L’Agenzia per la cybersicurezza nazionale ha adottato il Regolamento unico per le infrastrutture e i servizi cloud per la Pa, d’intesa con il Dipartimento per la trasformazione digitale. L’inizio della nuova fase regolatoria, il cd. “regime ordinario”, è fissato per il 1° agosto 2024.
Indice
Cosa definisce il Regolamento unico
Il Regolamento unico per le infrastrutture e i servizi cloud per la Pa definisce, armonizzandole in un unico quadro normativo, le misure minime che le infrastrutture come i data center e i servizi cloud devono rispettare per supportare i servizi pubblici.
Il provvedimento descrive come classificare i dati e i servizi digitali, rappresentando, a seconda del livello di importanza e sensibilità delle informazioni, una guida sicura per le Pubbliche Amministrazioni nella individuazione delle soluzioni cloud da acquisire.
Per agevolarne la scelta, le Pa potranno accedere al catalogo delle infrastrutture cloud, dove sono esposte le soluzioni qualificate da ACN. Il catalogo contiene schede tecniche per ogni servizio con la tipologia e il relativo livello di qualifica.
Cambia anche il processo di qualificazione, che sarà tutto digitale. I fornitori dei servizi cloud, interessati a ottenere la qualificazione, potranno farlo attraverso il sito dell’Agenzia. Le nuove qualifiche saranno valide per 36 mesi e soggette ad attività di monitoraggio. ACN potrà, quindi, verificare nel tempo il rispetto dei requisiti necessari al trattamento dei dati e dei servizi in linea con il livello di classificazione.
Il nuovo Regolamento unico per le infrastrutture e i servizi cloud per la PA armonizza il quadro regolatorio vigente e definisce le misure tecnico-organizzative e le modalità di qualificazione e adeguamento di servizi e infrastrutture cloud. Il Regolamento disciplina anche l’utilizzo delle infrastrutture di housing e dei servizi di prossimità, i cd. edge computing, sempre più diffusi in ragione dell’esigenza di ridurre i tempi di latenza per gli utenti finali.
Le amministrazioni possono acquistare le soluzioni cloud qualificate secondo la normativa vigente in tema di procurement delle PA (Codice degli appalti) con gli strumenti delle centrali di committenza come, ad esempio, il Mercato elettronico della PA (MEPA) di CONSIP. I soggetti privati che vogliono qualificare le soluzioni cloud devono autenticarsi nella sezione del portale dedicata ai fornitori e inviare la relativa istanza.
Le qualifiche in corso di validità dovranno essere rinnovate dopo la data di naturale scadenza, seguendo le indicazioni del Regolamento e nel portale fornitori.
La qualificazione ACN non abilita in alcun modo all’utilizzo del logo dell’Agenzia per fini promozionali e/o commerciali.
Le novità del Regolamento
Il Regolamento unico per le infrastrutture e i servizi cloud per la Pa definisce:
- le misure e i requisiti per il raggiungimento dei livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la Pa
- le caratteristiche di qualità, sicurezza, performance, scalabilità e portabilità dei servizi cloud per la Pa
- i termini e le modalità con cui le amministrazioni devono effettuare le migrazioni, stabilendo anche le modalità per la classificazione dei dati e dei servizi digitali
- le modalità del procedimento di qualificazione dei servizi cloud per le Pubbliche Amministrazioni, di cui e’ possibile approvvigionarsi ricorrendo al libero mercato.
I servizi digitali sono la modalità primaria di fornitura delle prestazioni al cittadino da parte delle Pubbliche Amministrazioni. Il percorso di transizione al cloud della Pa garantisce affidabilità, sicurezza e sostenibilità nel tempo dei servizi pubblici.
Il processo di qualificazione consente all’Agenzia di svolgere le verifiche preventive sul livello di conformità dei servizi cloud offerti da operatori privati, dei quali si possono avvalere le Pa in alternativa all’erogazione in proprio dei servizi.
La scelta dei servizi cloud qualificati da ACN avviene in base alla classificazione dei dati e dei servizi, grazie alla quale viene stabilito l’impatto dei servizi e dei dati trattati da una Pa in relazione al loro livello di criticità. Le Pa possono consultare il catalogo ACN per individuare i servizi e il livello di qualificazione concesso, per verificare in via preventiva se sono conformi al livello di classificazione necessario per gestire i propri dati o servizi.
Il Regolamento unico per le infrastrutture e i servizi cloud per la Pa di ACN chiarisce:
- le modalità per la classificazione, per la migrazione e per la qualificazione dei servizi cloud, di cui la PA può approvvigionarsi ricorrendo al libero mercato
- le misure e i requisiti per il raggiungimento dei livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la PA
- le caratteristiche di qualità, sicurezza, performance, scalabilità e portabilità dei servizi cloud per la PA.
Il Regolamento, adottato da ACN con Decreto Direttoriale n. 21007/24 del 27 giugno 2024 e applicabile dal 1° agosto 2024, aggiorna i livelli minimi e le caratteristiche al mutato scenario di rischio e i termini legati al procedimento di rilascio delle qualifiche.
Una delle principali novità riguarda, inoltre, la differenziazione tra:
- la qualifica dei servizi cloud erogati da fornitori privati, che prevede una verifica di conformità ex-ante a cui fa seguito la pubblicazione della relativa scheda sul catalogo ACN
- l’adeguamento delle infrastrutture, a prescindere dalla natura del soggetto responsabile, e dei servizi erogati da operatori pubblici, basata sulla dichiarazione di conformità inviata ad ACN rispetto ai requisiti previsti.
