Aquesta Llei s’aplica a les entitats públiques i privades previstes en el marc de les entitats essencials i importants que ocupen a 50 o més persones o que el volum anual de negocis de les quals o el seu balanç general anual supera els deu milions d’euros.

Addicionalment, aquesta Llei s’aplica a les entitats essencials i importants amb independència de la seva grandària i volum anual de negoci o balanç general anual, quan:

• els proveïdors de xarxes o serveis de comunicacions electròniques disponibles al públic,
• els prestadors de serveis de confiança,
• els registres de noms de domini de primer nivell,
• l’administració pública, així com algunes altres entitats particulars, com per exemple els proveïdors únics d’un servei (monopolis).

Entendrem per:

• Entitats essencials.-
  Entitats públiques o privades dels sectors d’energia, transports, banca, infraestructures dels mercats financers, sanitat, aigua potable, aigües residuals, infraestructura digital, i administració pública.
• Entitats importants.-
  Entitats públiques o privades dels sectors de serveis postals i de missatgeria, gestió de residus, fabricació, producció i distribució de substàncies i mescles químiques, producció, transformació i distribució d’aliments, fabricació i proveïdors de serveis digitals.

Obligacions:

1. Els òrgans de direcció de totes les entitats incloses en l’àmbit d’aplicació hauran d’aprovar les mesures de gestió dels riscos de ciberseguretat adoptades per les respectives entitats i hauran de rebre formació específica relacionada amb la ciberseguretat.
   Hi haurà responsabilitat individual per part dels membres dels òrgans de direcció.
2. Les entitats obligades hauran d’adoptar mesures tècniques i d’organització adequades i proporcionades per a gestionar els riscos de ciberseguretat existents per a la seguretat de les xarxes i els sistemes d’informació.
   Les entitats estan obligades a fer la seva pròpia anàlisi de riscos i a implantar les mesures que les entitats considerin adequades per minimitzar el risc d’impactar serveis essencials o importants.
3. Les entitats obligades hauran de notificar a les autoritats nacionals competents (Agència Nacional de Cibersegureat d’Andorra, en endavant ANC-AD, i Autoritat Financera Andorrana, en endavant AFA) o a l’Equip de Resposta davant Incidents de ciberseguretat d’Andorra (en endavant CSIRT-AD) qualsevol incident de ciberseguretat que tingui efectes significatius en la prestació dels seus serveis.
4. Els registradors de dominis de primer nivell i les possibles entitats que presten serveis de registre de noms de domini de primer nivell han de recopilar i mantenir dades precises i completes sobre el registre de noms de domini. A més, aquestes entitats han de facilitar un accés eficient a les dades de registre de dominis als sol·licitants d’accés legítims.