GD_2025_04_25_11_36

Decret 162/2025, del 23-4-2025, d’aprovació de la política de seguretat de la informació del Govern d’Andorra i de creació del Comitè Tècnic de Seguretat de la Informació.

Exposició de motius

En el context d’un món digitalitzat i cada vegada més dependent dels serveis digitals, aquests serveis han esdevingut un objectiu preferent de la delinqüència. En aquest sentit, és imprescindible dotar les organitzacions de mitjans per garantir un nivell de seguretat suficient.

És amb aquest objectiu que el Govern d’Andorra desplegà un paquet normatiu que establia les directrius de seguretat que s’havien de complir, especialment en organitzacions que proveeixen serveis considerats crítics o essencials: el Decret 346/2021, del 20 d’octubre del 2021, de creació de l’Agència Nacional de Ciberseguretat; la Llei 22/2022, del 9 de juny, de mesures per a la seguretat de les xarxes i dels sistemes d’informació (NIS-AD); el Decret 417/2022, del 12 d’octubre del 2022, d’aprovació del Reglament de l’Esquema Nacional de Seguretat del Principat d’Andorra (ENS-AD), i el Decret 418/2022 d’aprovació del Reglament d’infraestructures crítiques del Principat d’Andorra (RIC-AD).

En aquest sentit, l’ENS-AD requereix l’establiment d’un sistema de gestió de seguretat de la informació (SGSI) que, de forma alineada a l’estàndard internacional de seguretat de la informació ISO27001, exigeix l’aprovació d’una política de seguretat de la informació, que estableix el compromís del Govern d’Andorra per garantir la confidencialitat, la integritat i la disponibilitat de la informació, així com la creació d’un òrgan consultiu i de supervisió, el Comitè Tècnic de Seguretat de la Informació.

Per aquests motius, el Govern va acordar l’aprovació del Decret 550/2023, del 6-12-2023, d’aprovació de la política de seguretat de la informació del Govern d’Andorra i de creació del Comitè Tècnic de Seguretat de la Informació, posteriorment modificat pel Decret 194/2024, del 15-5-2024, amb la finalitat d’incloure en el Comitè Tècnic de Seguretat un representant del Departament de Tributs i Fronteres, responsable de l’intercanvi automàtic d’informació fiscal.

Enguany, la Secretaria d’Estat de Transformació Digital i Telecomunicacions creu convenient incloure en el Comitè Tècnic de Seguretat el responsable de la seguretat de la informació del SAAS, responsable de la seguretat de la informació en la gestió de la història clínica compartida.

Per facilitar la consulta i per a una millor seguretat jurídica, s’aprova un nou text íntegre del Decret, que substitueix l’anterior.

A proposta del cap de Govern, el Govern, en la sessió del 23 d’abril del 2025, aprova aquest Decret amb el contingut següent:

Article únic

S’aprova el Decret d’aprovació de la política de seguretat de la informació del Govern d’Andorra i de creació del Comitè Tècnic de Seguretat de la Informació, que entra en vigor l’endemà de publicar-se al Butlletí Oficial del Principat d’Andorra.

Article 1. Abast

La Política de seguretat de la informació (en endavant, “PSIGdA”) és aplicable a tots els departaments del Govern d’Andorra i a tot el personal que intervingui en el tractament de la informació, amb independència de quina sigui la seva condició o relació laboral.

La Secretaria d’Estat de Transformació Digital i Telecomunicacions és responsable de gestionar, elaborar i assegurar que es mantingui el cos normatiu de seguretat del Govern d’Andorra, segons el que estableixin l’Esquema nacional de seguretat i el Reglament d’infraestructures crítiques vigents.

Article 2. Descripció de la política de seguretat de la informació

1. La Política de seguretat de la informació del Govern d’Andorra és una norma, de compliment obligat dins l’organització, que estableix les directrius i els principis bàsics per protegir els sistemes d’informació amb l’objectiu de garantir la confidencialitat, la integritat i la disponibilitat de les dades.

2. De la PSIGdA en depenen la resta de normes de seguretat que emanen del sistema de gestió de la seguretat de la informació.

Article 3. Principis bàsics de la seguretat de la informació

1. La seguretat s’entén com un procés integral constituït per tots els elements tècnics, humans, materials i organitzatius relacionats amb les tecnologies de la informació i les comunicacions (TIC).

2. La seguretat de la informació s’ha d’integrar en tots els processos de l’organització i, per tant, s’ha d’aplicar tant en el disseny inicial de les TIC com en el seu funcionament, amb l’objectiu de garantir la protecció, la integritat i la disponibilitat de les dades.

