Govern renova l'estratègia per millorar la seguretat digital

El Govern ha presentat aquest dilluns una nova estratègia de ciberseguretat per continuar sent resilients en seguretat digital. L'executiu va definir una primera estratègia el 2022 per un termini fins al 2024, però ara han aportat un conjunt de mesures noves per continuar enfortint la xarxa i per renovar-la. Una de les iniciatives ha estat una modificació del marc legal, ja que es vol que totes les empreses que ofereixin serveis i tecnologies a entitats essencials importants del país presentin una auditoria de seguretat externa a l'Agència Nacional de Ciberseguretat dels últims dotze mesos de prestació d'un servei per "protegir la cadena de subministraments", ha detallat el responsable de l'organisme, Jordi Ubach. L'executiu també ha modificat un seguit de decrets amb l'objectiu d'ampliar el llistat de serveis essencials importants del teixit empresarial que puguin ser més vulnerables en ciberseguretat.

L'Índex Global de Ciberseguretat, que defineix la Unió Internacional de Telecomunicacions, elabora un rànquing mundial sobre la bona ciberseguretat que disposen els països. A través d'aquest indicador, des de l'executiu han explicat que "ens ha permès veure i encarar les pròximes polítiques de país", ha explicat el secretari d'Estat de Transformació Digital i Telecomunicacions, Marc Rossell. Tot i que fa pocs anys que es va implementar l'estratègia nacional de seguretat a Andorra (el 2021), Rossell ha explicat que estan molt satisfets perquè l'Índex mostra que hi ha hagut una millora en ciberseguretat perquè en només dos anys s'han incrementat moltes posicions en aquest rànquing. "Podem dir molt satisfactòriament que Andorra ha escalat més de 50 posicions respecte al 2021", ha remarcat Rossell.

El 2021 el Principat va rebre una puntuació de 27 punts, fet que la va situar en la 117a posició. Ara, en el 2024, el país ha experimentat una pujada important perquè s'ha situat en la 66a posició amb 76,3 punts. "El 2021 teníem un nivell de T4 i ara estem a un nivell de T3, sent el màxim el T1", ha detallat el secretari d'Estat. L'objectiu del Govern és aconseguir un nivell T2 d'aquí a dos anys, per aquest motiu s'han presentat aquest dilluns noves mesures que han de servir per assolir aquest llindar que cobeja l'administració. De fet, Rossell ha indicat que el 90% dels objectius de l'estratègia nacional de seguretat del 2021-24 s'han complert. En aquest sentit, Rossell ha manifestat que "era evident que calia reforçar i incrementar uns nous passos per la nova estratègia".

Aquesta nova estratègia nacional estarà dissenyada pel període 2024-2027. Aquesta contempla alguns punts de l'antiga, però se n'han afegit de nous per tal de "donar-li continuïtat el que hem fet fins ara", ha indicat Ubach. Els nous decrets busquen una major resiliència. Per aquesta raó, es posa més èmfasi en la cooperació internacional per ampliar les capacitats de l'equip de resposta d'incidents en ciberdelinqüència i aquest s'integra en l'àmbit internacional per intercanviar informació amb altres estats, ja que això pot "ser rellevant de cara a ser proactius", ha esmentat Ubach, que ha explicat que es participa en fòrums i exercicis mundials. Un altre objectiu que s'ha afegit en aquesta estratègia és el d'impulsar el desplegament de la intel·ligència artificial per la protecció i detecció d'amenaces. "Millorarà moltíssim aquesta part de detecció i de proactivitat", ha assenyalat el responsable de l'agència.

També es porta una modificació del marc legal per enfortir la xarxa de ciberseguretat del país. "Totes les empreses que des del 9 de juny del 2022 estan afectades per la llei, a partir d'aquestes modificacions hauran de presentar una auditoria de seguretat externa", ha explicat Ubach. En aquest sentit, qualsevol empresa que ofereixi serveis i tecnologies a entitats essencials importants del país hauran de presentar una auditoria de seguretat externa dels últims dotze mesos anteriors a la prestació d'aquest servei. D'aquesta manera, el govern s'assegura que les entitats "quedin protegides", ha precisat Ubach. A més d'això, aquests proveïdors hauran d'estar dins d'un registre de productes certificats que aviat publicarà l'Agència "per acabar de donar més resiliència", ja que amb aquests dos requisits "evitarem que qualsevol entitat pugui comprar qualsevol element que no sigui segur", ha afirmat el responsable de l'agència. La certificació serà bianual, tal com s'ha precisat en roda de premsa.

Les empreses tindran divuit mesos per posar-se el dia amb aquestes noves mesures implementades. Rossell ha comentat que tota llei i reglament té un expedient sancionador, però ha deixat clar que tant el Govern com l'Agència Nacional de Ciberseguretat d'Andorra volen acompanyar i estar al costat de les empreses perquè la "finalitat és arribar a bon port", atenent que s'està creant un "ecosistema" de ciberseguretat del país.

Les modificacions legislatives també contemplen uns nivells exigits de maduresa de les empreses en ciberseguretat. Per aquest motiu, l'administració posa un nivell de resiliència 5 (el més alt) com a data màxima a partir del 31 de març del 2029. Amb això el que es busca és poder tenir "una estructura homogènia a nivell de país i augmentar el nivell de resiliència de forma progressiva", ha relatat Ubach.

Pel que fa a l'ampliació de serveis essencials, el Govern ha informat que cada dos anys fins al 2029 s'aniran incrementant l'ampliació de serveis que es consideren que són bàsics pel país i que han de tenir un nivell alt de resiliència en seguretat digital perquè en cas d'una "caiguda del servei pot provocar cert malestar en el país". Entre alguns d'aquests, destaca el sector de la salut, pel qual es volen afegir plataformes de telemedicina i atenció psicològica; en energètica, s'afegeixen temes sobre energies renovables, així com la xarxa de control de recàrrega de vehicles; en educació i universitats, s'ampliarà les plataformes d'ensenyament en línia, i en el cas de museus, la gestió d'arxius.