Dallo scorso primo aprile, come previsto dal “Piano Triennale per l’informatica nella Pubblica Amministrazione 2017-2019”, il principio del Cloud first è divenuto realtà.
Nella fase di definizione di un nuovo progetto e/o sviluppo di servizi, prima di qualsiasi altra opzione tecnologica, le PA sono quindi tenute ad adottare il paradigma Cloud, in particolare soluzioni di tipo SaaS, principio che, quindi, non si applica a progetti o servizi già esistenti, coerentemente con il modello proposto dalle “Linee Guida sull’acquisizione e riuso di software per le pubbliche amministrazioni”.
Per sfruttare in pieno i vantaggi del Cloud, inoltre, si sottolinea l’opportunità per le amministrazioni di verificare, in prima istanza, la presenza di servizi SaaS nel Cloud Marketplace rispondenti alle proprie esigenze e, solo in seconda istanza, di prendere in considerazione soluzioni PaaS e infine IaaS.
La qualificazione per il cloud della PA
Il Cloud Marketplace (che poi marketplace non è) è gestito da AgID e consente alle amministrazioni di consultare e confrontare le infrastrutture e i servizi Cloud qualificati per la PA sulla base di requisiti tecnici e funzionali, rimandando la fase di acquisizione agli strumenti previsti dalla normativa vigente.
La qualificazione delle infrastrutture Cloud e dei servizi di tipo IaaS, PaaS e SaaS, erogabili alle amministrazioni pubbliche è anch’essa gestita da AgID, secondo quanto previsto dalle Circolari AgID n. 2 e n. 3 del 9 aprile 2018. Queste ultime stabiliscono i rispettivi requisiti riguardanti sia la qualificazione dei Cloud Service Provider (CSP) che offrono servizi cloud in modalità IaaS e PaaS (Circolare 2), sia la qualificazione dei servizi SaaS erogabili sul Cloud della PA (Circolare 3).
La Circolare n.2 prevede tre differenti tipi di richiesta di qualificazione dei CSP a seconda della tipologia di servizio erogata. Nel caso di servizi di tipo Public Cloud (IaaS o PaaS) per la PA, si dovrà compilare la richiesta “Tipo A“, nel caso di erogazione di servizi SaaS (utilizzando la propria struttura cloud) la richiesta “Tipo B“, per l’erogazione di tutti i servizi previsti (IaaS, PaaS e SaaS) occorrerà effettuare una richiesta “Tipo C“.
Per la qualificazione delle soluzioni SaaS, invece, la Circolare n. 3 prevede che il soggetto richiedente possa essere sia un fornitore privato che una PA: in entrambi i casi la richiesta di qualificazione è ammessa solo se i servizi SaaS proposti per la qualificazione siano erogati mediante una o più infrastrutture del Cloud della PA (Polo Strategico Nazionale, Cloud SPC o CSP qualificato da AgID) sia di proprietà, sia di terzi, con i quali siano attivi appositi accordi di fornitura.
Requisiti organizzativi e requisiti specifici
I requisiti per la qualificazione (specificati nei rispettivi allegati A alle due circolari citate) sono distinti in requisiti organizzativi (RO) e requisiti specifici. Questi ultimi sono a loro volta suddivisi in: requisiti di sicurezza, privacy e protezione dati (RS), requisiti di performance e scalabilità (RPS), requisiti di interoperabilità e portabilità (RIP), requisiti di conformità legislativa (RCL).
Tra i vari requisiti richiesti si segnala la necessità di essaere in possesso della certificazione ISO/IEC 27001 (estesa con i controlli degli standard ISO/IEC 27017 e ISO/IEC 27018) rilasciata da un ente accreditato presso un organismo nazionale di accreditamento (Accredia per l’Italia) riconosciuto dall’Unione europea. Per i fornitori SaaS tale certificazione può essere sostituita con il CSA STAR Self-Assessment realizzato con riferimento al servizio che intende qualificare (nella versione denominata CAIQ) e pubblicando sul proprio sito web la relativa documentazione.
La richiesta di qualificazione ad Agid
Il fornitore interessato alla qualificazione dovrà trasmettere ad AgID la relativa richiesta, fornendo le informazioni e la documentazione in lingua italiana relative al possesso dei criteri di ammissibilità e dei requisiti previsti da ciascuna circolare. La trasmissione dovrà avvenire attraverso un’apposita piattaforma dedicata che consentirà, tra l’altro, l’accesso tramite SPID e la trasmissione telematica dei documenti ai sensi degli art. 45 e 65 comma 1-bis del CAD.
Con la corretta acquisizione della richiesta di qualificazione (e dei relativi allegati) si consegue automaticamente la qualificazione e si procede con l’iscrizione al Cloud Marketplace dei servizi oggetto della richiesta di qualificazione.
Solo successivamente AgID, anche attraverso l’ausilio di terzi, effettuerà le verifiche necessarie circa il possesso dei requisiti previsti per la qualificazione CSP. La mancanza o la perdita del possesso dei criteri di ammissibilità e/o di almeno uno dei requisiti previsti comporterà la revoca della qualificazione. Salvo i casi di revoca, la qualificazione dei servizi SaaS ha durata pari a 24 mesi a decorrere dalla data di iscrizione al Cloud Marketplace.
Avremo modo di approfondire queste novità in occasione del DIG.Eat, l’evento annuale di ANORC, in programma per il prossimo 30 maggio al Teatro Eliseo di Roma, al quale prenderà parte lo stesso Commissario Straordinario per l’Attuazione dell’Agenda Digitale, Luca Attias.
