.

7. El CSIRT-AD oferirà, en el termini de vint-i-quatre hores després de la recepció de la notificació inicial a què es refereix l’apartat 4.a), una resposta a l’entitat que ha fet la notificació, incloent en particular els seus comentaris inicials sobre l’incident i, a instàncies de l’entitat, una orientació sobre l’aplicació de possibles mesures de mitigació. El CSIRT-AD donarà suport tècnic addicional quan així ho sol·liciti l’entitat afectada. Quan es sospiti que l’incident és de naturalesa delictiva, el CSIRT-AD també proporcionarà orientació a l’efecte de denunciar l’incident davant les autoritats corresponents.

L’obligació de notificació d’incidents prevista en aquest article no allibera del compliment del deure general que té l’entitat que fa la notificació de denúncia davant les autoritats corresponents, sobre aquells fets que puguin revestir caràcter de delicte.

8. Quan el coneixement del públic sigui necessari per evitar un incident o fer front a un incident en curs, o quan la divulgació de l’incident redundi en l’interès públic, l’ANC-AD, amb el suport del CSIRT-AD, podrà informar el públic, després de consultar-ho amb l’entitat afectada, de l’incident, o exigir a l’entitat que ho faci si aquesta no ha actuat prèviament en aquest sentit.

9. Les notificacions d’entitats essencials han de referir-se als incidents que afecten les infraestructures crítiques, les xarxes i els sistemes d’informació emprats en la prestació dels serveis essencials, sent indiferent que es tracti d’infraestructures crítiques, xarxes i sistemes propis o de proveïdors externs.

10. Les entitats essencials o importants han de realitzar les notificacions que corresponguin en virtut d’aquest capítol a través del Delegat de la Seguretat de la Informació (DSI) que hagin designat segons el que es disposa a l’article 18.

11. La notificació d’un incident segons el que es disposa en aquesta Llei no exclou ni substitueix l’obligació de notificació que les entitats hagin de fer a altres organismes conforme a la seva normativa específica.

12. Quan la notificació d’incidents o la seva gestió, anàlisi o resolució requereixi comunicar dades personals, el seu tractament s’ha de restringir a les dades que siguin estrictament adequades, pertinents i limitades en relació amb la finalitat perseguida en cada cas.

Les cessions de dades personals per a aquests fins s’entenen autoritzades en els següents casos:

Article 16. Notificació voluntària

1. Sense perjudici del que es disposa a l’article 2, les entitats excloses de l’àmbit d’aplicació d’aquesta Llei poden presentar voluntàriament notificacions de ciberamenaces, quasiincidents i incidents significatius. Quan tramitin les notificacions al CSIRT-AD, aquestes entitats actuaran de conformitat amb el procediment establert a l’article 15.

2. Així mateix, les entitats essencials o importants poden notificar els incidents o les ciberamenaces per als quals no s’estableixi una obligació de notificació.

3. Aquestes notificacions obliguen a l’entitat que les hagi efectuat a resoldre l’incident d’acord amb el que s’estableix en aquesta Llei. No obstant això, aquest tipus d’entitat notificant no queda subjecta a altres obligacions addicionals a les quals no estaria obligada de no haver presentat aquesta notificació.

4. Les notificacions obligatòries tenen caràcter prioritari sobre les voluntàries a l’efecte de la seva gestió per part del CSIRT-AD.

Capítol Segon. Altres obligacions de les entitats essencials i importants

Article 17. Governança

1. Els òrgans de direcció de les entitats essencials i importants han d’aprovar les mesures de gestió dels riscos de ciberseguretat adoptades per aquestes entitats segons el que es disposa a l’article 13, supervisar la seva posada en pràctica i respondre per l’incompliment de les obligacions recollides en dit article per part de les entitats.

2. Els membres de l’òrgan de direcció han d’assistir periòdicament a formacions específiques per adquirir coneixements i destreses suficients que permetin comprendre i avaluar els riscos de ciberseguretat i les pràctiques de gestió i el seu impacte en les operacions de l’entitat.

