B
BOPA·CHAT
Decret 417/2022, del 12-10-2022, pel qual s’aprova el Reglament de l’Esquema nacional de seguretat del Principat d’Andorra.
122 versions

Decret 417/2022, del 12-10-2022, pel qual s’aprova el Reglament de l’Esquema nacional de seguretat del Principat d’Andorra.

Évolution de cet article à travers toutes les versions de la loi.

v1ModificationBOPA 03412318 oct. 2022

Declaració d’aplicabilitat

Decret 417/2022, del 12-10-2022, pel qual s’aprova el Reglament de l’Esquema nacional de seguretat del Principat d’Andorra.

  1. El DSI és responsable del següent:

    • a) Aplicar a cadascun dels actius d’informació bàsics continguts en l’inventari el procediment de modelatge amb actius d’informació estàndard que s’estableix a la guia d’implementació de l’ENS-AD.
    • b) Compilar una llista de mesures de referència per assolir el nivell de seguretat requerit en cada actiu d’informació inventariat, d’acord amb l’especificació dels actius d’informació estàndard amb els quals s’hagin modelat i amb les directrius de la guia d’implantació de l’ENS-AD.
    • c) Ampliar la llista de mesures de referència de l’apartat 1.b amb les mesures addicionals que es considerin necessàries i proporcionals a les noves amenaces que puguin sorgir i no estiguin considerades en el catàleg d’amenaces utilitzat per especificar els actius d’informació estàndard.
    • d) Elaborar una proposta de declaració d’aplicabilitat que contingui:

i. La llista de mesures de seguretat descrita en l’apartat 1.c.

ii. Els actius d’informació estàndard emprats en l’apartat 1.a als quals s’aplica cada mesura de seguretat.

iii. Si s’implementen per complet o no; i, en aquest últim cas,

iv. La justificació per excloure la implantació de qualsevol de les mesures de referència en qualsevol dels actius d’informació bàsics als quals s’apliquin.

Aquesta exclusió està permesa quan:

  1. La mesura no es consideri necessària després de fer una avaluació de riscos de seguretat específica per a l’actiu d’informació del qual s’exclou, per verificar que les amenaces previstes en l’especificació del corresponent actiu d’informació estàndard s’ajusten a la seva situació de perill real;
  2. S’hagi implementat una altra mesura equivalent a la de referència; o
  3. La guia d’implementació de l’ENS-AD així ho indiqui específicament.
  4. Aquesta proposta de declaració d’aplicabilitat es presenta a l’òrgan de direcció de l’entitat perquè la modifiqui i aprovi, moment en el qual passa a constituir la declaració d’aplicabilitat de l’entitat que, d’acord amb el que està establert a l’apartat 3 de l’article 12 de la Llei NIS-AD, s’ha de remetre a l’autoritat competent en el termini de sis mesos a comptar de la identificació de l’entitat com a entitat essencial o important.
v2ModificationEn vigueurModifié05 nov. 2024

Declaració d’aplicabilitat

Modifica art. 15, 16; Afegeix art. disposició transitòria

  1. El DSI és responsable del següent:

    • a) Aplicar a cadascun dels actius d’informació bàsics continguts en l’inventari el procediment de modelatge amb actius d’informació estàndard que s’estableix a la guia d’implementació de l’ENS-AD.
    • b) Compilar una llista de mesures de referència per assolir el nivell de seguretat requerit en cada actiu d’informació inventariat, d’acord amb l’especificació dels actius d’informació estàndard amb els quals s’hagin modelat i amb les directrius de la guia d’implantació de l’ENS-AD.
    • c) Ampliar la llista de mesures de referència de l’apartat 1.b amb les mesures addicionals que es considerin necessàries i proporcionals a les noves amenaces que puguin sorgir i no estiguin considerades en el catàleg d’amenaces utilitzat per especificar els actius d’informació estàndard.
    • d) Elaborar una proposta de declaració d’aplicabilitat que contingui:

i. La llista de mesures de seguretat descrita en l’apartat 1.c.

ii. Els actius d’informació estàndard emprats en l’apartat 1.a als quals s’aplica cada mesura de seguretat.

iii. Si s’implementen per complet o no; i, en aquest últim cas,

iv. La justificació per excloure la implantació de qualsevol de les mesures de referència en qualsevol dels actius d’informació bàsics als quals s’apliquin.

Aquesta exclusió està permesa quan:

  1. La mesura no es consideri necessària després de fer una avaluació de riscos de seguretat específica per a l’actiu d’informació del qual s’exclou, per verificar que les amenaces previstes en l’especificació del corresponent actiu d’informació estàndard s’ajusten a la seva situació de perill real;
  2. S’hagi implementat una altra mesura equivalent a la de referència; o
  3. La guia d’implementació de l’ENS-AD així ho indiqui específicament.
  4. Aquesta proposta de declaració d’aplicabilitat es presenta a l’òrgan de direcció de l’entitat perquè la modifiqui i aprovi, moment en el qual passa a constituir la declaració d’aplicabilitat de l’entitat que, d’acord amb el que està establert a l’apartat 3 de l’article 12 de la Llei NIS-AD, s’ha de remetre a l’autoritat competent en el termini de sis mesos a comptar de la identificació de l’entitat com a entitat essencial o important.