B
BOPA·CHAT
Decret 417/2022, del 12-10-2022, pel qual s’aprova el Reglament de l’Esquema nacional de seguretat del Principat d’Andorra.
152 versions

Decret 417/2022, del 12-10-2022, pel qual s’aprova el Reglament de l’Esquema nacional de seguretat del Principat d’Andorra.

How this article evolved across every version of the law.

v1AmendmentBOPA 034123Oct 18, 2022

Requisits mínims per a les entitats subcontractades

Decret 417/2022, del 12-10-2022, pel qual s’aprova el Reglament de l’Esquema nacional de seguretat del Principat d’Andorra.

  1. Les entitats essencials i importants tenen el deure d’escollir proveïdors (entitats subcontractades) que ofereixin garanties suficients sobre els serveis subcontractats per aplicar les mesures de seguretat tècniques i organitzatives que siguin adequades al nivell de seguretat que requereixen els serveis als quals s’aplica l’ENS-AD. Entre aquestes garanties, hi pot haver els certificats de seguretat internacionalment reconeguts.

  2. L’entitat subcontractada no pot recórrer a una altra subcontracta (independentment que aquesta última sigui una entitat o una persona física) sense l’autorització prèvia, per escrit, específica o general, de l’entitat que presta el servei al qual s’aplica l’ENS-AD. L’entitat subcontractada ha d’informar l’entitat que presta el servei al qual s’aplica l’ENS-AD de qualsevol canvi previst en la incorporació o la substitució d’altres subcontractes en els quals delegar part o la totalitat de la prestació del servei subcontractat. D’aquesta manera, es dona a les entitats que presten serveis als quals s’aplica l’ENS-AD l’oportunitat d’oposar-se a aquests canvis i, si escau, de canviar de proveïdor.

  3. El servei que l’entitat subcontractada presta per suportar el servei al qual s’aplica l’ENS-AD s’ha de regir per un contracte per escrit, inclòs el format electrònic, que vincula l’entitat subcontractada a l’entitat que presta el servei al qual s’aplica l’ENS-AD, i estableix, com a mínim:

    • a) El nivell de seguretat i l’acord del nivell del servei que l’entitat subcontractada ha de garantir pel servei subcontractat.

    • b) Les penalitzacions associades als incompliments en relació amb el punt anterior.

    • c) Les restriccions que per raó de jurisdicció pot haver-hi en la ubicació física dels actius d’informació que l’entitat subcontractada necessita per prestar el seu servei. En especial quan aquests actius d’informació són crítics, quan es tracten dades personals o qualsevol altre tipus d’informació igualment sensible, o quan algun dels actius d’informació de l’entitat subcontractada hagi d’ubicar-se fora d’Andorra i de l’espai econòmic europeu.

    • d) Garantir que les persones autoritzades per tractar la informació o administrar, mantenir o operar el servei s’han compromès a respectar la confidencialitat de la informació o estan subjectes a una obligació de confidencialitat de naturalesa estatutària, i han rebut la formació adequada en matèria de seguretat de la informació.

    • e) Prendre totes les mesures necessàries en matèria de seguretat de la informació.

    • f) Respectar les condicions establertes en l’apartat 2, en recórrer a unes altres subcontractes, i obligar-les a complir, mitjançant un contracte escrit, les mateixes obligacions de seguretat de la informació que s’hagin estipulat en aquest contracte, especialment la prestació de garanties suficients d’aplicació de mesures tècniques i organitzatives adequades de manera que el servei al quals s’aplica l’ENS-AD sigui conforme amb les disposicions d’aquesta Llei. Addicionalment, s’ha d’especificar que en cap cas aquesta subcontracta no farà que l’entitat subcontractada perdi les seves responsabilitats enfront de l’entitat que presta el servei al qual s’aplica l’ENS-AD.

    • g) Assistir l’entitat que presta el servei al qual s’aplica l’ENS-AD en les obligacions que estableixen els articles 12 a 15 de la Llei NIS-AD.

    • h) Les condicions per al rescat del servei que presta l’entitat subcontractada.

      • i) Posar a disposició de l’entitat que presta el servei al qual s’aplica l’ENS-AD tota la informació necessària per demostrar que compleix les obligacions que estableix aquest article. Així mateix, ha de permetre la realització d’auditories, incloses inspeccions, i contribuir-hi, per part de l’entitat que presta el servei al qual s’aplica l’ENS-AD, per l’autoritat competent que supervisa aquesta última, o per un altre auditor autoritzat per fer aquestes auditories.

    • j) L’obligació de l’entitat subcontractada d’informar immediatament l’entitat que presta el servei al qual s’aplica l’ENS-AD si considera que no compleix el nivell de seguretat exigit, encara que sigui temporalment.