Article 18. Delegat de la Seguretat de la Informació

1. Les entitats essencials i les entitats importants, a través dels seus òrgans de direcció, han de designar una persona física, una unitat o un òrgan col·legiat, perquè actuï com a Delegat de la Seguretat de la Informació (DSI) i sigui el punt de contacte i coordinació tècnica entre l’entitat que l’ha designat i l’autoritat nacional competent i el CSIRT-AD.

2. Quan el DSI sigui una unitat o un òrgan col·legiat, es designa una persona física representant del mateix.

3. En tot cas, les entitats essencials o importants també han de designar un substitut del DSI perquè assumeixi les seves funcions en casos d’absència, vacant o malaltia.

4. Les dades de contacte del DSI en funcions s’han de notificar a l’autoritat competent en el termini màxim d’un mes a comptar de la data de designació que s’escaigui. El mateix procediment es realitza en el supòsit de canvis en les dades de contacte, per exemple deguts a cessaments o nomenaments, havent-los de notificar a l’autoritat nacional competent, que al seu torn els compartirà immediatament amb el CSIRT-AD, en el termini màxim d’un mes a comptar de la data del canvi.

5. El DSI actua com a punt de contacte per notificar els incidents conforme a l’article 15, així com per gestionar allò que escaigui en el si de l’entitat que l’hagi nomenat, conforme als articles 13 i 14.

6. Addicionalment, a títol enunciatiu i no limitatiu, el DSI exerceix, sota la responsabilitat de l’entitat que l’ha nomenat, les funcions següents:



Aquest intercanvi es posarà en pràctica mitjançant mecanismes d’intercanvi d’informació que respectin la possible naturalesa delicada de la informació compartida, i amb el que pugui establir-se reglamentàriament.

7. El DSI pot formar part de la plantilla laboral de l’entitat que el nomena o exercir les seves funcions en el marc d’un contracte de serveis.

8. Les entitats essencials i importants han de garantir, a títol enunciatiu i no limitatiu, que el DSI:

Article 19. Representant al Principat d’Andorra

1. Si una entitat que presta serveis essencials o importants al Principat d’Andorra no està establerta en aquest, designarà un representant al Principat d’Andorra que estigui sotmès a la jurisdicció del país. En absència d’aquest representant, l’ANC-AD podrà identificar l’entitat essencial o important, informar-la de les seves obligacions recollides en aquesta Llei i emprendre accions legals contra ella per l’incompliment d’aquestes.

2. La designació d’un representant per una entitat prevista a l’apartat 1 s’entendrà sense perjudici de les accions legals que puguin emprendre’s contra la pròpia entitat.

Article 20. Utilització d’esquemes de certificació de la ciberseguretat

1. A l’efecte de demostrar la conformitat amb determinats requisits que s’estableixen en aquesta Llei, les autoritats nacionals competents podran exigir a les entitats essencials i importants, o a categories d’entitats essencials o importants, del seu àmbit de competència, que certifiquin determinats productes, serveis i processos de TIC en virtut d’un esquema de certificació de la ciberseguretat específic adoptat reglamentàriament. Els productes, serveis o processos objecte de la certificació poden ser desenvolupats per l’entitat essencial o important o adquirits a tercers.

2. Igualment, una vegada s’hagi establert reglamentàriament un esquema de certificació d’un àmbit de la ciberseguretat, les autoritats nacionals competents podran emetre un certificat en relació amb el dit àmbit per aquelles entitats essencials o importants que acrediten el compliment de les obligacions de seguretat de les infraestructures crítiques, les xarxes i els sistemes d’informació corresponents.

Article 21. Protecció del notificador

1. La notificació voluntària no donarà lloc a la imposició d’obligacions addicionals a l’entitat notificant a les quals no estaria subjecta de no haver presentat aquesta notificació.

