Les empreses tecnològiques hauran de superar una auditoria externa de seguretat

Aquesta serà una de les modificacions del marc legal que es faran amb l’objectiu d’assolir el nivell T2 de maduresa en els pròxims dos anys, per seguir escalant llocs al rànquing internacional que actualment col·loca Andorra en la 66a posició

El secretari d'Estat de Transformació Digital, Marc Rossell, amb el responsable de l'ANC-AD, Jordi Ubach. Govern d'Andorra

Andorra ha escalat més de 50 posicions a l’índex de ciberseguretat de la Unió Internacional de Telecomunicacions (UIT). Aquest ha estat el resultat de l’estratègia implantada fa dos anys, quan va entrar en vigor la nova llei i es va crear l’Agència Nacional de Ciberseguretat (ANC-AD) per regular aquesta qüestió. Però Govern no vol quedar-se aquí, i ha anunciat que executarà una sèrie de modificacions legals com ara l’obligació que tindran les empreses tecnològiques de presentar una auditoria de seguretat dels dotze mesos anteriors, i estar inscrites al registre de productes certificats. Això hauria de permetre seguir escalant posicions en el rànquing mundial, amb l’objectiu d’obtenir el nivell de maduresa T2 en els dos pròxims anys.

Les mesures han estat presentades aquest dilluns a la tarda pel secretari d’Estat de Transformació Digital i Telecomunicacions, Marc Rossell, i el responsable de l’ANC-AD, Jordi Ubach, que han volgut posar en valor la bona feina que s’està fent des que va entrar en vigor la nova llei de ciberseguretat l’any 2022: “S’ha assolit el 90% dels objectius de l’estratègia que ens havíem marcat, però era evident que calia reforçar-la, incrementar-ne els objectius i definir nous passos”, ha explicat Rossell, que també ha volgut destacar que Andorra ha escalat més de 50 posicions respecte a l’any 2021, quan va obtenir una puntuació de 27, i actualment ja ronda els 76,3, col·locant-se en la 66a posició en el rànquing.

“Les empreses que proveeixen serveis, tecnologia i/o productes a entitats importants o essencials hauran de presentar una auditoria de seguretat externa dels 12 mesos anteriors, i també hauran d’estar inscrites al registre de productes certificats”

Però Govern no vol quedar-se de braços plegats, i ja ha anunciat que, dins la nova estratègia anunciada pels anys 2024-27, ha implementat algunes mesures per assolir el nivell T2 de maduresa -essent T1 el més alt i T5 el més baix- en els pròxims dos anys, ja que actualment el Principat es troba en dins el T3, que marca actualment la mitjana dels petits estats. En la sessió de dimecres passat del Consell General, amb l’objectiu de ser menys vulnerables i més proactius, l’executiu va aprovar modificar l’esquema nacional de ciberseguretat, en tant que les empreses que proveeixen serveis, tecnologia i/o productes a entitats importants o essencials hauran de presentar una auditoria de seguretat externa dels 12 mesos anteriors, i també hauran d’estar inscrites al registre de productes certificats.

Tot això es farà amb l’objectiu d’assegurar-se “que les entitats puguin comprar qualsevol element que no sigui del tot segur”. En cas contrari, tot i que la voluntat de Govern és no fer-ho, es podrà obrir un expedient sancionador a l’empresa en qüestió. Un dels objectius d’aquesta nova estratègia és impulsar el desplegament de la IA per millorar en la detecció d’amenaces i la protecció. L’executiu també s’ha marcat els seus nivells de maduresa particulars, de l’1 al 5, per anar-los assolint progressivament amb l’objectiu que el dia 31 de març de 2029 totes les empreses puguin tenir un nivell de resiliència igual a 5 per tenir una estructura homogènia a nivell de país.

Per aconseguir-ho, s’ha decidit fer una ampliació del llistat de serveis essencials importants. En el sector de les infraestructures digitals, s’ha decidit incloure les xarxes de distribució de continguts, la cartera digital i el bus interoperabilitat de país. Pel que fa als serveis de salut mental, les plataformes de telemedicina i atenció psicològica. En el sector de l’energia, s’ampliarà a la plataforma de gestió de les energies renovables, els sistemes de control associats a la gestió i el control de la xarxa i sistemes de recàrrega de vehicles i mobilitat elèctrica de FEDA. Educació i les universitats tindran en compte les plataformes d’ensenyament en línia i de gestió interna i administrativa d’estudiants i empleats, i Cultura els sistemes de gestió d’arxius i biblioteques.