Con il 1° agosto 2024 si conclude il periodo transitorio ed entra in vigore il cosiddetto “regime ordinario” per le infrastrutture e i servizi coud per la PA, così come prevede il Regolamento unico adottato dall’Agenzia per la Cybersicurezza Nazionale ACN, d’intesa con il Dipartimento per la trasformazione digitale (Decreto Direttoriale ACN n. 21007/24 del 27 giugno 2024).
Il nuovo Regolamento aggiorna i livelli minimi e le caratteristiche al mutato scenario di rischio e i termini legati al procedimento di rilascio delle qualifiche; norma inoltre l’utilizzo delle infrastrutture di housing e i servizi di prossimità (cosiddetti edge).
Il Regolamento ACN è lo strumento che ha definito, armonizzandole in un unico quadro normativo, le misure minime di sicurezza, capacità elaborativa, risparmio energetico e affidabilità che le infrastrutture come i data center devono rispettare, nonché le caratteristiche di qualità, sicurezza, performance, scalabilità e portabilità dei servizi cloud per la PA; descrive inoltre i termini e le modalità con cui le Amministrazioni devono effettuare le migrazioni e stabilisce le modalità per la classificazione dei dati e dei servizi digitali sulla base del danno e dell’impatto che una loro compromissione potrebbe provocare al sistema Paese in relazione al loro livello di criticità (dati e servizi strategici, critici e ordinari).
Il Regolamento rappresenta quindi una guida per le Pubbliche Amministrazioni nell’individuazione delle soluzioni cloud da acquisire, qualificate secondo la normativa vigente in tema di procurement delle PA (Codice degli appalti).
A tal fine, è stato istituito il Catalogo delle infrastrutture cloud disponibili sul sito dell’Agenzia che le PA possono consultare per individuare i servizi e il livello di qualificazione concesso e per verificare in via preventiva la loro conformità al livello di classificazione necessario per gestire i propri dati o servizi.
I soggetti privati (fornitori) che vogliono qualificare le proprie soluzioni cloud (secondo la nuova procedura di qualificazione indicata nel Decreto direttoriale ACN n. 29 del 2 gennaio 2023) devono autenticarsi nella sezione del portale dedicata per inviare l’istanza di qualificazione, processo che consente all’Agenzia di svolgere le verifiche preventive sul livello di conformità dei servizi cloud offerti da operatori privati. Gli aspetti presi in considerazione sono la gestione operativa dei servizi, in particolare gli standard tecnico-organizzativi applicativi e le misure di controllo sui dati, i requisiti di sicurezza per la gestione dei dati, l’erogazione di servizi e le condizioni contrattuali relative alla rendicontazione.
A questo proposito, una delle principali novità del Regolamento riguarda inoltre la differenziazione tra la qualifica dei servizi cloud erogati da fornitori privati, che prevede una verifica di conformità ex-ante a cui fa seguito la pubblicazione della relativa scheda sul catalogo ACN, e l’adeguamento delle infrastrutture e dei servizi erogati da operatori pubblici, basata sulla dichiarazione di conformità inviata ad ACN rispetto ai requisiti previsti.
In entrambi i casi, è prevista la fase di monitoraggio ex-post nel periodo di validità della qualifica e dell’adeguamento (36 mesi), grazie alla quale ACN può verificare nel tempo il rispetto dei requisiti necessari al trattamento dei dati e dei servizi in linea con il livello di classificazione.
LINK UTILI
Consulta la notizia sul sito dell’Agenzia per la Cybersicurezza Nazionale
Consulta la notizia sul sito del Dipartimento per la trasformazione digitale
Consulta il Regolamento ACN (Decreto Direttoriale ACN n. 21007/24 del 27 giugno 2024)
Consulta la pagina del sito ACN dedicata al Regolamento Cloud PA
Consulta il Catalogo delle Infrastrutture digitali e dei servizi cloud