B
BOPA·CHAT
Decret 417/2022, del 12-10-2022, pel qual s’aprova el Reglament de l’Esquema nacional de seguretat del Principat d’Andorra.
142 versiones

Decret 417/2022, del 12-10-2022, pel qual s’aprova el Reglament de l’Esquema nacional de seguretat del Principat d’Andorra.

Evolución de este artículo a través de todas las versiones de la ley.

v1ModificaciónBOPA 03412318 oct 2022

Requisits mínims per a l’entitat responsable dels serveis

Decret 417/2022, del 12-10-2022, pel qual s’aprova el Reglament de l’Esquema nacional de seguretat del Principat d’Andorra.

  1. Per donar compliment als requisits mínims establerts en aquest Reglament, les entitats compreses en el seu àmbit d’aplicació adopten les mesures de seguretat referides en la declaració d’aplicabilitat que descriu l’article 12 d’aquest Reglament.
  2. El DSI està autoritzat a no implementar una d’aquestes mesures de seguretat si no redueix els riscos o és massa costosa en comparació amb la reducció dels riscos derivats d’aplicar-la, o si considera que els riscos que cobreix la mesura ja estan coberts per altres mesures tal com indica la mateixa declaració d’aplicabilitat. Si el DSI decideix no implementar alguna de les mesures, ha d’informar els òrgans de direcció de l’entitat que l’ha designat sobre els riscos derivats d’aquesta no implementació, per tal que siguin capaços de prendre la decisió d’aprovar o no les mesures de seguretat proposades, d’acord amb l’obligació que els imposa el que està establert a l’apartat 1 de l’article 17 de la Llei NIS-AD.
  3. L’existència d’una referència sobre les mesures de seguretat necessàries per als actius d’informació bàsics no eximeix el DSI de la seva obligació de gestionar els riscos, fins i tot els associats a actius d’informació o amenaces no totalment previstes en el Catàleg que descriu l’article 7 d’aquest Reglament.
  4. Quan un actiu d’informació tracti dades personals, li és aplicable el que es disposa en la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals (LQPD), així com la resta de l’eventual normativa d’aplicació nacional i internacional.
  5. Si els serveis als quals s’aplica l’ENS-AD estan suportats per serveis subcontractats a una altra entitat, l’entitat que els presta ha de tenir en compte, quant a la infraestructura i els processos d’aquesta altra entitat proveïdora de serveis, que poden no ser directament auditables (especialment quan es tracta de serveis prestats per empreses internacionals o que presten serveis en el núvol). Per tant, la implantació de l’ENS-AD s’ha de basar en part en els termes del contracte al quals es refereix l’apartat 3 de l’article 15 d’aquest Reglament, així com en les condicions generals per a la prestació del servei subcontractat i en els certificats de seguretat del proveïdor, respecte del servei subcontractat, i això s’ha de reflectir en l’anàlisi de riscos inclòs en l’article 10 d’aquest Reglament i en el principi de proporcionalitat.

Aquesta anàlisi de riscos ha de tenir en compte igualment els riscos potencials, com una interrupció a llarg termini de la xarxa de tercers, la fallida del proveïdor de serveis, i la resta d’amenaces que s’inclouen en l’actiu d’informació estàndard anomenat Subcontractació. Els aspectes legals i de seguretat s’han de tenir en compte per als proveïdors de serveis situats fora d’Andorra i de la Unió Europea. No obstant això, atès que l’entitat que utilitza el programari o el servei administrat és, en qualsevol cas, responsable de la seguretat de la informació dels seus serveis, l’entitat que subcontracta ha de definir clarament les responsabilitats de les parts en el contracte de servei al qual es refereix l’apartat 3 de l’article 15.

  1. El DSI ha de signar la declaració d’aplicabilitat i comunicar-la a l’autoritat competent que correspongui a l’entitat.
  2. Les mesures a les quals es refereixen els apartats 1 a 4 d’aquest article tenen la condició de mínims exigibles, i poden ser objecte d’auditoria conforme al que està indicat en l’article 16.
v2ModificaciónVigenteCambiado05 nov 2024

Requisits mínims per a l’entitat responsable dels serveis

Modifica art. 15, 16; Afegeix art. disposició transitòria

  1. Per donar compliment als requisits mínims establerts en aquest Reglament, les entitats compreses en el seu àmbit d’aplicació adopten les mesures de seguretat referides en la declaració d’aplicabilitat que descriu l’article 12 d’aquest Reglament.
  2. El DSI està autoritzat a no implementar una d’aquestes mesures de seguretat si no redueix els riscos o és massa costosa en comparació amb la reducció dels riscos derivats d’aplicar-la, o si considera que els riscos que cobreix la mesura ja estan coberts per altres mesures tal com indica la mateixa declaració d’aplicabilitat. Si el DSI decideix no implementar alguna de les mesures, ha d’informar els òrgans de direcció de l’entitat que l’ha designat sobre els riscos derivats d’aquesta no implementació, per tal que siguin capaços de prendre la decisió d’aprovar o no les mesures de seguretat proposades, d’acord amb l’obligació que els imposa el que està establert a l’apartat 1 de l’article 17 de la Llei NIS-AD.
  3. L’existència d’una referència sobre les mesures de seguretat necessàries per als actius d’informació bàsics no eximeix el DSI de la seva obligació de gestionar els riscos, fins i tot els associats a actius d’informació o amenaces no totalment previstes en el Catàleg que descriu l’article 7 d’aquest Reglament.
  4. Quan un actiu d’informació tracti dades personals, li és aplicable el que es disposa en la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals (LQPD), així com la resta de l’eventual normativa d’aplicació nacional i internacional.
  5. Si els serveis als quals s’aplica l’ENS-AD estan suportats per serveis subcontractats a una altra entitat, l’entitat que els presta ha de tenir en compte, quant a la infraestructura i els processos d’aquesta altra entitat proveïdora de serveis, que poden no ser directament auditables (especialment quan es tracta de serveis prestats per empreses internacionals o que presten serveis en el núvol). Per tant, la implantació de l’ENS-AD s’ha de basar en part en els termes del contracte al quals es refereix l’apartat 3 de l’article 15 d’aquest Reglament, així com en les condicions generals per a la prestació del servei subcontractat i en els certificats de seguretat del proveïdor, respecte del servei subcontractat, i això s’ha de reflectir en l’anàlisi de riscos inclòs en l’article 10 d’aquest Reglament i en el principi de proporcionalitat.

Aquesta anàlisi de riscos ha de tenir en compte igualment els riscos potencials, com una interrupció a llarg termini de la xarxa de tercers, la fallida del proveïdor de serveis, i la resta d’amenaces que s’inclouen en l’actiu d’informació estàndard anomenat Subcontractació. Els aspectes legals i de seguretat s’han de tenir en compte per als proveïdors de serveis situats fora d’Andorra i de la Unió Europea. No obstant això, atès que l’entitat que utilitza el programari o el servei administrat és, en qualsevol cas, responsable de la seguretat de la informació dels seus serveis, l’entitat que subcontracta ha de definir clarament les responsabilitats de les parts en el contracte de servei al qual es refereix l’apartat 3 de l’article 15.

  1. El DSI ha de signar la declaració d’aplicabilitat i comunicar-la a l’autoritat competent que correspongui a l’entitat.
  2. Les mesures a les quals es refereixen els apartats 1 a 4 d’aquest article tenen la condició de mínims exigibles, i poden ser objecte d’auditoria conforme al que està indicat en l’article 16.