Il nuovo Regolamento per il cloud nelle pubbliche amministrazioni in vigore dal 1° agosto
I servizi digitali sono la modalità primaria di fornitura delle prestazioni al cittadino da parte delle Pubbliche Amministrazioni. Il percorso di transizione al cloud della PA garantisce affidabilità, sicurezza e sostenibilità nel tempo dei servizi pubblici.
Il processo di qualificazione consente all’Agenzia di svolgere le verifiche preventive sul livello di conformità dei servizi cloud offerti da operatori privati, dei quali si possono avvalere le PA in alternativa all’erogazione in proprio dei servizi.
La scelta dei servizi cloud qualificati da Agenzia per Cybersecurezza Nazionale (ACN) avviene in base alla classificazione dei dati e dei servizi. Grazie alla classificazione viene stabilito l’impatto dei servizi e dei dati trattati da una PA in relazione al loro livello di criticità.
Le PA possono consultare il catalogo ACN per individuare i servizi e il livello di qualificazione concesso, per verificare in via preventiva se sono conformi al livello di classificazione necessario per gestire i propri dati o servizi.
Il Regolamento unico per le infrastrutture e i servizi cloud per la PA di ACN chiarisce:
- le modalità per la classificazione, per la migrazione e per la qualificazione dei servizi cloud, di cui la PA può approvvigionarsi ricorrendo al libero mercato;
- le misure e i requisiti per il raggiungimento dei livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la PA;
- le caratteristiche di qualità, sicurezza, performance, scalabilità e portabilità dei servizi cloud per la PA.
Il Regolamento, adottato da ACN con Decreto Direttoriale n. 21007/24 del 27 giugno 2024 e applicabile dal 1 agosto 2024, aggiorna i livelli minimi e le caratteristiche al mutato scenario di rischio e i termini legati al procedimento di rilascio delle qualifiche. Il Regolamento norma anche l’utilizzo delle infrastrutture di housing e i servizi di prossimità (cosiddetti edge), sempre più diffusi in ragione dell’esigenza di ridurre i tempi di latenza per gli utenti finali.
Una delle principali novità riguarda inoltre la differenziazione tra:
- la qualifica dei servizi cloud erogati da fornitori privati, che prevede una verifica di conformità ex-ante a cui fa seguito la pubblicazione della relativa scheda sul catalogo ACN,
- l’adeguamento delle infrastrutture (a prescindere dalla natura del soggetto responsabile) e dei servizi erogati da operatori pubblici, basata sulla dichiarazione di conformità inviata ad ACN rispetto ai requisiti previsti.
In entrambi i casi, è prevista una fase di monitoraggio ex-post nel periodo di validità della qualifica e dell’adeguamento (36 mesi), grazie alla quale ACN può verificare il mantenimento dei requisiti necessari al trattamento dei dati e dei servizi in linea con il livello di classificazione.
Dal 1 agosto 2024, le infrastrutture dei servizi cloud che avevano ottenuto una qualifica di livello QI1-4, in corso di validità, saranno convertite – per quanto riguarda la nomenclatura – in livello AI1-4.
Fonte: Agenzia per Cybersecurezza Nazionale