normativa

Il nuovo Regolamento per il cloud della PA: novità e impatti

Home Infrastrutture digitali
Indirizzo copiato

L’Agenzia per la cybersicurezza nazionale, con il Dipartimento per la trasformazione digitale, ha adottato il Regolamento unico per le infrastrutture digitali e i servizi cloud della PA. Il Regolamento, in vigore dal primo agosto 2024, definisce misure di sicurezza, qualità e modalità di migrazione per supportare la transizione digitale

Pubblicato il 2 lug 2024
Luisa Franchina

Presidente Associazione Italiana esperti in Infrastrutture Critiche

Corrado Fulgenzi

analista Hermes Bay

Cloud,And,Edge,Computing,Technology,Concepts,Support,A,Large,Number
hybrid cloud

L’Agenzia per la cybersicurezza nazionale ha adottato, d’intesa con il Dipartimento per la trasformazione digitale, il Regolamento unico per le infrastrutture digitali e i servizi cloud per la Pubblica Amministrazione con Decreto Direttoriale n. 21007/24 del 27 giugno 2024.

In seguito all’adozione delle nuove disposizioni, termina il periodo transitorio della regolazione dei servizi cloud. La norma entrerà in vigore dal primo agosto 2024 per consentire l’assorbimento delle novità da parte delle Pubbliche Amministrazioni.

PA digitale, come migrare al cloud nel 2024

Finalità del nuovo Regolamento

Il nuovo Regolamento è stato pensato come uno strumento di guida per le Pubbliche Amministrazioni nell’individuazione delle possibili soluzioni cloud, attraverso una descrizione dettagliata e metodologica della caratterizzazione e classificazione dei dati e dei servizi digitali.

Nel Regolamento, dunque, sono definite una serie di finalità, le quali sono:

  • stabilire le misure e i requisiti per il raggiungimento dei livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la PA;
  • definire le caratteristiche di qualità, sicurezza, performance, scalabilità e portabilità dei servizi cloud per la PA;
  • individuare i termini e le modalità con cui le amministrazioni devono effettuare le migrazioni, stabilendo anche le modalità per la classificazione dei dati e dei servizi digitali;
  • definire le modalità del procedimento di qualificazione dei servizi cloud per le Pubbliche Amministrazioni, di cui la PA può approvvigionarsi ricorrendo al libero mercato.

La classificazione di dati e servizi digitali

Per quanto concerne la classificazione, le Pubbliche Amministrazioni dovranno predisporre e aggiornare un elenco dei propri dati e servizi digitali sulla base della loro caratterizzazione. La classificazione comprende tre classi di dati e servizi digitali:

  • ordinari”, in cui rientrano dati e servizi la cui compromissione non determini pregiudizi al mantenimento di funzioni considerevoli per la società, la salute, la sicurezza pubblica e il benessere economico e sociale del Paese;
  • critici”, in cui rientrano dati e servizi la cui compromissione può scaturire in danni rilevanti per l’esercizio delle summenzionate funzioni;
  • strategici”, la cui compromissione può rappresentare un rischio elevato alla sicurezza nazionale.

Aggiornamento di elenchi e classificazione

L’ elenco e la classificazione saranno aggiornati con cadenza almeno biennale, oppure in presenza di dati e servizi digitali nuovi, e trasmessi all’Agenzia per la cybersicurezza nazionale (ACN), la quale avrà novanta giorni per fornire un riscontro di conformità.

Le eccezioni previste dal Regolamento

Tuttavia, nel Regolamento sono previste due eccezioni: la prima stabilisce che il periodo massimo per la valutazione potrà essere esteso dall’ACN una sola volta per trenta giorni nel caso siano ritenuti necessari approfondimenti inerenti al processo di trasmissione dell’elenco e classificazione; la seconda consente la sospensione dei termini nel caso l’amministrazione debba trasmettere necessariamente integrazioni e informazioni aggiuntive, facendo iniziare il conteggio dalla data di ricevimento. In conclusione, della verifica da parte dell’ACN, questa comunicherà: la convalida di conformità, la convalida con prescrizioni, la non convalida.

Livelli minimi di sicurezza e capacità elaborativa

Anche i livelli minimi di sicurezza, di capacità elaborativa, di risparmio energetico e di affidabilità delle infrastrutture digitali saranno aggiornati almeno una volta ogni due anni, tenendo conto di una serie di fattori, come: l’aggiornamento della classificazione dei dati e servizi digitali, l’aumento dei rischi derivanti dall’evoluzione delle minacce cibernetiche, l’adozione di nuovi schemi di certificazione nazionali ed europei, l’adeguamento con le migliori pratiche e linee guida degli standard nazionali e non, la conformità con la progressiva evoluzione delle misure e garanzie atte alla protezione dei dati personali. Inoltre, i requisiti dei livelli minimi delle infrastrutture digitali e le caratteristiche dei servizi cloud saranno definiti dall’ACN anche sulla base del Framework nazionale per la cybersecurity e data protection, uno strumento metodologico per la valutazione della strategia di difesa di un’organizzazione rispetto alle minacce cibernetiche.

