Tal com ha explicat Marquina, el text segueix la normativa europea actual i l’adapta a la realitat andorrana, i estableix que cadascuna de les entitats que estiguin subjectes a la llei tindrà l’obligació de desenvolupar el pla de seguretat escaient per cada cas.
Caldrà que desenvolupi la identificació i gestió dels riscos per als serveis que la classifiquen com a essencial o important, de forma proporcionada en relació amb els riscos que presenten les xarxes i els sistemes d’informació que s’utilitzen. La voluntat és reduir el seu risc de patir ciberincidències greus fins a un nivell que l’autoritat de control consideri suficient, sobre la base d’uns criteris definits, i les que queden obligades a notificar en un termini de 72 hores els seus incidents de ciberseguretat per a, entre d’altres raons, evitar la seva propagació.
En aquest context l’autoritat de control, l’Agència Nacional de Ciberseguretat d'Andorra i l’Autoritat Financera Andorrana (AFA), serà l’encarregada de supervisar la responsabilitat proactiva de les entitats, amb capacitat per a sancionar-les i, fins i tot, imposar prohibicions temporals.
El projecte de llei, que ara entrarà a tràmit parlamentari, identifica prop d’una seixantena d’entitats, públiques i privades, que es veuran afectades pel text, ja que han de ser empreses de més de 50 treballadors o amb un volum anual de negoci de 10 milions d’euros, a més de ser considerades una activitat important o essencial. Finalment, el projecte de llei també estableix un règim sancionador per l’incompliment dels aspectes previstos amb multes que poden anar dels 500 a 100.000 euros. Amb la voluntat que les empreses puguin adaptar-se a la nova normativa, el règim sancionador no entrarà en vigor fins dos anys després de l’aprovació de la llei.
El text legal, tal com ha explicat Marquina, s’ha treballat amb els diversos actors implicats per tal d’establir una normativa transversal i completa i adequada a les necessitats actuals.