In entrambi i casi, è prevista una fase di monitoraggio ex-post nel periodo di validità della qualifica e dell’adeguamento, pari a 36 mesi, grazie alla quale ACN può verificare il mantenimento dei requisiti necessari al trattamento dei dati e dei servizi in linea con il livello di classificazione.
Dal 1° agosto 2024, le infrastrutture dei servizi cloud che avevano ottenuto una qualifica di livello QI1-4, in corso di validità, saranno convertite, per quanto attiene la nomenclatura, in livello AI1-4.
La strategia Cloud Italia
La Strategia Cloud Italia contiene gli indirizzi per la migrazione verso il cloud qualificato della Pubblica Amministrazione. È stata pubblicata nel settembre del 2021 e realizzata dal Dipartimento per la trasformazione digitale e dall’Agenzia per la cybersicurezza nazionale. La strategia risponde a tre sfide principali:
- assicurare l’autonomia tecnologica del Paese
- garantire il controllo sui dati
- aumentare la resilienza dei servizi digitali.
In coerenza con gli obiettivi del Piano Nazionale di Ripresa e Resilienza, il documento traccia un percorso definito per accompagnare circa il 75% delle PA italiane nella migrazione dei dati e degli applicativi informatici verso un ambiente cloud qualificato.
Mediante l’approccio cloud first si vuole guidare e favorire l’adozione sicura, controllata e completa delle tecnologie cloud da parte del settore pubblico, in linea con i principi di tutela della privacy e con le raccomandazioni delle istituzioni europee e nazionali.
In tal modo, le infrastrutture digitali possono essere più affidabili e sicure e la Pubblica Amministrazione potrà rispondere in maniera organizzata agli attacchi informatici, garantendo continuità e qualità nella fruizione di dati e servizi. L’attuazione della strategia prevede, di conseguenza, l’adozione del Regolamento da parte dell’Agenzia per l’Italia Digitale regolamento da parte dell’Agenzia per l’Italia Digitale, finalizzato a definire criteri e passi operativi per la sua adozione da parte delle amministrazioni italiane.
Le tre direttrici della strategia
La Strategia Cloud Italia si sviluppa secondo tre direttrici che guideranno gli enti nelle scelte da compiere rispetto alle diverse soluzioni di migrazione al cloud.
La classificazione dei dati e dei servizi
La classificazione dei dati e dei servizi ha lo scopo di definire un processo di classificazione dei dati, in base al danno che una loro compromissione potrebbe provocare al sistema Paese (strategici, critici e ordinari). Il risultato della classificazione consente di uniformare e guidare il processo di migrazione al Cloud della Pa.
Le classi sono:
- Dati e servizi la cui compromissione può avere un impatto sulla sicurezza nazionale
- Dati e servizi la cui compromissione potrebbe determinare un pregiudizio al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza e il benessere economico e sociale del Paese
- Dati e servizi la cui compromissione non provochi l’interruzione di servizi dello Stato o, comunque, un pregiudizio per il benessere economico e sociale del Paese.
Il 18 gennaio 2021 l’Agenzia ha firmato l’atto che contiene il “modello per la predisposizione dell’elenco e della classificazione dei dati e dei servizi della pubblica amministrazione.” L’Italia è tra i primi Paesi europei ad adottare un modello di classificazione di dati e servizi della PA nell’ambito delle strategie nazionali per il cloud.
La classificazione è definita con la compilazione di un questionario elaborato dall’Agenzia d’intesa con il Dipartimento per la trasformazione digitale. Il questionario facilita le pubbliche amministrazioni nell’analisi guidata e semplificata dell’impatto dell’eventuale compromissione dei propri dati e dei servizi sotto il profilo della confidenzialità, integrità e disponibilità. La classificazione deve essere inviata tramite PA digitale 2026 per identificare la tipologia del cloud di destinazione per i servizi della PA.
La qualificazione dei servizi cloud
La qualificazione dell’offerta dei servizi cloud ha la finalità di semplificare e regolamentare, dal punto di vista tecnico e amministrativo, l’acquisizione di servizi cloud da parte delle amministrazioni.
Dal 19 gennaio 2023 la qualificazione dei servizi cloud per la Pubblica Amministrazione diventa di competenza dell’Agenzia per la cybersicurezza nazionale.
La nuova procedura di qualificazione è indicata nel Decreto direttoriale prot. N. 29 del 2 gennaio 2023. Per garantire la continuità dei servizi qualificati già in uso dalle amministrazioni (PA) e per consentire una graduale armonizzazione della normativa nazionale, il Decreto direttoriale prevede un regime transitorio prima della gestione ordinaria della qualificazione.
Gli aspetti presi in considerazione sono:
- la gestione operativa dei servizi, in particolare gli standard tecnico-organizzativi applicativi e le misure di controllo sui dati
- i requisiti di sicurezza per la gestione dei dati, l’erogazione di servizi
- le condizioni contrattuali relative alla rendicontazione.
Il Polo Strategico Nazionale
Il Polo Strategico Nazionale è l’infrastruttura ad alta affidabilità prevista dall’investimento “1.1 Infrastrutture digitali” (M1C1 Digitalizzazione, Innovazione e sicurezza nella PA) del Piano Nazionale di Ripresa e Resilienza.