2. El DSI que faci la notificació, tingui relació laboral o mercantil amb l’entitat que l’ha nomenat, o la persona que notifiqui en el cas d’entitats no obligades, en cap cas pot patir conseqüències negatives en el seu lloc de treball o en la seva relació amb l’entitat a causa que procedeixi a notificar un incident d’acord amb el que es disposa en aquesta Llei, a excepció d’aquells casos en els quals quedi acreditada una mala fe en la seva actuació.

3. Són nul·les i sense efecte legal totes aquelles decisions del patró que es prenguin en perjudici o detriment dels drets laborals dels treballadors que hagin actuat de conformitat amb el que es disposa a l’article 15 o l’article 16.

Capítol tercer. Obligacions de supervisió

Article 22. Supervisió del compliment d’obligacions de seguretat i de notificacions d’incidents

1. Cada autoritat nacional competent s’encarregarà de supervisar el compliment d’aquesta Llei, i en especial les obligacions descrites als articles 13 i 15, que siguin aplicables a les entitats essencials i importants en el seu àmbit d’actuació competent.

2. Cada entitat essencial o important ha de col·laborar amb la seva autoritat nacional competent en la supervisió esmentada, i facilitar les actuacions d’inspecció, proporcionar tota la informació que a aquest efecte se li requereixi i aplicar les instruccions dictades.

3. Cada autoritat nacional competent pot dur a terme les actuacions inspectores que siguin necessàries per a l’exercici de les seves funcions de control en el seu àmbit de competència quan tinguin com a objecte:



4. Sempre que ho requereixi una autoritat nacional competent, el CSIRT-AD ha de col·laborar en l’exercici de les funcions a les quals es refereix l’apartat anterior. Especialment, el CSIRT-AD ha de facilitar assessorament tècnic sobre la idoneïtat de les mesures de seguretat adoptades per les entitats per proveir els seus serveis essencials o importants.

Article 23. Supervisió i execució en el cas d’entitats essencials

1. Cada autoritat nacional competent ha de vetllar perquè les entitats essencials del seu àmbit de competència compleixen amb les obligacions establertes en aquesta Llei de forma efectiva, proporcionada i dissuasiva.

2. Les competències de les autoritats nacionals competents, en cooperació amb el CSIRT-AD si escau, en matèria de supervisió, es fomenten en:



Respecte a les lletres e), f) i g), en tot moment l’autoritat nacional competent ha d’indicar la finalitat de la sol·licitud i especificar la informació requerida.

3. Les competències de les autoritats nacionals competents, en cooperació amb el CSIRT-AD si escau, en matèria d’execució, es fomenten en:



4. Quan les mesures d’execució exigides per l’autoritat nacional competent no s’adoptin en el termini establert, l’autoritat nacional competent està facultada per:



Aquestes suspensions o prohibicions romanen fins que l’entitat referida adopti les mesures necessàries per resoldre les deficiències o compleixi els requisits de l’autoritat nacional competent que hagi aplicat la suspensió o prohibició de què es tracti.

5. Les mesures indicades a l’apartat anterior, s’apliquen sense perjudici de garantir el dret de defensa de la persona afectada, com a mínim en els següents aspectes:



6. L’autoritat nacional competent ha d’emetre les decisions d’execució de forma detallada i motivada, notificant prèviament a l’emissió definitiva de les mateixes, a les entitats afectades, concedint-les un termini de sis mesos per formular observacions.

Article 24
Supervisió i execució en el cas d’entitats importants

1. Si l’autoritat nacional competent disposa de proves o d’indicis d’incompliment de les obligacions establertes en aquesta Llei, per part d’una entitat de serveis importants, l’autoritat referida pot imposar a posteriori les mesures de supervisió corresponents.

2. En aquest sentit, les competències de l’autoritat nacional competent, en cooperació amb el CSIRT-AD, si escau, en matèria de supervisió, es fomenten en:



Respecte a les lletres d) i e), en tot moment, l’autoritat nacional competent ha d’indicar la finalitat de la sol·licitud i especificar la informació requerida.

