Seguretat de la informació
La llei exigirà protegir-se dels ciberatacs
Les empreses privades podran ser sancionades si no adopten mesures de prevenció
La futura Llei de ciberseguretat que el Govern preveu que estigui en tramitació parlamentària al llarg de 2022 exigirà a les empreses que garanteixin que han pres mesures i que compleixen la legislació de ciberseguretat per protegir-se davant de possibles atacs informàtics. En aquest sentit, s’haurà de garantir la seguretat dels sistemes i de les instal·lacions, la gestió d’incidents, la gestió de la continuïtat de les activitats, així com la supervisió, auditories i proves i el compliment de les normes internacionals.
La normativa està inspirada en l’anomenada Directiva NIS de 2016. Al respecte, aquesta està dirigida als operadors de serveis essencials, com ara empreses que presten un servei essencial per al manteniment d’activitats socials i econòmiques crucials a través de les xarxes i els sistemes d’informació i en les quals un incident tindria efectes pertorbadors significatius per a aquest servei. En el cas d’Andorra, parapúbliques com FEDA, Andorra Telecom, el SAAS o la CASS estarien incloses dintre de la normativa.
No obstant això, el Parlament Europeu ha aprovat recentment un informe d’esborrany de cara a una futura NIS II. Envers això, la voluntat del Govern, com va explicar el secretari d’Estat de Transformació Digital, César Marquina, és que la futura Llei de ciberseguretat estigui inspirada més en la NIS II que en la primera. Això comporta una ampliació de l’espectre d’empreses que estan dintre de l’àmbit de la normativa, ja que es preveu que s’incorporin la mateixa administració i les plataformes socials però també entitats “essencials” i “importants”, tal i com les defineix la llei, com ara els bancs, les farmacèutiques, les empreses de distribució d’aigua de boca o les gestores d’aigües residuals, però també els serveis postals, la gestió de residus, l’alimentació o els proveïdors digitals, entre d’altres. A nivell europeu estaran incloses les grans empreses que compleixin amb aquests criteris. La definició de gran empresa a nivell europeu és aquella que té més de 250 persones empleades de manera fixa i que té una facturació per sobre dels 50 milions d’euros. Pel que fa a aquest aspecte, el secretari d’Estat va indicar que la legislació s’adaptarà a la realitat andorrana i la consideració de què és una gran empresa per a estar subjecta a la llei, també. Al respecte, Marquina va matisar que actualment el seu departament està treballant precisament en aquesta definició.
Un aspecte, el de l’adaptació a la realitat andorrana que també s’estendrà al règim sancionador. Per exemple, en la transposició de la Directiva del 2016 que va fer l’Estat espanyol, es contemplaven sancions de fins a un milió d’euros per a casos molt greus. Envers això, l’esborrany de la nova Directiva NIS II contempla ampliar el rang de sancions fins als 10 milions d’euros. Aterrat a la realitat andorrana, la legislació, segons va indicar el secretari d’Estat, no preveuria sancions més enllà dels 100.000 euros i s’estaria plantejant assimilar les multes a allò contemplat en la recentment aprovada Llei de protecció de dades.
UNA PERSONA RESPONSABLE
Un altra de les novetats de la nova Directiva i que incorporarà la legislació sobre ciberseguretat andorrana és la concreció en una persona física com a responsable de seguretat de la informació (RSI). En l’anterior normativa els operadors de serveis essencials tenien la possibilitat de designar el departament de seguretat com a RSI, però amb la NIS II i també a la futura llei andorrana s’haurà de designar una persona física com a encarregada i responsable de la seguretat.
PUNTS
-Empreses incloses
El departament de Transformació Digital definirà per al marc andorrà què entén per gran empresa per a estar inclosa en l’àmbit de llei de ciberseguretat.
-Sancions
Les multes per no complir la normativa no superaran els 100.000 euros i s’assimilaran a aquelles recollides a la Llei de Protecció de Dades.
-Directiva NIS II
La legislació andorrana estarà vigent al llarg de 2022 i inclourà les millores apuntades als esborranys de la nova Directiva NIS II que tramita la Unió Europea.