Decret 346/2021, del 20-10-2021, de creació de l’Agència Nacional de Ciberseguretat i de l’Equip de Resposta de Referència del Principat d’Andorra per al tractament d’incidents de seguretat de les xarxes i els sistemes d’informació.

1. Als efectes d’aquest Decret, s’entén per:

a. APDA: Agència Andorrana de Protecció de Dades.

b. Ciberseguretat: totes les activitats necessàries per protegir les xarxes i els sistemes d’informació, els seus usuaris i altres persones afectades per les ciberamenaces.

c. Ciberamenaça: qualsevol situació, fet o acció potencial que pot danyar, pertorbar o afectar desfavorablement les xarxes i els sistemes d’informació, els seus usuaris i altres persones.

d. CSIRT: equip que té com a objectiu servir de suport preventiu i reactiu en matèria d’incidents de seguretat de les xarxes i dels sistemes d’informació.

e. Entitat: tota persona física o jurídica constituïda i reconeguda com a tal en virtut del dret nacional del seu lloc d’establiment i que, actuant en nom propi, pot exercir drets i estar subjecta a obligacions.

f. Estratègia nacional de ciberseguretat: marc legal que estableix els objectius estratègics i les prioritats per a la seguretat de les xarxes i els sistemes d’informació i la ciberseguretat en l’àmbit nacional.

g. Incidents: tot fet que comprometi la disponibilitat, l’autenticitat, la integritat o la confidencialitat de les dades emmagatzemades, transmeses o tractades de qualsevol altra forma, o els serveis corresponents oferts per xarxes i sistemes d’informació o accessibles a través seu.

h. Risc: qualsevol circumstància o esdeveniment raonablement determinables amb un impacte potencial advers en la seguretat de les xarxes i els sistemes d’informació.

i. Seguretat de les xarxes i els sistemes d’informació: capacitat de resistència de les xarxes i els sistemes d’informació davant de qualsevol acció que comprometi la disponibilitat, l’autenticitat, la integritat o la confidencialitat de les dades emmagatzemades, transmeses o tractades, o els serveis corresponents oferts per aquestes xarxes i sistemes d’informació o accessibles a través seu.

j. Serveis essencials i importants: serveis que resulten necessaris per al manteniment de les funcions socials bàsiques, la salut, la seguretat, el benestar social i econòmic dels ciutadans, o el funcionament eficaç de les entitats de l’Administració pública, que es proveeixin mitjançant xarxes i sistemes d’informació, i que es poden veure greument afectats en supòsits de ciberincidents i, en conseqüència, ocasionar un greu perjudici social i econòmic al Principat d’Andorra.

k. Vulnerabilitat: deficiència, susceptibilitat o error d’un actiu, sistema, procediment o control que pot ser aprofitat per una ciberamenaça.

l. Xarxes i sistemes d’informació:

i. Xarxa de comunicacions electròniques consistent en sistemes de transmissió i, quan sigui procedent, equips de commutació o encaminament i altres recursos, inclosos els elements de xarxa que no són actius, que permetin el transport de senyals mitjançant cables, ones hertzianes, mitjans òptics o altres mitjans electromagnètics amb inclusió de les xarxes de satèl·lits, xarxes terrestres fixes (de commutació de circuits i de paquets, inclòs Internet) i mòbils, sistemes de línia elèctrica, en la mesura que s’utilitzin per a la transmissió de senyals, xarxes utilitzades per a la radiodifusió sonora i televisiva i xarxes de televisió per cable, amb independència del tipus d’informació transportada.

ii. Tot dispositiu o grup de dispositius interconnectats o relacionats entre si en què un o diversos d’aquests dispositius efectuen, mitjançant un programari, el tractament automàtic de dades digitals.

iii. Dades digitals emmagatzemades, tractades, recuperades o transmeses mitjançant elements previstos als apartats anteriors per fer-les funcionar, utilitzar-les, protegir-les i mantenir-les.

