Andorra la Vella.- Entre 40 i 60 entitats (incloent-hi administracions) estaran obligades a complir la llei de ciberseguretat. Així ho ha posat en relleu el secretari d'Estat de Transició Digital i Projectes Estratègics, Cesar Marquina, durant la roda de premsa per presentar el projecte de llei de ciberseguretat que el Govern va aprovar dimecres de la setmana passada. El text estableix diferents terminis per al compliment de les obligacions contemplades i així, per exemple, s'estableix que les sancions per incompliment no entrin en vigor fins passats dos anys. Sobre aquest règim sancionador Marquina ha posat en relleu que les multes "estan adaptades a la realitat d'Andorra" i s'han fixat entre els 500 i els 100.000 euros, unes xifres que es creu que són prou "dissuasòries".
Tal com ha explicat Marquina un dels "pilars claus" del programa de transformació digital és "la ciberseguretat" i després d'haver presentat ara fa uns dies l'agència nacional ara s'arriba a la part legislativa, que determina quines seran les obligacions de les entitats. D'aquesta manera, el secretari d'Estat de Transició Digital i Projectes Estratègics ha volgut deixar clar que aquest text legislatiu "no afecta a tot el teixit empresarial" i que l'àmbit d'aplicació es restringeix a aquells que proveeixen serveis importants o essencials. Així, ha puntualitzat que de les 1.800 empreses que estarien sota aquest paraigua s'apliquen altres filtres com són que tinguin més de 50 treballadors o que facturin més de deu milions. És per aquest motiu que s'ha calculat que les que estaran obligades a complir la llei seran les 40-60 abans esmentades, comptant-hi les administracions.
Les entitats hauran de comptar amb un delegat de seguretat i també estaran obligades a desenvolupar anàlisis de riscos i implementar les mesures escaients per combatre'ls. A més, hauran de notificar, en un període de 72 hores, qualsevol incident que es pugui registrar. Tindran també sis mesos per identificar-se com a essencial o important i enviar les dades de contacte a l'autoritat i també tindran l'obligació de fer arribar la declaració d'aplicabilitat a l'autoritat competent.
El text estableix que en sis mesos les autoritats competents (l'agència de ciberseguretat o l'Autoritat Finnacera Andorra, AFA) hauran d'establir el llistat d'entitats a les quals se'ls aplicarà la llei i també establiran la llista de serveis essencials. A més, hauran d'avaluar els riscos per a la prestació dels serveis essencials i tenir identificades les entitats crítiques i equivalents a crítiques.
Tal com s'ha esmentat, la llei també determina el règim sancionador que entrarà en vigor després del segon any d'aplicació de la llei. Les faltes lleus, que poden ser incomplir les disposicions reglamentàries, les instruccions tècniques o no completar la informació que ha de reunir la notificació d'incidents, podran sancionar-se amb multes d'entre els 500 i els 15.000 euros. Les greus, entre les quals incomplir les precaucions mínimes que les entitats essencials o importants han d'adoptar, seran sancionades amb imports que oscil·len entre els 15.001 i els 30.000 euros. A l'últim, no lliurar la informació per identificar-se com a entitat essencial o important; no adoptar les mesures per esmenar deficiències quan suposin vulnerabilitats a incidents que puguin suposar efectes pertorbadors significatius sobre un o més serveis essencials o importants; incomplir reiteradament l'obligació de notificar incidents o no adoptar mesures per resoldre els incidents seran considerades faltes molt greus que estaran multades amb imports que van dels 30.001 als 100.000 euros.
Cal destacar que la llei està estructurada en 41 articles, repartits en quatre títols i dos annexos, una disposició addicional i cinc finals. El primer títol és el que fa referència a les disposicions generals; el segon al marc estratègic institucional; el tercer a les obligacions i el quart al règim sancionador. Marquina ha destacat que el text s'ha treballat amb diversos actors i s'adapta a la normativa europea actual.