infrastrutture

Passaggio al cloud dei piccoli comuni: cosa dice il nuovo Regolamento ACN

Home Cittadinanza digitale
Indirizzo copiato

L’adozione del cloud computing nelle pubbliche amministrazioni italiane porta benefici in termini di efficienza e scalabilità, ma solleva anche sfide legate ai costi e alla gestione organizzativa. Il nuovo Regolamento Cloud dell’ACN gioca un ruolo chiave nella qualificazione dei servizi

Pubblicato il 4 lug 2024
Andrea Tironi

Project Manager – Digital Transformation

contratto cloud
contratto cloud

In questo periodo storico che ricorderemo come “la grande migrazione al cloud”, le PA stanno progressivamente abbandonando sistemi IT tradizionali, spesso obsoleti e costosi in termini di manutenzione, a favore di soluzioni cloud che promettono maggior flessibilità e una riduzione dei costi operativi a lungo termine.

Proviamo allora a capire quali sono i vantaggi e gli svantaggi percepiti dai piccoli comuni in questo passaggio e cosa dice ad una prima lettura il nuovo regolamento cloud appena realizzato da ACN.

Il nuovo Regolamento per il cloud della PA: novità e impatti

Vantaggi del cloud per piccoli comuni: percezioni e realtà

I piccoli comuni nel passaggio al Software as a Service (SaaS) vedono alcuni vantaggi:

  • gli aggiornamenti vengono realizzati da un terzo senza perdita di tempo e avendo sempre l’ultima release;
  • il backup viene gestito da personale qualificato;
  • la cybersecurity viene gestita da personale qualificato;
  • il server nel comune (ufficio, sottoscala, antibagno, sala dedicata) diventa meno critico in caso di guasto, furto, attacco ransomware o perdita dati perché i dati che permettono il funzionamento dell’ente sono nel cloud.

I vantaggi non percepiti dai piccoli comuni

Ci sono poi alcuni vantaggi non percepiti:

  • la scalabilità: i piccoli comuni non hanno “click day” o “black friday” quindi utilizzano poco il concetto di scalabilità tipica del cloud;
  • provisioning: le esigenze dei comuni crescono molto lentamente, quindi il provisioning elastico è poco utilizzato;
  • i software portati in cloud non hanno previsto, nella maggior parte dei casi, una massiccia integrazione (replatform) con le piattaforme cloud, quindi il cloud viene sfruttato poco. In pratica il cloud viene percepito come il famoso meme “il cloud è semplicemente il server di qualcun altro.

Svantaggi del cloud per piccoli comuni: costi e sfide organizzative

Ci sono poi alcuni svantaggi percepiti (o presenti ma non percepiti):

  • i costi sono aumentati in base alla sw dal 10 al 35% secondo una serie di valutazione effettuate su contratti reali. Questo pone un tema di sostenibilità economica di medio termine;
  • il rischio di lock-in dovuto al dato ospitato dal fornitore;
  • il non aver previsto un cambiamento organizzativo nella migrazione al cloud non permette di sfruttare il cloud al meglio;
  • poca comprensione, competenza e attenzione a quanto contrattualizzato
  • scarsa competenza sulle tecnologie cloud.

Il nuovo Regolamento Cloud di ACN: una panoramica

Per cercare di aiutare tutte le PA (non solo i piccoli comuni) a migliorare la comprensione del tema cloud, l’Agenzia per la Cyber Sicurezza Nazionale ha reso disponibile il nuovo Regolamento Cloud.

l Regolamento, adottato da ACN con Decreto Direttoriale n. 21007/24 del 27 giugno 2024 e applicabile dal 1 agosto 2024, aggiorna i livelli minimi e le caratteristiche al mutato scenario di rischio e i termini legati al procedimento di rilascio delle qualifiche.

Partendo dall’articolo 22, il regolamento effettua l’abrogazione di una serie di determine e decreti associati all’argomento, facendo una pulizia normativa non da poco e non scontata. In particolare vengono abrogate le determine 306 e 307 del 18 gennaio 2022, punto di riferimento per 2 anni per il tema Cloud e PA.

Il regolamento è 86 pagine complessive, di cui 26 articoli di corpo e 4 allegati.