Piani di migrazione e convalida

In merito alla migrazione dei dati e dei servizi cloud, verrà redatto un piano dalle Pubbliche Amministrazioni secondo il modello adottato dal Dipartimento per la trasformazione digitale e d’intesa con l’ACN. Una volta trasmesso il piano, il Dipartimento per la trasformazione digitale dovrà comunicare entro sessanta giorni la conformità, con una possibilità di estendere di ulteriori sessanta giorni qualora siano necessarie ulteriori verifiche. Anche in questo caso, a conclusione dell’iter, il Dipartimento comunicherà la convalida, la convalida con prescrizioni e la non convalida.

Le principali novità del regolamento

Tra le principali novità, viene precisata la differenziazione tra qualifica e adeguamento.

Qualifica e adeguamento dei servizi cloud

La qualifica è definita dall’articolo1, comma 1, lettera s), come il “processo di verifica (a cui deve sottoporsi un fornitore N.d.A.) per garantire che i servizi cloud per le pubbliche amministrazioni siano in possesso delle caratteristiche necessarie per trattare dati e servizi in funzione della loro classificazione, assicurando, in particolare, opportuni livelli di qualità, di performance, di scalabilità, di portabilità, nonché di sicurezza”, ed è articolata su quattro livelli, QC1, QC2, QC3 e QC4, ognuno dei quali deve rispettare dei requisiti ben definiti e distinti contenuti rispettivamente nelle sezioni 1,2,3 e 4 dell’Allegato 4 del Regolamento.

La verifica della qualificazione

La verifica della qualificazione sarà oggetto dell’ACN che avrà di norma sessanta giorni per comunicare la propria decisione di rilascio con condizioni e durata o di rilascio senza condizioni e durata o di rigetto con motivazioni.

La durata massima della qualificazione è stabilita in 36 mesi. Invece, l’adeguamento, è definito dall’articolo 1, comma 1, lettera t), come “l’attività propedeutica alla trasmissione all’ACN, da parte di un operatore di infrastrutture digitali ovvero di un fornitore di servizi cloud pubblico, di una relazione di conformità delle infrastrutture digitali per le pubbliche amministrazioni, delle infrastrutture dei servizi cloud per le pubbliche amministrazioni ovvero dei servizi cloud per la pubblica amministrazione ai requisiti fissati dal presente Regolamento” e in esso rientrano quei servizi cloud erogati da un soggetto pubblico, società in house, società a controllo pubblico, individuati dal decreto legislativo n. 17/2016. Anche in questo caso, i servizi cloud sono suddivisi in quattro livelli, AC1, AC1, AC3, AC4, i cui requisiti sono definiti rispettivamente nelle sezioni 1, 2, 3, 4 dell’Allegato 4 del Regolamento.

La relazione di conformità

In questo caso, i soggetti fornitori dovranno trasmettere all’ACN una relazione di conformità che procederà alla valutazione, al termine del quale si procederà con la pubblicazione dei servizi cloud nel catalogo delle infrastrutture e dei servizi cloud per le Pubbliche Amministrazioni disponibile sul sito di ACN. In entrambi i casi, è prevista una fase di monitoraggio durante il periodo di validità della qualifica e dell’adeguamento, nella quale ACN può verificare il mantenimento dei requisiti necessari al trattamento dei dati e dei servizi in linea con il livello di classificazione.

Impatti futuri del Regolamento

Sulla scia di quanto dichiarato dal Direttore Generale dell’ACN, Bruno Frattasi, con l’adozione di questo Regolamento l’Agenzia ha provveduto a dare stabilità e chiarezza al processo di individuazione dei servizi cloud, fornendo un supporto decisivo alle Pubbliche Amministrazioni impegnate nella transizione digitale durante un periodo in cui crescono i pericoli nel dominio cibernetico e pertanto necessitano di una guida sicura e affidabile in termini di sicurezza.

Grazie all’utilizzo di tecnologie avanzate presenti nel cloud, come l’Intelligenza Artificiale, miglioreranno contemporaneamente i livelli di protezione dalle minacce cibernetiche e i servizi offerti dalle Pubbliche Amministrazioni.

Note

[1] https://www.acn.gov.it/portale/documents/d/guest/regolamentocloud

[2] https://www.acn.gov.it/portale/cloud

[3] https://www.acn.gov.it/portale/documents/d/guest/regolamentocloud

[4] https://www.cybersecurityframework.it/

[5] https://www.acn.gov.it/portale/documents/d/guest/regolamentocloud

[6] https://www.acn.gov.it/portale/documents/d/guest/regolamentocloud

[7] https://www.acn.gov.it/portale/catalogo-delle-infrastrutture-digitali-e-dei-servizi-cloud?start=2

[8] https://www.acn.gov.it/portale/cloud/regolamento-cloud-per-la-pa

[9] https://www.acn.gov.it/portale/w/entra-in-vigore-il-nuovo-regolamento-cloud-per-la-pa

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

F
Luisa Franchina
Presidente Associazione Italiana esperti in Infrastrutture Critiche
Seguimi su
F
Corrado Fulgenzi
analista Hermes Bay

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • gli studi

    L’impatto dell'AI sulla privacy: come garantire un uso lecito dei dati personali?

    16 Mag 2024

    di Anna Cataleta

    Condividi

  • diversity

    Verso un mondo più accessibile: una transizione urgente

    15 Mag 2024

    di Petru Capatina

    Condividi

Prossimo

L’impatto dell'AI sulla privacy: come garantire un uso lecito dei dati personali?

Articolo 1 di 3