3. La Política de seguretat de la informació, conforme a l’ENS-AD, se sustenta en els sis principis bàsics següents:

a) La seguretat com un procés integral que tingui en compte no només actius o elements tecnològics, sinó també el personal, la seguretat física i aspectes organitzatius, que s’aplicaran de manera sistemàtica utilitzant un sistema de gestió de la seguretat o SGSI.

Les mesures de protecció i els controls són necessaris per garantir la seguretat i la privacitat de la informació que tracta el Govern d’Andorra, tant en els paràmetres de confidencialitat, integritat i disponibilitat com en els de traçabilitat i autenticitat, i també per assegurar l’accés a les dades i la seva conservació.

El cos normatiu de seguretat s’estructura de forma jeràrquica, de manera que les normes i els procediments de nivell inferior s’ajusten i se supediten als de nivell superior. En aquest sentit, la Política de seguretat se situa en el primer nivell o el nivell més alt.

Els estàndards estan situats en el segon nivell i han d’estar alineats amb la Política de seguretat de la informació. Les mesures de seguretat i privacitat indicades en els estàndards són de compliment obligat per als procediments de seguretat, que són els documents de nivell més baix de la piràmide jeràrquica i han d’estar alineats tant amb la Política com amb els estàndards de seguretat.

La PSIGdA s’aplica a tots els processos dins l’abast de l’SGSI, així com al personal del Govern que hi intervé, tant propi com extern a l’organització.

En conseqüència, tant el personal del Govern com els proveïdors i tercers han de conèixer i complir el marc normatiu en matèria de seguretat de la informació.

b) Principi de proporcionalitat: s’apliquen les mesures de seguretat de forma proporcional, segons el nivell de risc definit per a cada servei o element.

c) Modelatge dels actius d’informació bàsics, mitjançant actius d’informació estàndard per als quals cal preveure mesures o procediments de prevenció, per eliminar o reduir la possibilitat que les amenaces arribin a materialitzar-se; de detecció, per identificar la presència d’un ciberincident; de resposta, per restaurar la informació i els serveis afectats, i de conservació i integritat de les dades i informacions en suport electrònic.

d) Estructuració de les mesures de seguretat en capes: una primera o bàsica, una segona de nivell de seguretat mitjà i una de categoria alta, de forma que es redueixi la probabilitat que la bretxa en una capa comprometi els actius d’informació que suporten els serveis als quals s’aplica l’ENS-AD (principi d’estratificació de les mesures).

e) Monitoratge i millora contínua, per poder respondre a atacs o amenaces de seguretat, i tenir la capacitat de modular les mesures i les respostes a les situacions i riscos associats.

f) Diferenciació de responsabilitats: el responsable de la prestació del servei ha de ser una persona diferent del responsable de la seguretat dels actius que suporten el servei.

Article 4. Gestió de riscos

1. La gestió de riscos és el procés integral que implica la identificació, l’avaluació i la mitigació de les amenaces cibernètiques.

2. El delegat de la seguretat de la informació és l’encarregat d’assegurar que s’efectuï l’anàlisi de riscos, així com d’identificar mancances i debilitats i de posar-les en coneixement del Comitè Tècnic de Seguretat de la Informació.

3. El procés de gestió de riscos ha de complir els requeriments establerts en l’ENS-AD i les indicacions de l’ANC-AD (Agència Nacional de Ciberseguretat d’Andorra).

4. En l’anàlisi de riscos s’ha d’utilitzar una metodologia estàndard i reconeguda en l’àmbit internacional, alineada amb el que exigeix l’ENS-AD.

5. L’anàlisi i gestió de riscos és una part essencial del procés de seguretat, per assegurar el manteniment d’un entorn controlat i minimitzar els riscos fins a nivells considerats acceptables per l’organització.

6. La reducció del nivell de risc es fa desplegant mesures de seguretat i privacitat que es modulen en funció de la naturalesa de les dades i els tractaments de la informació, així com de l’impacte i la probabilitat dels riscos als quals estiguin exposats, buscant un compromís entre cost i eficàcia.

Article 5. Millora contínua i avaluació periòdica

1. La gestió de la seguretat de la informació és un procés subjecte a actualització permanent. Els canvis en l’organització, les amenaces, les tecnologies o la legislació fan necessària una adaptació contínua dels sistemes per fer front a un entorn en evolució constant.

2. En conseqüència, cal aplicar els procediments i els dispositius escaients per assegurar les accions següents:

a) Revisió de la Política de seguretat de la informació.

b) Revisió dels serveis i informació i la seva categorització.

c) Execució anual de l’anàlisi de riscos.

d) Realització d’auditories internes i externes.

e) Revisió de les mesures de seguretat.

f) Revisió i actualització de les normes i procediments.