3. Les competències de l’autoritat nacional competent, en cooperació amb el CSIRT-AD, si escau, en matèria d’execució, es fomenten en:



4. És igualment aplicable a les entitats importants, el previst en els apartats 4 a 6 de l’article 23.

Capítol quart. Altres obligacions de les autoritats nacionals competents i del CSIRT-AD

Article 25. Obligacions de les autoritats nacionals competents

1. Les autoritats nacionals competents a l’empara d’aquesta Llei han de cooperar i intercanviar informació amb els responsables de redactar els reglaments o altres normes o actes jurídics sectorials, en particular, en relació amb la gestió dels riscos de ciberseguretat i dels incidents que afectin les entitats essencials o importants, així com amb el que respecta a les mesures de ciberseguretat adoptades per aquestes entitats.

2. Les autoritats nacionals competents hauran d’establir els canals que fomentin la comunicació amb les entitats que presten serveis essencials i importants, susceptibles de ser desplegats reglamentàriament.

3. Les autoritats nacionals competents hauran de coordinar-se amb el CSIRT-AD mitjançant els protocols d’actuació que, si escau, es poden desplegar reglamentàriament.

4. L’ANC-AD, en col·laboració amb l’AFA i amb el CSIRT-AD, haurà de:



5. A fi de promoure una aplicació convergent amb la dels estats veïns, les autoritats nacionals competents publicaran un marc normatiu mitjançant el qual fomentin, sense imposar ni afavorir l’ús d’un tipus específic de tecnologia, la utilització de normes i especificacions acceptades a escala internacional que siguin pertinents en matèria de seguretat de les infraestructures crítiques, les xarxes i els sistemes d’informació de cada sector del seu àmbit de competència.

6. Addicionalment a les anteriors obligacions, les autoritats nacionals competents podran establir obligacions específiques per garantir la seguretat de les infraestructures crítiques, les xarxes i els sistemes d’informació necessaris per prestar serveis essencials o importants i sobre notificació d’incidents, i dictar instruccions tècniques i guies orientatives per detallar el contingut d’aquestes obligacions.

Article 26. Obligacions del CSIRT-AD

1. El CSIRT-AD tindrà com a principals obligacions:

Article 27. Cooperació nacional

1. L’ANC-AD, l’AFA i el CSIRT-AD cooperaran entre si per vetllar pel compliment de les obligacions establertes en aquesta Llei.

2. L’ANC-AD i el CSIRT-AD cooperaran entre si per garantir la recepció de notificacions d’incidents, quasiincidents, vulnerabilitats o ciberamenaces significatius, en el marc d’aquesta Llei i amb el suport de les autoritats públiques del Principat d’Andorra.

3. L’ANC-AD, l’AFA i el CSIRT-AD han de consultar, quan sigui procedent, als òrgans amb competències en matèria de seguretat nacional, seguretat pública, seguretat ciutadana i protecció de dades de caràcter personal, i hi han de col·laborar en l’exercici de les seves respectives funcions establertes per aquesta Llei.

Article 28. Cooperació transfronterera

1. Quan sigui procedent, les autoritats nacionals competents i el CSIRT-AD han de cooperar amb les autoritats competents d’altres països quan aquestes requereixin la supervisió a què es refereixen els articles 23 i 24 i l’adopció de mesures per part d’entitats essencials o importants per als seus països i que tinguin relació amb el Principat d’Andorra. Aquesta cooperació implicarà, com a mínim, el següent:



Les autoritats nacionals competents o el CSIRT-AD podran negar-se a cooperar amb autoritats competents d’altres països quan, després de dialogar amb les altres autoritats nacionals competents i l’ANC-AD, l’ANC-AD determini que o bé l’autoritat competent estrangera manca de competències per demanar l’assistència requerida, o bé aquesta assistència no s’adequa ni a les tasques del CSIRT-AD ni a les tasques de supervisió de l’autoritat nacional competent de què es tracti exercides de conformitat amb els articles 23 i 24.