Es creen l’Agència Nacional de Ciberseguretat (en endavant, “l’ANC-AD”) i l’Equip de de Resposta de Referència del Principat d’Andorra per al tractament d’incidents de seguretat de les xarxes i els sistemes d’informació (en endavant, “el CSIRT-AD”), que s’adscriuen a la Secretaria d’Estat de Transició Digital i Projectes Estratègics o, si hi manca, a la secretaria d’estat o al ministeri que tingui atribuïdes les competències en digitalització.

1. L’ANC-AD s’estructura jeràrquicament segons les necessitats organitzatives actuals i les resultants de l’evolució en l’acompliment o el desplegament de les seves funcions.
2. El secretari d’Estat de Transició Digital i Projectes Estratègics és el responsable de l’ANC-AD.

1. L’ANC-AD és l’encarregada de planificar, coordinar, gestionar i controlar la ciberseguretat de xarxes i sistemes d’informació, com a pol tecnològic de referència i confiança, capdavanter en l’estratègia de ciberseguretat del país en un sentit nacional i global.

2. Sense perjudici d’allò que estableixi qualsevol altra normativa que li sigui aplicable, l’ANC-AD té per missió:

   • a) Garantir la ciberseguretat en el territori del Principat d’Andorra.
   • b) Protegir la seguretat pública en el ciberespai, anticipant i combatent els delictes en matèria de seguretat de les xarxes i dels sistemes d’informació.
   • c) Ser el punt de referència generador de confiança digital per a les entitats de les administracions públiques i les entitats privades, especialment per als sectors estratègics representats per les entitats proveïdores de serveis essencials i de serveis importants.
   • d) Cooperar en l’àmbit nacional i en l’internacional en tot el que sigui necessari per a la seguretat de les xarxes i els sistemes d’informació del Principat d’Andorra.

3. Pel que fa als objectius que ha d’assolir l’ANC-AD s’hi inclouen, a títol enunciatiu i no limitatiu:

   • a) Fomentar el desenvolupament de la ciberseguretat al Principat d’Andorra com a pilar fonamental de la transformació digital de la societat.

   • b) Reforçar les capacitats del Principat d’Andorra a l’hora de prevenir i gestionar els problemes vinculats amb la seguretat de les xarxes i els sistemes d’informació i reaccionar quan apareguin aquests problemes.

   • c) Impulsar l’atenció al criteri de ciberseguretat en els processos de selecció i implantació de les tecnologies de la informació i de la comunicació.

   • d) Promoure l’assoliment i el manteniment d’un nivell de seguretat suficient de les xarxes i els sistemes d’informació; en especial, en les entitats proveïdores de serveis essencials i de serveis importants.

   • e) Establir el marc estratègic general en relació amb la seguretat digital del Principat d’Andorra.

   • f) Definir un marc normatiu que identifiqui les normes tècniques i els estàndards de seguretat de la informació, tant nacionals com internacionals, que s’apliquen específicament a cada entitat que proveeixi serveis essencials o importants.

   • g) Contribuir a la sensibilització i la conscienciació proactiva en matèria de seguretat de les xarxes i els sistemes d’informació.

   • h) Assolir un alt nivell de confiança, pel que respecta a la ciberseguretat, en els serveis essencials i importants per al país.

     • i) Ser el nexe d’interlocució del Govern amb altres estaments representatius de ciberseguretat nacionals i internacionals.

   • j) Posicionar el país com un referent de la seguretat en clau d’atreure empreses i inversors per als quals la disponibilitat, la confidencialitat i la integritat de les dades són necessitats per al desenvolupament correcte del seu negoci.

Per tal de donar compliment a la seva missió i als seus objectius, l’ANC-AD porta a terme, a títol enunciatiu i no limitatiu, les funcions a escala nacional següents:

