La llei de ciberseguretat afectarà només una seixantena d’entitats

Únicament entre 40 i 60 entitats, empreses privades i administracions públiques, estaran subjectes a les disposicions de la futura llei de ciberseguretat, un text “molt específic i sectorial” i que constitueix un dels “pilars” del programa de Transformació Digital.

Així ho ha explicat aquesta tarda el secretari d’Estat de Transformació Digital i Projectes Estratègics, César Marquina, en la presentació de la llei de ciberseguretat, aprovada en la darrera sessió de consell de ministres pel Govern i que entrarà a tràmit parlamentari els pròxims dies, un text que bàsicament és la transposició de la directiva de la UE sobre la seguretat de la xarxa i els sistemes d’informació (NIS).

Marquina, que ha remarcat que “s’ha adaptat la NIS a la realitat del país”, ha detallat que de les 9.000 entitats identificades unes 1.800 corresponen a sectors o presten serveis considerats importants o essencials, si bé no totes estaran subjectes a la llei, ja que s’ha aplicat un segon filtre per fixar les que sí, com és el fet que hagin de tenir més de 50 treballadors o un volum anual de negoci superior als 10 milions d’euros, de manera que la llista d’entitats subjecte, que hauran d’establir les autoritats competents de control (l’Agència Nacional de Ciberseguretat d’Andorra i l’Autoritat Financera Andorrana), quedarà reduïda a aquesta seixantena.

La llei preveu que les entitats hagin de comptar amb un delegat de seguretat i que també hagin de desenvolupar anàlisis de riscos i implementar les mesures necessàries per fer-hi front. A més, com ha precisat Marquina, tindran l’obligació de notificar, en un període de 72 hores, qualsevol incident que es pugui registrar. Tindran també sis mesos per identificar-se com a essencial o important i enviar les dades de contacte a l’autoritat i també tindran l’obligació de fer arribar la declaració d’aplicabilitat a l’autoritat competent.

El projecte de llei fixa un règim sancionador amb multes d’entre 500 i 100.000 euros en funció de si es comet una infracció lleu (de 500 a 15.000 euros), greu (de 15.001 a 30.000) o molt greu (de 30.001 a 100.000), unes multes diferents a les previstes a la NIS però “adaptades a la realitat del país” i que Marquina ha considerat “prou dissuasòries”. El text considera faltes molt greus el fet de no lliurar la informació per identificar-se com a entitat essencial o important, no adoptar mesures per esmenar deficiències quan suposin vulnerabilitats a incidents amb efectes significatius, l’incompliment reiterat de l’obligació de notificar incidents i també la no adopció de mesures necessàries per a resoldre els incidents que tinguin efectes pertorbadors significatius.

Les entitats disposaran de dos anys per adaptar-se a la llei, ja que és el termini de la moratòria fixada per a l’entrada en vigor del règim de supervisió i sanció.