Article 6. Obligacions del personal

1. Tot el personal del Govern té l’obligació de conèixer i complir aquesta Política de seguretat de la informació, i és responsabilitat del Comitè Tècnic de Seguretat de la Informació disposar els mitjans necessaris perquè sigui difosa a tothom a qui sigui aplicable.

2. El personal amb responsabilitat en l’operació o administració de sistemes TIC ha de rebre formació per aprendre a gestionar-los de manera segura. Així mateix, s’ha de promoure la conscienciació en matèria de seguretat entre tot el personal del Govern d’Andorra mitjançant programes de formació, el contingut dels quals es pot adaptar a les necessitats de cada destinatari.

3. L’incompliment d’aquesta Política de seguretat de la informació pot comportar l’adopció de les mesures disciplinàries que escaiguin, sense perjudici de les responsabilitats legals corresponents.

Article 7. Organització de la seguretat de la informació

1. El Govern d’Andorra disposa d’estructura organitzativa per a la gestió de la seguretat dels sistemes d’informació, composta pels perfils següents:

a) Responsables tècnics de sistemes d’informació.

b) Responsables de serveis TIC.

c) Responsables del tractament de dades.

d) Delegat de protecció de dades.

e) Responsables de desenvolupament.

f) Delegat de la seguretat de la informació.

g) Responsables de control d’accés, energia i refrigeració dels centres de dades.

2. Aquesta estructura ha de completar-se amb el Comitè Tècnic de Seguretat de la Informació, segons s’estableix en el marc de referència internacional ISO/IEC27001, com a supervisor i govern per assegurar la correcta i efectiva implementació del PSIGdA i del conjunt de normes de seguretat de la informació associades.

Article 8. Creació, funcions i responsabilitats del Comitè Tècnic de Seguretat de la Informació

1. Es crea el Comitè Tècnic de Seguretat de la Informació (CTSI).

2. Són funcions i responsabilitats del Comitè Tècnic de Seguretat de la Informació:

a) Emetre informes al Govern sobre qüestions de seguretat de la informació.

b) Proposar directrius i recomanacions, que són recollides en les corresponents actes de les reunions del Comitè, a les quals el president ha de donar resposta.

c) Estar informat de les normatives vigents en matèria de seguretat de la informació.

d) Promoure i impulsar el desenvolupament de projectes de seguretat.

e) Coordinar els esforços dels diferents actors implicats en la seguretat de la informació per assegurar-ne l’eficàcia i l’alineació amb els objectius del Govern d’Andorra i del mateix Comitè.

f) Promoure la sensibilització sobre la seguretat de la informació i la difusió de la seguretat de la informació.

g) Assessorar en matèria de seguretat de la informació qui li ho requereixi.

h) Revisar la Política de seguretat de la informació amb l’elevació prèvia a l’aprovació.

i) Validar i aprovar les normes de l’SGSI que li són elevades.

j) Fer el seguiment dels principals riscos i incidents de seguretat, així com recomanar possibles accions de millora.

k) Facilitar la comunicació en matèria de seguretat de la informació a tota l’organització.

l) Altres funcions considerades inherents a la natura del Comitè.

m) Altres funcions que li assigni la legislació vigent.

Article 9. Composició del Comitè Tècnic de Seguretat de la Informació

1. El Comitè Tècnic de Seguretat de la Informació està format per:

a) El president: secretari d’Estat de Transformació Digital i Telecomunicacions.

b) El vicepresident: director del Departament de Transformació Digital.

c) El secretari: tècnic nomenat pel Departament de Transformació Digital, sense dret de vot.

d) Quatre vocals del Govern: el director del Departament de Tributs i de Fronteres, el director d’Ensenyament Superior, Recerca i Innovació Tecnològica, el delegat de seguretat de la informació del Cos de Policia, el delegat de seguretat de la informació del Govern i el responsable de seguretat del Departament de Transformació Digital.

e) Un vocal del SAAS: el responsable de la seguretat de la informació del SAAS, responsable de la seguretat de la informació en la gestió de la història clínica compartida (HCC).

2. El Comitè Tècnic de Seguretat de la Informació pot requerir l’assessorament de tècnics i experts o de qualsevol altre actor, en tots els casos interns a l’organització, que es considerin escaients per part de la presidència o les direccions. Aquests tècnics o experts només hi participen a títol consultiu.

Article 10. Funcionament i organització del Comitè Tècnic de Seguretat de la Informació

1. El Comitè Tècnic de Seguretat de la Informació es reuneix almenys una vegada a l’any i sempre que el president el convoqui.