1. Identificar els serveis essencials i importants, juntament amb el CSIRT-AD i amb el vistiplau de la Comissió de Seguiment.
2. Servir de punt de contacte únic amb les autoritats competents en matèria de ciberseguretat d’altres països, i entre aquestes autoritats i el CSIRT-AD.
3. Impulsar la formació professional especialitzada en seguretat de la informació en les institucions públiques i privades, i afavorir l’atracció i la retenció de talent en l’àmbit de la ciberseguretat i la qualitat en la gestió de la seguretat de la informació.
4. Oferir i donar suport o assessorament a institucions públiques i privades que ho requereixin per desenvolupar capacitats pròpies per a la gestió d’incidents, amb la col·laboració del CSIRT-AD.
5. Impulsar i aprovar un marc de directrius i normes tècniques de seguretat per a les entitats que proveeixen serveis essencials o serveis importants, per tal d’oferir directrius per assolir una protecció eficaç davant les ciberamenaces.
6. Establir els canals que fomentin la comunicació amb les entitats que proveeixen serveis essencials i importants.
7. Crear les condicions necessàries de confiança en l’ús de canals telemàtics desenvolupats en les entitats de l’Administració pública del Principat d’Andorra.
8. Coordinar la gestió de les crisis amb el Comitè Especialitzat de Ciberseguretat, el Cos de Policia, l’Agència de Protecció de Dades (APDA) i el CSIRT-AD.
9. Reforçar les relacions entre les entitats que tinguin competències en ciberseguretat, independentment de si són entitats privades o de l’Administració pública.
10. Promoure l’aplicació del marc normatiu.
11. Exercir la representació del Principat d’Andorra davant els organismes internacionals en l’àmbit de la ciberseguretat.
12. Notificar, sense dilació indeguda, als punts de contacte existents en altres països qualsevol incident en matèria de ciberseguretat que tingui un impacte transfronterer que els pugui perjudicar o afectar.
13. Comunicar a les autoritats policials els incidents de seguretat que puguin incórrer en un possible delicte.
14. Comunicar a l’APDA els incidents de seguretat relacionats amb dades personals.
15. Donar seguiment i anàlisis de tendències i incidents de seguretat, i mantenir-ne informat el Govern d’Andorra.
16. Exercir les potestats inspectores i sancionadores que, si escau, li atribueixin les lleis.
17. Emetre opinions sobre qüestions relacionades amb la ciberseguretat.
18. Promoure i compartir materials de sensibilització i d’educació en seguretat de la informació d’acord amb el context del país i compartir coneixement i investigacions amb la Universitat d’Andorra i altres universitats nacionals o d’altres països.
19. Documentar les seves polítiques internes relatives a la seguretat de la informació i la protecció de les dades personals.
20. Emetre informes anuals sobre l’estat de l’aplicació de l’Estratègia nacional de ciberseguretat i de la situació de la ciberseguretat al Principat d’Andorra. L’informe sobre el punt de situació ha d’incloure, entre altres aspectes:

• a) L’evolució de les capacitats de la ciberseguretat al Principat d’Andorra.
• b) Els recursos tècnics, financers i humans disponibles per a l’ANC-AD, altres autoritats competents eventuals i el CSIRT-AD.
• c) Les polítiques de ciberseguretat i l’aplicabilitat de les mesures de supervisió i execució en funció dels resultats sorgits en l’informe anterior.
• d) Un índex de ciberseguretat que proporcioni una avaluació del nivell de maduresa de les capacitats de ciberseguretat.

Per complir aquestes funcions, l’ANC-AD pot delegar en el CSIRT-AD, a través de protocols d’actuació, les funcions que consideri, o coordinar-s’hi.

La Comissió de Seguiment (en endavant, “la Comissió”) és un òrgan que supervisa el funcionament de l’ANC-AD.

1. La Comissió es compon de cinc membres designats en qualitat de representants dels ministeris encarregats d’economia, interior, afers exteriors i gabinet jurídic del Govern i de responsable de l’ANC-AD.
2. Ocasionalment, es pot demanar l’assistència a la Comissió de representants d’altres departaments o àrees de l’Administració pública o del sector privat, relacionats amb l’objectiu i les funcions de la Comissió. Aquests assistents ocasionals aporten informació a la Comissió però no disposen del dret de decisió en els acords que l’òrgan pugui prendre.

1. Els membres de la Comissió són designats pels ministres responsables dels ministeris afectats.
2. El nomenament és vàlid fins que es nomeni un nou representant.
3. En el cas d’impossibilitat o de vacant prolongada d’un membre titular o substitut, s’ha de cobrir de la mateixa manera en què es va designar el membre vacant.