2. Recíprocament, quan sigui procedent, les autoritats nacionals competents o el CSIRT-AD podran demanar la cooperació d’autoritats competents o CSIRT d’altres països quan requereixin la supervisió a què es refereixen els articles 23 i 24 o l’adopció de mesures per part d’entitats essencials o importants per al Principat d’Andorra i que estiguin establertes o representades en aquests altres països, amb independència que el dit establiment sigui o no l’establiment principal de l’entitat i, en el cas de les entitats que prestin serveis essencials per al Principat d’Andorra, fins i tot quan aquesta estigui representada al país.

3. Quan s’escaigui i de comú acord, les autoritats competents del Principat d’Andorra i les d’altres països podran emprendre conjuntament les mesures de supervisió a què es refereixen els articles 23 i 24.

4. Si el CSIRT-AD o l’ANC-AD o l’AFA reben notificacions per part de països tercers sobre incidents que afecten directament o indirectament a entitats essencials o importants del Principat d’Andorra, s’ho han de notificar de forma immediata i entre aquestes entitats i a les entitats afectades, perquè conjuntament adoptin les mesures pertinents en l’exercici de les seves funcions respectives.

Article 29. Confidencialitat de la informació sensible

1. L’ANC-AD, l’AFA i el CSIRT-AD han de preservar la seguretat i els interessos comercials de les entitats essencials o importants, així com la confidencialitat de la informació que obtenen d’aquestes en l’exercici de les funcions que els encomana aquesta Llei.

2. Quan l’intercanvi d’informació sigui necessari i es tracti d’informació sensible, s’ha de limitar la cessió d’acord amb la correcta aplicació dels principis de minimització de la informació i de proporcionalitat per a la finalitat d’aquest intercanvi.

Títol IV. Règim sancionador

Article 30. Potestat sancionadora

1. Tota actuació que contradigui el que estableix aquesta Llei o les disposicions reglamentàries que la desenvolupin, pot donar lloc a la incoació d’un expedient sancionador i a la imposició de sancions després de la instrucció prèvia de l’expedient que escaigui.

2. La potestat per incoar i resoldre els expedients sancionadors per raó de l’establert en aquesta Llei correspon a l’autoritat que en cada moment estigui al capdavant de l’ANC-AD, també pel que fa a les entitats que estiguin sota la supervisió de l’AFA, a petició d’aquesta última. La instrucció dels expedients correspon als tècnics designats per l’ANC-AD.

Article 31. Responsables de les infraccions

Són responsables de les infraccions respecte al que regula aquesta Llei, les entitats essencials i importants sotmeses al compliment dels preceptes establerts en la mateixa.

Article 32. Expedient sancionador

1. La constatació d’una infracció per part de l’autoritat nacional competent que correspongui comporta la incoació de l’expedient sancionador corresponent per part de l’autoritat que disposa de la potestat sancionadora, d’acord amb el que disposi la normativa vigent en cada moment en matèria de procediments administratius sancionadors. No obstant això, el termini màxim de durada del procediment és d’un any, mentre que el termini d’al·legacions no pot tenir una durada inferior als sis mesos indicats a l’article 23.6.

2. S’atorga a les actes de l’ANC-AD la presumpció d’exactitud, llevat de prova en contra.

3. Contra les resolucions dictades per l’autoritat que disposa de la potestat sancionadora es pot interposar recurs, d’acord amb el que disposi la normativa en vigor en cada moment en matèria de recursos administratius.

Article 33. Infraccions

Constitueixen infraccions al que regula aquesta Llei les accions o omissions contràries a l’establert als seus preceptes.

