Ciberseguretat: una prioritat
Les xarxes i sistemes d'informació són crucials en el nostre dia a dia, però que la informació sigui fiable i estigui protegida és també essencial per l’activitat econòmica i social. En un món cada vegada més digitalitzat, som conscients de la magnitud, la freqüència i els efectes dels incidents de seguretat? Representen una greu amenaça? Phishing o suplantació de la identitat, ransomware o malware, enginyeria social són alguns dels exemples d'atacs que amenacen la seguretat en internet. Aquest tipus d'incidents pot interrompre les activitats econòmiques, generar considerables pèrdues financeres, menyscabar la confiança de l'usuari i causar danys a l'economia d’un país. Per tant, la necessitat de protegir-se davant les nombroses amenaces de seguretat ja no és només a través de la pròpia estratègia de cada organització, sinó que la conscienciació i la formació dels usuaris és fonamental en el dia a dia.
Davant aquest paradigma digital, la peça clau és la ciberseguretat. La ciberseguretat és la pràctica de protegir sistemes, xarxes i programes d'atacs digitals. En general, aquests ciberatacs apunten a accedir, modificar o destruir la informació confidencial o extorsionar els usuaris per disposar de les seves dades personals. Una defensa robusta requereix, per tant, múltiples capes de protecció.
Per donar una resposta efectiva als problemes de ciberseguretat al Principat d’Andorra, l'octubre del 2021 es va presentar l’Estratègia Nacional de Ciberseguretat, amb l’objectiu de desenvolupar la creació d’un marc legal i coordinar de manera proactiva la prevenció i la mitigació de les amenaces cibernètiques, tant en el sector públic com en el sector privat; i a l’abril del 2022, es va presentar la nova Agència Nacional de Ciberseguretat d’Andorra, un organisme públic constituït per garantir la ciberseguretat i protegir la seguretat pública en el ciberespai.
Però aquest plantejament requeria desenvolupar uns requisits mínims homogenis en matèria de seguretat per als operadors de serveis considerats essencials i els proveïdors de serveis digitals, en línia amb les propostes europees que garanteixen un elevat nivell comú de seguretat de les xarxes i dels sistemes d’informació a la Unió Europea. Així, el 22 de juny del 2022 es va publicar al BOPA la Llei 22/2022, del 9 de juny, de mesures per a la seguretat de les xarxes i dels sistemes d’informació –a tenir en compte que les obligacions en matèria de supervisió i el règim sancionador entraran en vigor el 23 de juny del 2024–.
Aquesta llei, que es basa en la Directiva (UE) 2016/1148, té com a objecte regular el reforç de la resiliència de les entitats crítiques i la seguretat de les xarxes i dels sistemes d’informació utilitzats per a la prestació de serveis essencials i importants (i.e. energia, transport, serveis financers, infraestructures, etc.) al Principat d’Andorra –que compleixen uns requisits mínims–. A nivell pràctic, es tradueix en disposar de mesures tècniques i d’organització necessàries per gestionar els riscos que es plantegin en relació amb la seguretat de les infraestructures crítiques, i de les xarxes i els sistemes d’informació utilitzats en la prestació dels serveis essencials i importants, tant si es tracta d’infraestructures crítiques, xarxes i sistemes propis, com de proveïdors externs; a més de notificar a l’Agència els incidents que tinguin o puguin tenir efectes significatius en aquests serveis i disposar d’un delegat de la seguretat de la informació. És a dir, tot per garantir la resiliència de les seves infraestructures crítiques.
A nivell europeu, la Directiva (UE) 2016/1148 ha estat modificada per la Directiva (UE) 2022/2555 per tal d’homogeneïtzar les mesures de gestió de risc de ciberseguretat, així com d’ampliar l'àmbit d'aplicació per sectors a una part més extensa de l'economia i, per tant, oferir una cobertura completa dels sectors i serveis de vital importància per a les activitats socials i econòmiques fonamentals dins el mercat interior. En aquesta mateixa línia, però en l’àmbit financer, el Reglament (UE) 2022/2554 (DORA), estableix uns requisits uniformes per a la seguretat de les xarxes i sistemes d'informació de les empreses i organitzacions que operen en el sector financer, amb l’objectiu de crear un marc regulador sobre la resiliència operativa digital.
Així, en un món hiperconnectat i global –amb ciberatacs cada cop més freqüents– la seguretat ocupa un rol protagonista. Per tant, la ciberresiliència de les organitzacions dependrà de la seva capacitat de resposta, de l’adopció de mesures de protecció tecnològica eficients i robustes, de la cooperació i coordinació –internacional–, però especialment de la conscienciació i formació dels propis usuaris.