1. La Comissió està presidida pel responsable de l’ANC-AD o per la persona en què delegui.
2. La Comissió es reuneix com a mínim semestralment. A més, es poden convocar trobades extraordinàries sempre que sigui necessari a petició d’un o diversos membres de la Comissió.
3. Qualsevol membre de la Comissió pot formalitzar la petició de convocar una reunió extraordinària. Aquesta demanda s’ha de comunicar per escrit al responsable de l’ANC-AD amb la proposta de l’ordre del dia. Un cop rebuda la petició, el responsable de l’ANC-AD decideix convocar oportunament la reunió.
4. La Comissió s’entén constituïda vàlidament quan hi són presents almenys tres dels membres que la componen, en primera convocatòria. Si no hi ha quòrum, es reuneix en segona convocatòria dins el termini que determinin els membres assistents. En aquesta segona convocatòria pot deliberar sense condicions de quòrum. Els acords s’adopten per majoria simple dels assistents amb dret de vot.

1. El Comitè Especialitzat de Ciberseguretat (en endavant, “el Comitè”) és un òrgan col·legiat que depèn directament de l’ANC-AD, la qual l’institueix amb l’objectiu de reforçar les relacions de coordinació, col·laboració i cooperació entre les administracions públiques i entitats de l’Administració pública amb competències en matèria de ciberseguretat i els sectors privats, i facilitar la presa de decisions del mateix Govern mitjançant l’anàlisi, l’estudi i la proposta d’iniciatives tant en l’àmbit nacional com en l’internacional.

Així mateix, el Comitè té com a objectiu donar suport a l’ANC-AD en tot allò que la mateixa ANC-AD requereixi, així com proposar, sota la coordinació de l’ANC-AD, les orientacions estratègiques en matèria de seguretat de les xarxes i dels sistemes d’informació, i dur-les a terme a la pràctica. El Comitè compta amb:

• a) Experts del Govern, inclòs el Cos de Policia, i d’altres administracions públiques com ara els comuns.
• b) Representants del sector privat.
• c) Representants de les entitats de serveis essencials i de serveis importants.
• d) Altres representants la intervenció dels quals l’ANC-AD o el ministeri encarregat de la presidència consideri necessària, en funció de les circumstàncies.

2. Les principals funcions del Comitè, a títol enunciatiu i no limitatiu, són:

   • a) Donar suport a la presa de decisions de l’ANC-AD en matèria de ciberseguretat mitjançant l’anàlisi, l’estudi i la proposta d’iniciatives tant en l’àmbit nacional com en l’internacional.
   • b) Reforçar les relacions de coordinació, col·laboració i cooperació entre les administracions públiques i entitats de l’Administració pública amb competències relacionades amb l’àmbit de la ciberseguretat i els sectors privats.
   • c) Contribuir a elaborar propostes normatives en matèria de ciberseguretat perquè les consideri l’ANC-AD i, si escau, el Govern.
   • d) Donar suport a l’ANC-AD en la seva funció de verificar el grau de compliment de l’Estratègia de seguretat nacional en el que està relacionat amb la ciberseguretat, i promoure i impulsar-ne les revisions.
   • e) Verificar el grau de compliment de l’Estratègia nacional de ciberseguretat i informar-ne l’ANC-AD.
   • f) Fer la valoració dels riscos i amenaces, analitzar els possibles escenaris de crisi, estudiar la seva possible evolució, elaborar i mantenir actualitzats els plans de resposta i formular directrius per portar a terme exercicis de gestió de crisi en l’àmbit de la ciberseguretat, així com avaluar els resultats de la seva execució, tot plegat sota la coordinació de l’ANC-AD i en estreta col·laboració amb els òrgans i les autoritats directament competents.
   • g) Contribuir a la disponibilitat dels recursos existents i fer estudis i anàlisis sobre els mitjans i les capacitats de les administracions públiques i entitats de l’Administració pública i òrgans i autoritats competents implicats amb la finalitat de catalogar les mesures de resposta més eficaces d’acord amb els mitjans disponibles i les missions que cal emprendre, tot això sota la coordinació de l’ANC-AD i amb la col·laboració dels òrgans i les autoritats directament competents en l’àmbit de la ciberseguretat.
   • h) Facilitar la coordinació operativa de l’ANC-AD amb els òrgans i les autoritats competents quan s’originin situacions que puguin afectar la ciberseguretat.

