-
El Catàleg nacional d’infraestructures crítiques (d’ara endavant, “el CNIC” o “el Catàleg”) és el registre de caràcter administratiu que conté informació completa, actualitzada i contrastada de les infraestructures crítiques designades conforme a l’article 5 i l’article 6 d’aquest Reglament, que suporten serveis essencials per al Principat d’Andorra. El Catàleg:
- a) Conté, entre altres dades, les relatives a la descripció de les infraestructures, la seva ubicació, l’administració i la titularitat (incloent-hi si es tracta d’una entitat crítica, una entitat equivalent a una entitat crítica o una entitat estrangera que gestiona una infraestructura crítica per la prestació d’un servei essencial al Principat d’Andorra), els serveis que presten, els mitjans de contacte, el nivell de seguretat que necessiten en funció dels riscos avaluats i el pla de seguretat de l’entitat, així com la informació obtinguda de les forces i els cossos de seguretat.
- b) És secret, i la informació sensible sobre infraestructures crítiques s’hi inclou únicament quan sigui necessària per a la finalitat principal del Catàleg i es limita a aquella que sigui pertinent i proporcionada per a aquestes finalitats, i cal preservar-ne la confidencialitat i protegir-la d’interessos aliens als previstos per al CNIC.
- c) Les xarxes i els sistemes d’informació que allotgin el Catàleg i hi donin accés, i la informació continguda en el Catàleg, comptaran amb les mesures de seguretat necessàries que en garanteixin la confidencialitat, integritat i disponibilitat (CID) o la disponibilitat, integritat i confidencialitat (DIC), depenent en cada cas de la tipologia de l’entitat, d’acord amb els requisits de seguretat establerts en l’Esquema nacional de seguretat del Principat d’Andorra per al nivell de seguretat alt.
-
La finalitat principal del Catàleg és valorar i gestionar les dades disponibles de les diferents infraestructures crítiques, amb l’objectiu de dissenyar els mecanismes de planificació, prevenció, protecció i reacció davant una eventual amenaça contra les dades i, en cas de ser necessari, activar, conforme al que es preveu en el Pla de les infraestructures crítiques del Principat d’Andorra mencionat en l’article 8 d’aquest Reglament, una resposta àgil, oportuna i proporcionada, d’acord amb el nivell i les característiques de l’amenaça de què es tracti.
-
La competència per classificar una infraestructura com a crítica, així com per incloure-la en el Catàleg, correspon a l’ANC-AD. Així:
- a) Correspon a l’ANC-AD efectuar les altes, baixes i modificacions d’infraestructures crítiques en el Catàleg, així com determinar el nivell de seguretat que requereixen. Per complir aquest punt, l’ANC-AD pot comptar amb la participació i l’assessorament de l’entitat que allotja la infraestructura crítica.
- b) A l’efecte de determinar el nivell de seguretat de cada infraestructura crítica, l’ANC-AD pot sol·licitar a les entitats essencials que en depenen la seva pròpia anàlisi de riscos dels serveis essencials afectats per la infraestructura crítica.
-
El CNIC és custodiat, gestionat i mantingut per l’ANC-AD, i es nodreix de la informació que faciliten a l’ANC-AD tant les entitats crítiques i equivalents a entitats crítiques com les entitats essencials que depenen d’infraestructures crítiques ubicades a l’estranger, i ha d’actualitzar-se amb una periodicitat anual i, en tot cas, a requeriment de l’ANC-AD i sempre que es produeixi una modificació rellevant que afecti les infraestructures inscrites del Catàleg i que sigui d’interès als efectes previstos en aquest Reglament.
Capítol quart. Instruments de planificació de la protecció i la millora de la resiliència de les infraestructures crítiques