2. El CTSI pot fer les reunions de forma presencial o telemàtica.

3. Són funcions de president:

a) Representar el Comitè Tècnic de Seguretat de la Informació.

b) Convocar les reunions, establir l’ordre del dia i presidir les sessions.

c) Dirimir els empats amb el seu vot.

d) Signar les actes, els certificats d’acords, els informes, les autoritzacions d’inspecció i els dictàmens.

4. Són funcions del vicepresident:

a) Substituir el president en cas d’absència o de malaltia o per qualsevol altra causa que li impedeixi l’exercici de les seves funcions.

b) Encarregar-se del despatx i dels assumptes que li delegui el president.

5. Són funcions del secretari:

a) Assistir administrativament el president.

b) Estendre les actes de les sessions del CTSI, signar-les i sotmetre-les al vistiplau del president.

c) Presentar anualment un informe sobre el funcionament del CTSI.

d) Qualsevol altra que li encomani el president.

Article 11. Sessions

1. Les sessions del CTSI les convoca el president amb una antelació mínima de cinc dies, amb indicació del dia, el lloc i l’hora de la reunió, i de l’ordre del dia. La convocatòria pot incloure la previsió d’una segona convocatòria de la sessió.

2. El president fixa l’ordre del dia de les sessions. Abans que es convoqui la sessió corresponent, tres membres del CTSI poden demanar al president que inclogui un assumpte determinat en l’ordre del dia.

3. No es pot deliberar, votar ni adoptar acords sobre temes no inclosos en l’ordre del dia de la reunió, llevat que hi siguin presents tots els membres del CTSI i ho decideixin així per unanimitat.

4. Per a la constitució vàlida d’una reunió de la CTSI cal que hi siguin presents tres dels seus membres, entre els quals hi ha d’haver, com a mínim, el president o el vicepresident.

5. El secretari estén acta de les sessions, en què fa constar el dia, l’hora i el lloc de la reunió, l’ordre del dia, els assistents, els acords adoptats i les qüestions principals que s’hagin deliberat. L’acta de la sessió l’ha d’aprovar el CTSI en una sessió posterior i l’ha de signar el president.

Article 12. Règim de decisió

1. El CTSI decideix per majoria simple dels seus membres.

2. En cas d’empat, el vot del president és diriment.

3. Els membres que discrepin dels acords adoptats poden fer constar a l’acta la seva discrepància i poden adjuntar vots particulars als acords.

Article 13. Procediment d’emissió d’informes i dictàmens

1. Un cop rebuda la petició d’un informe o un dictamen, el president la trasllada a tots els membres del Comitè Tècnic de Seguretat de la Informació i, en un termini de tres dies hàbils i una vegada ha escoltat el vicepresident, nomena una ponència.

2. Els ponents han de presentar el projecte d’informe o de dictamen en un termini de deu dies hàbils des de la data en què són nomenats. El president, quan la naturalesa de l’assumpte ho requereixi, pot prorrogar aquest termini fins a deu dies hàbils més. En cas d’urgència, aquest termini es pot reduir a cinc dies hàbils.

3. El projecte d’informe o de dictamen elaborat pels ponents es distribueix entre els membres del Comitè Tècnic de Seguretat de la Informació en un termini de tres dies hàbils des de la data en què s’ha lliurat.

4. El projecte d’informe o de dictamen se sotmet a la deliberació i a l’aprovació del Comitè Tècnic de Seguretat de la Informació en un termini no inferior a cinc dies hàbils ni superior a quinze, a comptar de la data en què s’ha lliurat.

5. En tot cas, l’emissió de l’informe o el dictamen té lloc dins del termini de dos mesos a comptar de la sol·licitud.

6. Els membres del Comitè Tècnic de Seguretat de la Informació que discrepin poden adjuntar vots particulars als informes i els dictàmens aprovats. A aquest efecte, disposen de dos dies hàbils per lliurar al secretari el seu vot particular, a comptar del moment en què quedi fixada la redacció definitiva de l’informe o del dictamen.

Si se sobrepassen els dos mesos de termini màxim per emetre l’informe o el dictamen, aquest informe o dictamen s’envia al sol·licitant indicant que s’hi han formulat un o diversos vots particulars. El secretari del Comitè Tècnic de Seguretat de la Informació els tramet al sol·licitant tan bon punt els rebi.

Disposició derogatòria

Queda derogat el Decret 194/2024, del 15-5-2024, d’aprovació de la política de seguretat de la informació del Govern d’Andorra i de creació del Comitè Tècnic de Seguretat de la informació.

Disposició final

Aquest Decret entra en vigor l’endemà de publicar-se al Butlletí Oficial del Principat d’Andorra.

Cosa que es fa pública per a coneixement general.

Andorra la Vella, 23 d’abril del 2025

Xavier Espot Zamora
Cap de Govern