  4. En l’àmbit del sector públic, poden atribuir-se les competències pròpies d’una entitat subcontractada a un determinat òrgan de l’Administració pública de què es tracti o als seus organismes vinculats o dependents mitjançant l’adopció d’una norma reguladora de les competències referides, que ha d’incorporar el contingut previst a l’apartat anterior.

Capítol cinquè. Auditoria de seguretat

v2AmendmentIn forceChangedNov 05, 2024

Requisits mínims per a les entitats subcontractades

Modifica art. 15, 16; Afegeix art. disposició transitòria

  1. Les entitats essencials i importants tenen el deure d’escollir proveïdors (entitats subcontractades) que ofereixin garanties suficients sobre els serveis subcontractats per aplicar les mesures de seguretat tècniques i organitzatives que siguin adequades al nivell de seguretat que requereixen els serveis als quals s’aplica l’ENS-AD. Entre aquestes garanties, hi pot haver els certificats de seguretat internacionalment reconeguts.

  2. L’entitat subcontractada no pot recórrer a una altra subcontracta (independentment que aquesta última sigui una entitat o una persona física) sense l’autorització prèvia, per escrit, específica o general, de l’entitat que presta el servei al qual s’aplica l’ENS-AD. L’entitat subcontractada ha d’informar l’entitat que presta el servei al qual s’aplica l’ENS-AD de qualsevol canvi previst en la incorporació o la substitució d’altres subcontractes en els quals delegar part o la totalitat de la prestació del servei subcontractat. D’aquesta manera, es dona a les entitats que presten serveis als quals s’aplica l’ENS-AD l’oportunitat d’oposar-se a aquests canvis i, si escau, de canviar de proveïdor.

  3. El servei que l’entitat subcontractada presta per suportar el servei al qual s’aplica l’ENS-AD s’ha de regir per un contracte per escrit, inclòs el format electrònic, que vincula l’entitat subcontractada a l’entitat que presta el servei al qual s’aplica l’ENS-AD, i estableix, com a mínim:

    • a) El nivell de seguretat i l’acord del nivell del servei que l’entitat subcontractada ha de garantir pel servei subcontractat.

    • b) Les penalitzacions associades als incompliments en relació amb el punt anterior.

    • c) Les restriccions que per raó de jurisdicció pot haver-hi en la ubicació física dels actius d’informació que l’entitat subcontractada necessita per prestar el seu servei. En especial quan aquests actius d’informació són crítics, quan es tracten dades personals o qualsevol altre tipus d’informació igualment sensible, o quan algun dels actius d’informació de l’entitat subcontractada hagi d’ubicar-se fora d’Andorra i de l’espai econòmic europeu.

    • d) Garantir que les persones autoritzades per tractar la informació o administrar, mantenir o operar el servei s’han compromès a respectar la confidencialitat de la informació o estan subjectes a una obligació de confidencialitat de naturalesa estatutària, i han rebut la formació adequada en matèria de seguretat de la informació.

    • e) Prendre totes les mesures necessàries en matèria de seguretat de la informació.

    • f) Respectar les condicions establertes en l’apartat 2, en recórrer a unes altres subcontractes, i obligar-les a complir, mitjançant un contracte escrit, les mateixes obligacions de seguretat de la informació que s’hagin estipulat en aquest contracte, especialment la prestació de garanties suficients d’aplicació de mesures tècniques i organitzatives adequades de manera que el servei al quals s’aplica l’ENS-AD sigui conforme amb les disposicions d’aquesta Llei. Addicionalment, s’ha d’especificar que en cap cas aquesta subcontracta no farà que l’entitat subcontractada perdi les seves responsabilitats enfront de l’entitat que presta el servei al qual s’aplica l’ENS-AD.

    • g) Assistir l’entitat que presta el servei al qual s’aplica l’ENS-AD en les obligacions que estableixen els articles 12 a 15 de la Llei NIS-AD.

    • h) Les condicions per al rescat del servei que presta l’entitat subcontractada.

      • i) Posar a disposició de l’entitat que presta el servei al qual s’aplica l’ENS-AD tota la informació necessària per demostrar que compleix les obligacions que estableix aquest article. Així mateix, ha de permetre la realització d’auditories, incloses inspeccions, i contribuir-hi, per part de l’entitat que presta el servei al qual s’aplica l’ENS-AD, per l’autoritat competent que supervisa aquesta última, o per un altre auditor autoritzat per fer aquestes auditories.

    • j) L’obligació de l’entitat subcontractada d’informar immediatament l’entitat que presta el servei al qual s’aplica l’ENS-AD si considera que no compleix el nivell de seguretat exigit, encara que sigui temporalment.

  4. En l’àmbit del sector públic, poden atribuir-se les competències pròpies d’una entitat subcontractada a un determinat òrgan de l’Administració pública de què es tracti o als seus organismes vinculats o dependents mitjançant l’adopció d’una norma reguladora de les competències referides, que ha d’incorporar el contingut previst a l’apartat anterior.

Capítol cinquè. Auditoria de seguretat