3. Per complir les seves funcions, el Comitè té el suport, a banda de l’ANC-AD, del CSIRT-AD i de tots els altres eventuals actors rellevants, de caràcter públic o privat, amb competències en matèria de ciberseguretat, o quan les seves contribucions siguin essencials per elevar els nivells de seguretat del Principat d’Andorra.

4. El Comitè es reuneix a iniciativa del seu president com a mínim amb caràcter bimestral o tantes vegades com el president ho consideri necessari ateses les circumstàncies que afecten la ciberseguretat del Principat d’Andorra.

5. El detall del règim de funcionament del Comitè s’estableix mitjançant reglament intern.

1. El CISRT-AD depèn directament del responsable de l’ANC-AD.
2. El CSIRT-AD rep instruccions i orientació de l’ANC-AD, i està supervisat per la mateixa ANC-AD.

1. El CSIRT-AD és el principal òrgan competent per coordinar la resposta i respondre als incidents de seguretat en les xarxes i els sistemes d’informació que afectin l’Administració pública, els ens públics i privats de qualsevol naturalesa establerts o amb establiment permanent al Principat d’Andorra, així com les persones físiques que es troben al Principat.

El que es promou principalment amb la creació del CSIRT-AD és disposar dels mitjans i recursos necessaris per poder:

• a) Coordinar de manera centralitzada les qüestions relacionades amb els incidents de seguretat de la informació.
• b) Prevenir incidents de seguretat de la informació i reaccionar quan apareguin.
• c) Donar suport als afectats que necessitin recuperar-se d’incidents de seguretat de la informació i assistir-los.

2. Sense perjudici d’allò que estableixi qualsevol altra normativa que li sigui aplicable, la missió del CSIRT-AD consisteix principalment a:

   • a) Ser un mecanisme per respondre sistemàticament als incidents de seguretat en les xarxes i els sistemes d’informació i adoptar les accions més adequades per mitigar-ne els efectes.
   • b) Promoure la seguretat de les xarxes i els sistemes d’informació, proporcionant un servei de supervisió, detecció, alerta i resposta als incidents de seguretat en les xarxes i els sistemes d’informació.
   • c) Cooperar en l’àmbit nacional i en l’internacional en la identificació i la resolució d’incidents de seguretat en les xarxes i els sistemes d’informació i en tot el que sigui necessari per a la seguretat de les xarxes i els sistemes d’informació al Principat d’Andorra en general.

3. Pel que fa als objectius, el principal del CSIRT-AD és minimitzar i controlar els danys ocasionats pels incidents de seguretat en les xarxes i els sistemes d’informació, proporcionar respostes i recuperacions efectives a aquests incidents, i treballar per evitar que n’ocorrin de futurs.

4. Així mateix, entre altres objectius del CSIRT-AD que cal assolir, s’hi inclouen, a títol enunciatiu i no limitatiu:

   • a) Centralitzar la coordinació proactiva de la prevenció i la mitigació de les amenaces de seguretat en les xarxes i els sistemes d’informació que representin un risc més elevat per al Principat d’Andorra.
   • b) Fer operar un equip d’intervenció altament especialitzat i capaç de fer-se càrrec de la prevenció de tot tipus d’incidents de seguretat en les xarxes i els sistemes d’informació, i de determinar l’impacte, l’abast i la naturalesa dels incidents.
   • c) Difondre informació sobre riscos, amenaces, vulnerabilitats i atacs, així com establir les estratègies de mitigació corresponents a través d’alertes, avisos, pàgines web o altres publicacions tècniques.
   • d) Servir a les parts interessades com a centre nacional d’excel·lència i experiència en matèria de resposta a incidents de seguretat en les xarxes i els sistemes d’informació.
   • e) Assessorar en matèria de seguretat de les xarxes i els sistemes d’informació per millorar les capacitats de resposta davant dels incidents en aquesta matèria.
   • f) Coordinar-se amb tercers i donar suport en la implementació de les estratègies de resposta a incidents de seguretat en les xarxes i els sistemes d’informació.
   • g) Mantenir un repositori de dades i activitats d’incidents de seguretat en les xarxes i els sistemes d’informació relacionats per a la correlació, les tendències i el desenvolupament d’experiències apreses dins i fora del nostre país, per així millorar la posició de la seguretat de les xarxes i els sistemes d’informació i els processos de gestió d’incidents en aquesta matèria que es produeixin al Principat d’Andorra.

