FAQs Llei NIS

Cercador FAQ

1.- Quin és l'objecte de la llei?

(R) Regular el reforç de la resiliència de les entitats crítiques i la seguretat de les xarxes i dels sistemes d’informació utilitzats per a la prestació de serveis essencials i importants al Principat d’Andorra.

2.- Quin és l'àmbit d'aplicació

(R) s’aplica a les entitats públiques i privades previstes en el marc de les entitats essencials i importants d’acord amb la seva definició a l’article 3, que ocupen a 50 o més persones o que el volum anual de negocis de les quals o el seu balanç general anual supera els deu milions d’euros.

3.- Que compren l'estratègia Nacional de Ciberseguretat?

(R) L’Estratègia Nacional de Ciberseguretat del Principat d’Andorra comprèn els objectius estratègics i les mesures polítiques i normatives necessàries per aconseguir i mantenir un nivell elevat de seguretat en les xarxes i en els sistemes d’informació, cobrint els sectors operats per les entitats essencials i importants en els termes definits en aquesta Llei

4.- Reglaments que es desenvolupen a partir de l'Estratègia nacional de Ciberseguretat?

(R) ENS-AD (esquema nacional de seguretat d’Andorra)
RIC-AD (Reglament d’infraestructures crítiques d’Andorra

5.- Qui és el responsable de la gestió d'incidents?

(R) L’ANC-AD és la responsable de la gestió dels incidents i de les crisis a gran escala

6.- Qui són les autoritats nacionals competents?

(R) L’AFA, en coordinació amb l’ANC-AD, és l’autoritat nacional competent encarregada de la ciberseguretat i de les tasques de supervisió

7.- Punt de contacte únic

(R) L’ANC-AD actuarà com a punt de contacte únic en matèria de ciberseguretat per al Principat d’Andorra

8.- Funcions de les autoritats nacionals competents

(R) Identificar, en col·laboració amb el CSIRT-AD, serveis essencials i importants, entitats crítiques i entitats equivalents a entitats crítiques.
Supervisar el compliment per part de les entitats essencials o importants de les obligacions

9.- Que és el CSIRT-AD

(R) El CSIRT-AD és l’equip de referència de resposta als incidents de seguretat de les xarxes i els sistemes d’informació dels sectors

10.- Obligacions d'identificació com a entitat essencial o important

(R) Les entitats que conforme a les definicions incloses a la llei es considerin essencialso importants i estiguin dins de l’àmbit d’aplicació descrit, i disposin d’un establiment al Principat d’Andorra o d’un representant d’acord amb l’establert a, remetran la següent informació a les seves respectives autoritats nacionals competents.

11.- Identificació d'entitats crítiques

(R) En el termini màxim de sis mesos a comptar de la conclusió de l’avaluació de riscos que s’especifica a la llei , les autoritats nacionals competents hauran de tenir identificades les entitats crítiques i les equivalents a entitats crítiques per a cada sector i subsector a què es refereix

12.- Com es gestionaran els riscos de ciberseguretat

(R) Les entitats essencials i importants, i molt especialment les que a més d’essencials siguin crítiques, han d’adoptar les mesures tècniques i organitzatives adequades i proporcionades per establir un procés per a la gestió dels riscos que es plantegin a fi d’aconseguir un nivell elevat de resiliència

13.- Hi ha obligació de notificar incidents?

(R) Les entitats que presten serveis essencials o importants han de notificar al CSIRT-AD, que al seu torn ho farà a l’autoritat nacional competent que li pertoqui i en tot cas a l’ANC-AD, els incidents que tinguin o puguin tenir efectes significatius en aquests serveis d’acord amb el que s’estableixi reglamentàriament, així com qualsevol informació que permeti a l’autoritat nacional competent o al CSIRT-AD determinar les repercussions transfrontereres que pot tenir l’incident.

14.- Es pot notificar voluntàriament?

(R) Sense perjudici del que es disposa la llei, les entitats excloses de l’àmbit d’aplicació d’aquesta Llei poden presentar voluntàriament notificacions de ciberamenaces, quasiincidents i incidents significatius. Quan tramitin les notificacions al CSIRT-AD, aquestes entitats actuaran de conformitat amb el procediment establert a la mateixa.

15.- Qui aprovarà les mesures de gestió de riscos en la governança?

(R) Els òrgans de direcció de les entitats essencials i importants han d’aprovar les mesures de gestió dels riscos de ciberseguretat adoptades per aquestes entitats segons el que es disposa la llei, supervisar la seva posada en pràctica i respondre per l’incompliment de les obligacions recollides en dit article per part de les entitats.

16.- Que és el DSI (delegat de la seguretat de la informació)?

(R) Les entitats essencials i les entitats importants, a través dels seus òrgans de direcció, han de designar una persona física, una unitat o un òrgan col·legiat, perquè actuï com a Delegat de la Seguretat de la Informació (DSI) i sigui el punt de contacte i coordinació tècnica entre l’entitat que l’ha designat i l’autoritat nacional competent i el CSIRT-AD.

17.- Supervisió del compliment de la llei

(R) Cada autoritat nacional competent s’encarregarà de supervisar el compliment d’aquesta Llei, i en especial les obligacions descrites a la llei , que siguin aplicables a les entitats essencials i importants en el seu àmbit d’actuació competent.

18.- Potestat sancionadora

(R) La potestat per incoar i resoldre els expedients sancionadors per raó de l’establert en aquesta Llei cor-respon a l’autoritat que en cada moment estigui al capdavant de l’ANC-AD, també pel que fa a les entitats que estiguin sota la supervisió de l’AFA, a petició d’aquesta última. La instrucció dels expedients correspon als tècnics designats per l’ANC-AD.

FAQs