Impatti del Regolamento ACN sulle infrastrutture digitali delle PA

In particolare dopo l’articolo 1 che è una sorta di glossario dei termini, l’articolo 2 specifica come:

  • stabilire i livelli minimi di sicurezza per le pubbliche amministrazioni, capacità elaborativa, risparmio energetico e affidabilità
    • delle infrastrutture digitali per le pubbliche amministrazioni
    • delle infrastrutture dei servizi cloud per le pubbliche amministrazioni;
  • definire le caratteristiche di qualità, di sicurezza, di performance e scalabilità, interoperabilità, portabilità dei servizi cloud per le pubbliche amministrazioni;
  • individuare i termini e le modalità con cui le amministrazioni devono effettuare le migrazioni. A tal fine stabilisce il processo e le modalità per la classificazione dei dati e dei servizi digitali;
  • definisce le modalità del procedimento di qualificazione dei servizi cloud per le pubbliche amministrazioni.

Il Regolamento, inoltre, individua:

  • le modalità del procedimento di adeguamento
    • delle infrastrutture digitali
    • delle infrastrutture dei servizi cloud
    • dei servizi cloud

per le pubbliche amministrazioni.

Caratterizzazione e classificazione dei dati e dei servizi digitali

Il capo II si concentra sulla caratterizzazione e classificazione dei dati e dei servizi digitali della pubblica amministrazione, specificando che:

  • i dati sono classificabili in ordinari critici e strategici
  • l’allegato 1 diventa documento tecnico di riferimento per la predisposizione, l’aggiornamento e la classificazione dei dati e dei servizi digitali
  • tali procedure verranno aggiornate da ACN ogni 2 anni, così come una volta ogni due anni le PA dovranno aggiornare il riferimento ai loro dati e relativa classificazione

I livelli minimi delle infrastrutture digitali per le pubbliche amministrazioni

Il capo III si concentra sui livelli minimi delle infrastrutture digitali per le pubbliche amministrazioni , delle infrastrutture dei servizi cloud e dei servizi cloud. Il capo fa riferimento agli allegati 2 e 3.

In questa sezione vengono uniti i concetti di classificazione dati e i requisiti di sicurezza, capacità elaborativa, risparmio energetico e affidabilità per ogni tipo di dati che sia ordinario critico o strategico, come indicato nell’allegato 2 o 3.

Come deve essere effettuata la migrazione dei dati e dei servizi digitali della PA

Nel capo IV viene indicato come deve essere effettuata la migrazione dei dati e dei servizi digitali della PA.

In particolare viene indicata la necessità di presentare un piano di migrazione (come quello realizzato nell’ambito dell’avviso 1.2 del PNRR Digitale) dalla singola PA mediante un modello reso disponibile sul sito DTD nella sezione CLOUD e poi visibile da DTD, ACN; Agid ognuno per le proprie competenze. Il piano deve essere presentato e le attività associate concluse entro e non oltre il 30 giugno 2026.

I concetti di livello di infrastruttura

Il capo V introduce i concetti di livello di infrastruttura come indicato nello schema.

I livelli AI1..AI4 riguardano le infrastrutture digitali e infrastrutture dei servizi cloud, con 4 che è il livello massimo e 1 il livello minimo. I dati ordinari possono essere ospitati su AI1..Ai4, i critici su AI2..AI4 e gli strategici solo su infrastrutture indicate come AI3..AI4.

La classificazione è valida sia per infrastrutture indicate nell’immagine sopra presentata.

Per i servizi invece c’è una distinzione tra adeguamento e qualificazione, che rispettivamente hanno i livelli:

  • AC1..AC4
  • QC1..QC4

con diverse sezioni dell’allegato 4 che fanno da riferimento per le caratteristiche da rispettare.

La differenziazione tra qualifica dei servizi cloud e adeguamento delle infrastrutture

Una delle principali novità riguarda inoltre la differenziazione tra:

  • la qualifica dei servizi cloud (Q*) erogati da fornitori privati, che prevede una verifica di conformità ex-ante a cui fa seguito la pubblicazione della relativa scheda sul catalogo ACN,
  • l’adeguamento delle infrastrutture (A*) (a prescindere dalla natura del soggetto responsabile) e dei servizi erogati da operatori pubblici, basata sulla dichiarazione di conformità inviata ad ACN rispetto ai requisiti previsti.