Article 34. Classificació de les infraccions

1. Les infraccions dels preceptes continguts en aquesta Llei es classifiquen en molt greus, greus i lleus.

2. Són infraccions molt greus:



3. Són infraccions greus:



4. Són infraccions lleus:

Article 35. Infraccions que comporten una violació de la seguretat de les dades personals

1. Quan l’autoritat nacional competent que correspongui tingui indicis que l’incompliment de les obligacions establertes en aquesta Llei, comès per una entitat essencial o important, comporta una violació de la seguretat de les dades personals, i que, per tant, hagi de notificar-se segons el que es disposa a l’article 27.3, ha d’informar a l’APDA, en un termini de temps raonable.

2. Si l’APDA decideix exercir les seves facultats i imposar una multa administrativa, l’ANC-AD no ha d’imposar una multa administrativa per la mateixa infracció. No obstant això, l’autoritat nacional competent que correspongui pot aplicar les mesures o facultats previstes als apartats 3 (llevat del punt 3.j) i 4 de l’article 23 i als apartats 3 (llevat del punt 3.j) i 4 de l’article 24.

Article 36. Sancions

1. Per la comissió de les infraccions tipificades a l’article 34, seguint els principis d’efectivitat, proporcionalitat i dissuasió, s’imposen les següents sancions, que són aplicables amb independència que l’entitat infractora sigui o no una entitat de l’administració pública:



2. Aquestes multes s’han d’imposar atenent les circumstàncies de cada cas individual, a títol addicional o substitutiu de les mesures que hagin d’adoptar-se perquè cessin o es corregeixin els efectes de la infracció. Per a la decisió sobre la imposició de multes administratives i la seva quantia, s’han de tenir en compte, en cada cas particular i com a mínim, els elements previstos a l’article 37.

3. Addicionalment, es poden imposar multes coercitives per obligar una entitat essencial o important a posar fi a una infracció de conformitat amb una decisió prèvia de l’ANC-AD.

4. L’import recaptat en aplicació de les sancions previstes en aquesta Llei es destina a finançar el pressupost propi de l’ANC-AD.

Article 37. Graduació de les sancions

L’autoritat que disposa de la potestat sancionadora ha de graduar les sancions previstes en aquest Títol atesos els següents criteris:

Article 38. Proporcionalitat de les sancions

1. L’autoritat que disposa de la potestat sancionadora pot graduar la quantia de la sanció aplicant l’escala relativa a la classe d’infraccions anterior en gravetat a aquella en què s’integra la infracció considerada en el cas de què es tracti quan concorrin els següents supòsits:



2. Atesa la naturalesa dels fets i la concurrència significativa dels supòsits indicats en l’apartat anterior, l’autoritat que disposa de la potestat sancionadora pot no acordar l’inici del procediment sancionador, procedint, en el seu lloc, a advertir a l’entitat infractora perquè, en el termini que l’autoritat que disposa de la potestat sancionadora determini, acrediti l’adopció de les mesures correctores que, en cada cas, resultin pertinents, sempre que concorrin els següents pressupòsits:



En cas que l’advertiment no s’atengui en el termini que l’autoritat determini, es procedirà a l’obertura del corresponent procediment sancionador per raó d’aquest incompliment.

Article 39. Concurrència d’infraccions

1. No procedeix la imposició de sancions segons el que es preveu en aquesta Llei quan els fets constitutius de la infracció ho siguin també d’una altra tipificada en la normativa sectorial a la qual estigui subjecte el prestador del servei i existeixi identitat del bé jurídic protegit.

2. En cas que, a conseqüència d’una actuació sancionadora, es tingui coneixement de fets que puguin ser constitutius d’infraccions tipificades en altres lleis, s’informa dels mateixos als òrgans o organismes competents per a la seva supervisió i sanció.

Article 40. Prescripció de les infraccions

1. Les infraccions prescriuen en els terminis següents:



2. L’inici d’una activitat inspectora suspèn el termini de prescripció de les infraccions.

3. El termini de prescripció de les infraccions es computa des del dia en què cessa l’acció o l’omissió sancionable.

Article 41. Prescripció de les sancions

Les sancions per infraccions lleus prescriuen en el termini d’un any, les greus en el termini de dos anys i les molt greus en el termini de tres anys, a comptar de la data de notificació de la resolució sancionadora esdevinguda ferma.

