X A R X A S O F T

Loading...

LLEI NIS

Resum de la Llei NIS-AD (Llei 22/2022, del 9 de juny)

 

La Llei NIS-AD regula la seguretat de les xarxes i dels sistemes d’informació a Andorra, amb l’objectiu de protegir els serveis essencials i crítics del país davant de possibles amenaces digitals.

Objectius principals:

  • Reforçar la ciberseguretat en les infraestructures i serveis essencials.
  • Garantir la resiliència de les entitats crítiques davant incidents.
  • Establir obligacions per a la gestió de riscos i incidents de ciberseguretat en les empreses i organitzacions afectades.
  • Definir mecanismes de supervisió i control per assegurar el compliment de la normativa.

Principals obligacions:

  • Identificació d’entitats crítiques i essencials per part de les autoritats competents.
  • Implementació de mesures de seguretat per part de les empreses afectades.
  • Obligació de notificació d’incidents rellevants en ciberseguretat a l’Agència Nacional de Ciberseguretat d’Andorra (ANC-AD).
  • Creació d’un catàleg nacional d’entitats essencials per millorar la coordinació i resposta davant possibles atacs.

Qui està afectat?

  • Organitzacions i infraestructures que presten serveis essencials (energia, transport, sanitat, finances, etc.).
  • Empreses i entitats amb un impacte significatiu en la seguretat digital del país.
  • Proveïdors de serveis digitals que donen suport a aquestes entitats.

En resum, la Llei NIS-AD estableix un marc jurídic per garantir la protecció de les infraestructures digitals d’Andorra, obligant a les entitats essencials a reforçar la seva ciberseguretat i capacitat de resposta davant incidents.

L’Esquema Nacional de Seguretat d’Andorra (ENS-AD) estableix una sèrie de protocols de ciberseguretat per garantir la protecció de les xarxes i sistemes d’informació de les entitats essencials i importants. Aquestes mesures es basen en la Declaració d’Aplicabilitat ENS-AD, que formalitza els requisits mínims de seguretat aplicables a cada sistema​.

Principals protocols de ciberseguretat recomanats per l’ENS-AD:

 

1. Mesures organitzatives

  • Política de seguretat de la informació: Definició i aplicació de normes per a la protecció de dades i sistemes​.
  • Governança i responsabilitat: Designació d’un Delegat de Seguretat de la Informació (DSI) responsable de garantir el compliment de les mesures de seguretat​.
  • Control d’accés i autorització: Implementació de mecanismes per restringir l’accés a informació crítica segons rols i responsabilitats​.

2. Protecció tècnica de la informació

  • Gestió del risc: Avaluació periòdica de riscos i aplicació de mesures per reduir la probabilitat i impacte d’incidents de seguretat​.
  • Cifrat de dades: Aplicació de xifratge en les comunicacions i emmagatzematge per protegir la confidencialitat de la informació​.
  • Duplicació i redundància de xarxes: Implementació de duplicació de línies elèctriques i telecomunicacions per garantir la disponibilitat dels serveis​.
  • Sistemes de monitorització i detecció d’intrusions: Controls per detectar i prevenir accessos no autoritzats als sistemes​.

3. Mesures de continuïtat i resposta a incidents

  • Plans de recuperació davant desastres (DRP): Establiment de procediments per a la restauració dels serveis en cas de fallada o ciberatac​.
  • Registre i seguiment d’incidents: Creació d’un sistema per documentar, analitzar i respondre a incidents de seguretat​.
  • Proves i simulacres de ciberseguretat: Realització periòdica de proves d’intrusió i exercicis per validar la resistència dels sistemes​.

4. Control d’accés i protecció física

  • Sistemes de videovigilància per garantir la seguretat física de les infraestructures crítiques​.
  • Autenticació multifactor (MFA) per accedir a sistemes sensibles i evitar accés no autoritzat​.
  • Restriccions d’accés a zones crítiques amb controls biomètrics o targetes d’accés per limitar l’entrada a personal autoritzat​.

Recomanacions generals

L’ENS-AD també recomana auditories periòdiques per assegurar el compliment d’aquestes mesures i mantenir una actualització contínua de la seguretat enfront de noves amenaces​.

Si la teva farmàcia gestiona dades electròniques de pacients, hauràs d’implementar aquestes mesures per complir amb l’ENS-AD i protegir la informació sensible.

*Avís legal: La informació proporcionada en aquesta web té caràcter purament informatiu i no constitueix en cap cas una assessorament legal, tècnic o de seguretat. No ens fem responsables de l’ús que es pugui fer d’aquesta informació ni de les decisions preses en base a aquesta.