Rimane in vigore come repository il catalogo cloud, in cui sono stati travasati i fornitori che hanno aderito al catalogo AGID. Il catalogo diventa il luogo di riferimento per la migrazione al cloud.

In entrambi i casi (adeguamento o qualificazione), è prevista una fase di monitoraggio ex-post nel periodo di validità della qualifica e dell’adeguamento (36 mesi), grazie alla quale ACN può verificare il mantenimento dei requisiti necessari al trattamento dei dati e dei servizi in linea con il livello di classificazione.

Nel caso di non mantenimento, è possibile quindi anche una revoca che richiede al fornitore di informare le PA di questa situazione di verifica ed eventualmente di revoca, le quali hanno 6 mesi per trovare un fornitore qualificato.

Dal 1 agosto 2024, le infrastrutture dei servizi cloud che avevano ottenuto una qualifica di livello QI1-4, in corso di validità, verranno convertite – per quanto riguarda la nomenclatura – in livello AI1-4.

La valutazione del pregresso

Il capo VI prevede le disposizioni finali, in particolare interessante è la valutazione del pregresso.

A decorrere dalla data di entra in vigore del presente Regolamento:

  • le infrastrutture dei servizi cloud in possesso di qualifica valida, rilasciata dall’ACN entro la data di applicazione del presente Regolamento, si intendono adeguate, con il medesimo livello e fino alla scadenza previsti dalla qualifica ottenuta;
  • i servizi cloud in possesso di qualifica valida, rilasciata dall’ACN entro la data di applicazione del presente Regolamento, si intendono qualificati con il medesimo livello e fino alla scadenza previsti della qualifica ottenuta.

Gli elenchi dei dati e servizi e i piani di migrazione trasmessi precedentemente all’adozione del presente Regolamento, si intendono trasmessi anche ai fini del presente Regolamento.

Gli operatori di infrastrutture digitali e i fornitori di servizi cloud hanno tempo fino al 18 ottobre 2024 per adeguarsi, laddove hanno dichiarato di essere in corso di adeguamento.

Gli allegati, il vero cuore del Regolamento

Gli allegati sono il vero cuore del regolamento, con tutti gli aspetti tecnici. Il consiglio ad ogni piccolo comune è di verificare i contratti cloud (pnrr o del canone dell’anno successivo) cercando con il fornitore di verificare le corrispondenze rispetto agli allegati associati all’avviso.

Tecnicamente se il fornitore è nel catalogo cloud ha fatto quanto richiesto da ACN (sia che la verifica sia ex-ante o ex-post), del resto la corrispondenza tra qualificazione e contratto non è detto sia automatica, quindi un controllo perlomeno sulle parti di:

  • backup
  • disaster recovery
  • tempi di risposta in assistenza
  • possibilità di avere i dati quando si ha necessità
  • sla di servizio (ed eventualmente slo e sli)

andrebbe effettuato con personale qualificato proprio, del Transformation Office o delle proprie inhouse. Ricordiamo inoltre anche di prevedere delle penali perchè qualsiasi unità di misurazione senza penali è pressoché inutile.

Conclusioni

ACN ha realizzato un’opera di razionalizzazione dei regolamenti cloud, con questo regolamento unico. Ad una prima lettura il regolamento sembra omnicomprensivo e completo, sebbene siano necessarie probabilmente un paio di letture per coglierne tutti gli aspetti e focalizzarne i punti nodali.

Gli allegati diventano parte integrante del regolamento, nonchè il suo cuore, da utilizzare come cartina tornasole dei contratti firmati con i fornitori.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

T
Andrea Tironi
Project Manager – Digital Transformation
Seguimi su

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Video
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • Strategie

    La banca "al telefono": come garantire sicurezza e privacy dei clienti

    08 Lug 2024

    di Valentino Notarangelo

    Condividi

  • gli studi

    L’impatto dell'AI sulla privacy: come garantire un uso lecito dei dati personali?

    16 Mag 2024

    di Anna Cataleta

    Condividi

  • diversity

    Verso un mondo più accessibile: una transizione urgente

    15 Mag 2024

    di Petru Capatina

    Condividi

Prossimo

La banca "al telefono": come garantire sicurezza e privacy dei clienti

Articolo 1 di 4