Disposició addicional. Encomana al Govern

S’encomana al Govern que, en el termini màxim de divuit mesos a comptar de l’entrada en vigor d’aquesta Llei, avaluï la conveniència de constituir o no una entitat amb personalitat jurídica pròpia que assumeixi funcions diverses en matèria de digitalització, o relacionades amb aquesta matèria, incloent-hi l’Agència Nacional de Ciberseguretat del Principat d’Andorra (ANC-AD) i l’equip de referència de resposta del Principat d’Andorra per al tractament d’incidents de ciberseguretat (CSIRT-AD).

Disposició final primera. Modificació de la Llei 31/2021, del 22 de novembre, de text consolidat qualificada de seguretat pública

1. S’addiciona un apartat 3 a l’article 3 de la Llei 31/2021, del 22 de novembre, de text consolidat qualificada de seguretat pública, modificada per la Llei 4/2022, del 31 de gener, del pressupost per a l’exercici del 2022, el qual queda redactat com segueix:

“Article 3. Deure de col·laboració

[…]

3. De la mateixa manera, amb la mateixa finalitat, les autoritats i els funcionaris competents poden requerir l’ajuda i la col·laboració de l’Agència de Nacional de Ciberseguretat del Principat d’Andorra, així com la d’altres agències o organismes de control nacionals o d’altres estats amb potestats similars sobre àmbits i sectors concrets.”

2. Es modifica l’article 27 de la Llei 31/2021, del 22 de novembre, de text consolidat qualificada de seguretat pública, modificada per la Llei 4/2022, del 31 de gener, del pressupost per a l’exercici del 2022, el qual queda redactat com segueix:

“Article 27. Establiments i instal·lacions vulnerables

Les armeries, les joieries, les entitats bancàries, les empreses de seguretat o de venda de material de seguretat, o qualsevol altre establiment o instal·lació que es pugui considerar especialment vulnerable o exposat en matèria de seguretat, incloses les entitats essencials o importants considerades com a tals en virtut de l’establert a la legislació vigent en cada moment en matèria de seguretat de les xarxes i dels sistemes d’informació, han de disposar de les mesures de protecció que s’estableixin per la via reglamentària, per prevenir la comissió d’actes delictius contra aquests establiments o instal·lacions i les persones que hi treballen o s’hi troben, o per evitar que generin riscos pel que fa a aquestes persones o terceres persones.”

Disposició final segona. Desenvolupament reglamentari

S’autoritza el Govern per dictar les disposicions reglamentàries necessàries per desplegar i aplicar aquesta Llei.

Disposició final tercera. Text consolidat

S’encomana al Govern, en els termes previstos a l’article 116 del Reglament del Consell General, que en el termini màxim de sis mesos des de l’entrada en vigor d’aquesta Llei presenti al Consell General el projecte de text consolidat de la Llei 31/2021, del 22 de novembre, de text consolidat qualificada de seguretat pública.

Disposició final quarta. Entrada en vigor

1. Aquesta Llei entra en vigor l’endemà de ser publicada al Butlletí Oficial del Principat d’Andorra.

2. No obstant l’establert en l’apartat anterior, el capítol tercer del Títol III i el Títol IV, entren en vigor en el termini de dos anys a comptar de l’entrada en vigor d’aquesta Llei.


Casa de la Vall, 9 de juny del 2022


Nosaltres els coprínceps la sancionem i promulguem i n’ordenem la publicació en el Butlletí Oficial del Principat d’Andorra.

Annex I. Entitats essencials

¹ Incloent-hi centres d’atenció primària, centres sociosanitaris, serveis socials, hospitals i clíniques privades.

Annex II. Entitats importants