Per tal de donar compliment a la seva missió i als seus objectius, el CSIRT-AD efectua, a títol enunciatiu i no limitatiu, les funcions a escala nacional següents:

1. Donar resposta a incidents de seguretat en les xarxes i els sistemes d’informació.
2. Supervisar la resolució dels incidents de seguretat en les xarxes i els sistemes d’informació.
3. Difondre alertes imminents, avisos i informacions sobre incidents de seguretat en les xarxes i els sistemes d’informació, incloent-hi els atacs i les llacunes de seguretat que s’hagin descobert en els sistemes i les aplicacions més utilitzats al Principat d’Andorra quan aquests sistemes i aplicacions tenen un alt nivell de criticitat, i possibles recomanacions en relació amb virus extremadament estesos.
4. Notificar a l’ANC-AD els incidents de seguretat en les xarxes i els sistemes d’informació notoris que es presentin en les xarxes i els sistemes d’informació que afectin o puguin arribar a afectar serveis essencials del Principat o d’altres països.
5. Efectuar anàlisis dinàmiques de coneixement de la situació en matèria d’incidents de seguretat en les xarxes i els sistemes d’informació.
6. Fer, a petició d’entitats, exploracions proactives de xarxes i sistemes d’informació utilitzats en la prestació dels serveis essencials o que puguin arribar a afectar serveis essencials per al Principat o altres països.
7. Proporcionar informació sobre incidents de seguretat en les xarxes i els sistemes d’informació i associar-la amb les recomanacions respectives per respondre-hi.
8. Formar recursos i compartir coneixements i investigacions en matèria de seguretat de les xarxes i els sistemes d’informació amb la Universitat d’Andorra i altres universitats del Principat o d’altres països.
9. Col·laborar activament amb l’ANC-AD i ser-ne un suport, incloent-hi la cooperació per establir una estratègia nacional de ciberseguretat.
10. Altres funcions que li assigni altra normativa en vigor en cada moment o que li delegui l’ANC-AD.

El CSIRT-AD s’estructura jeràrquicament segons les necessitats organitzatives actuals i les resultants de l’evolució en l’acompliment o el desplegament de les seves funcions d’acord amb les directrius de l’ANC-AD.

1. L’ANC-AD i el CSIRT-AD poden establir acords de col·laboració amb qualsevol persona jurídica, pública o privada, els objectius i les activitats de la qual siguin d’interès per a les polítiques de ciberseguretat i per al desenvolupament de les funcions de l’ANC-AD i del CSIRT-AD en general.
2. Així mateix, l’ANC-AD i el CSIRT-AD poden establir acords de col·laboració amb altres agències o organismes similars d’altres estats o d’organitzacions internacionals, i també amb qualsevol entitat pública estrangera els objectius i les activitats de la qual siguin d’interès per a les polítiques de ciberseguretat.
3. La formalització dels acords de col·laboració esmentats en aquest article requereix l’autorització prèvia del Govern.

Es faculta el Ministeri de Finances per fer les adaptacions pressupostàries necessàries per acomplir el que s’estableix en aquest Decret.

Aquest Decret entra en vigor l’endemà de ser publicat al Butlletí Oficial del Principat d’Andorra.

Cosa que es fa pública per a coneixement general.

Andorra la Vella, 20 d’octubre del 2021

Xavier Espot ZamoraCap de Govern