Resum de la Llei NIS-AD (Llei 22/2022, del 9 de juny)
La Llei NIS-AD regula la seguretat de les xarxes i dels sistemes d’informació a Andorra, amb l’objectiu de protegir els serveis essencials i crítics del país davant de possibles amenaces digitals.
Objectius principals:
- Reforçar la ciberseguretat en les infraestructures i serveis essencials.
- Garantir la resiliència de les entitats crítiques davant incidents.
- Establir obligacions per a la gestió de riscos i incidents de ciberseguretat en les empreses i organitzacions afectades.
- Definir mecanismes de supervisió i control per assegurar el compliment de la normativa.
Principals obligacions:
- Identificació d’entitats crítiques i essencials per part de les autoritats competents.
- Implementació de mesures de seguretat per part de les empreses afectades.
- Obligació de notificació d’incidents rellevants en ciberseguretat a l’Agència Nacional de Ciberseguretat d’Andorra (ANC-AD).
- Creació d’un catàleg nacional d’entitats essencials per millorar la coordinació i resposta davant possibles atacs.
Qui està afectat?
- Organitzacions i infraestructures que presten serveis essencials (energia, transport, sanitat, finances, etc.).
- Empreses i entitats amb un impacte significatiu en la seguretat digital del país.
- Proveïdors de serveis digitals que donen suport a aquestes entitats.
En resum, la Llei NIS-AD estableix un marc jurídic per garantir la protecció de les infraestructures digitals d’Andorra, obligant a les entitats essencials a reforçar la seva ciberseguretat i capacitat de resposta davant incidents.
L’Esquema Nacional de Seguretat d’Andorra (ENS-AD) estableix una sèrie de protocols de ciberseguretat per garantir la protecció de les xarxes i sistemes d’informació de les entitats essencials i importants. Aquestes mesures es basen en la Declaració d’Aplicabilitat ENS-AD, que formalitza els requisits mínims de seguretat aplicables a cada sistema.
Principals protocols de ciberseguretat recomanats per l’ENS-AD:
1. Mesures organitzatives
- Política de seguretat de la informació: Definició i aplicació de normes per a la protecció de dades i sistemes.
- Governança i responsabilitat: Designació d’un Delegat de Seguretat de la Informació (DSI) responsable de garantir el compliment de les mesures de seguretat.
- Control d’accés i autorització: Implementació de mecanismes per restringir l’accés a informació crítica segons rols i responsabilitats.
2. Protecció tècnica de la informació
- Gestió del risc: Avaluació periòdica de riscos i aplicació de mesures per reduir la probabilitat i impacte d’incidents de seguretat.
- Cifrat de dades: Aplicació de xifratge en les comunicacions i emmagatzematge per protegir la confidencialitat de la informació.
- Duplicació i redundància de xarxes: Implementació de duplicació de línies elèctriques i telecomunicacions per garantir la disponibilitat dels serveis.
- Sistemes de monitorització i detecció d’intrusions: Controls per detectar i prevenir accessos no autoritzats als sistemes.
3. Mesures de continuïtat i resposta a incidents
- Plans de recuperació davant desastres (DRP): Establiment de procediments per a la restauració dels serveis en cas de fallada o ciberatac.
- Registre i seguiment d’incidents: Creació d’un sistema per documentar, analitzar i respondre a incidents de seguretat.
- Proves i simulacres de ciberseguretat: Realització periòdica de proves d’intrusió i exercicis per validar la resistència dels sistemes.
4. Control d’accés i protecció física
- Sistemes de videovigilància per garantir la seguretat física de les infraestructures crítiques.
- Autenticació multifactor (MFA) per accedir a sistemes sensibles i evitar accés no autoritzat.
- Restriccions d’accés a zones crítiques amb controls biomètrics o targetes d’accés per limitar l’entrada a personal autoritzat.
Recomanacions generals
L’ENS-AD també recomana auditories periòdiques per assegurar el compliment d’aquestes mesures i mantenir una actualització contínua de la seguretat enfront de noves amenaces.
Si la teva farmàcia gestiona dades electròniques de pacients, hauràs d’implementar aquestes mesures per complir amb l’ENS-AD i protegir la informació sensible.
*Avís legal: La informació proporcionada en aquesta web té caràcter purament informatiu i no constitueix en cap cas una assessorament legal, tècnic o de seguretat. No ens fem responsables de l’ús que es pugui fer d’aquesta informació ni de les decisions preses en base a aquesta.