Nato da una convenzione tra il Dipartimento per la trasformazione digitale e la società Polo Strategico Nazionale S.p.a., partecipata da TIM, Leonardo, Cassa Depositi e Prestiti (CDP, tramite la controllata CDP Equity) e Sogei, per rafforzare la sicurezza delle infrastrutture digitali della Pubblica Amministrazione, il Polo Strategico Nazionale oggi, tramite il framework Ssrm, definisce ruolo e obblighi dei provider dei servizi verso gli utenti finali.
Il modello di responsabilità condivisa Ssrm
Ssrm sta per Shared Security Responsibility Model e con esso i ruoli sono ben definiti: se il Polo Strategico Nazionale è responsabile della sicurezza del cloud, ossia delle infrastrutture fisiche come server, rete e data center, le PA, che rappresentano l’utente, si occupano della sicurezza all’interno del cloud, quindi la protezione dei dati, le configurazioni di sicurezza delle applicazioni e il controllo degli accessi. In questo modo, avendo ognuno il proprio compito, la sicurezza è maggiormente garantita.
“Shared By Default” e matrici di responsabilità condivisa
Grazie all’approccio “Shared By Default”, la continua collaborazione tra le parti porta a un migliore controllo dei vari livelli di sicurezza e, quindi, alla loro tutela.
Quattro sono i principi cardine su cui si snoda questo approccio: trasparenza, integrazione, coordinamento e misurazione. Partendo dalla conoscenza delle proprie responsabilità, a valere sia per la PA che per il Polo Strategico Nazionale, in ogni area di servizio (trasparenza), all’aggiunta di servizi da parte del Polo Strategico Nazionale utili a potenziare la sicurezza delle PA (integrazione), fino al confronto continuo tra le parti per una migliore gestione della sicurezza (coordinamento) e al rispetto di standard condivisi affinché si mantenga una base uniforme per l’avanzamento sicuro dei servizi cloud (misurazione).
Per quanto riguarda le matrici di responsabilità condivisa, si tratta di strumenti fondamentali per gestire la sicurezza dei servizi cloud, in particolare in caso di Pubblica Amministrazione, e servono a delineare compiti e responsabilità, favorendo coordinazione ed efficacia delle strategie di sicurezza. Le matrici, che vengono fuori a seguito di un’analisi specifica, verificata da audit interni ed esterni, utilizzano il Questionario Caiq, che riporta le misure di sicurezza adottate dal Polo Strategico Nazionale come provider e le direttive di sicurezza inviate alle PA
Com’è nato il Polo Strategico Nazionale
Il Polo Strategico Nazionale è nato per rispondere all’esigenza di maggiore sicurezza delle infrastrutture cloud delle Pubbliche Amministrazioni.
Un censimento del 2020 dell’AgID, Agenzia per l’Italia digitale, aveva messo in luce che di 1.252 Data Center analizzati, il 95% mostrava carenze in ambito sicurezza, affidabilità ed efficienza. Alla carenza di sicurezza corrisponde necessariamente l’aumento della vulnerabilità alle minacce informatiche e, quindi, dei rischi per i dati dei cittadini.
Il Cloud Computing è stato introdotto proprio per garantire una maggiore efficienza e affidabilità dei sistemi a disposizione della Pubblica Amministrazione. Grazie alla creazione del Polo Strategico Nazionale, si è portata a termine la missione del PNRR, Piano Nazionale di Ripresa e Resilienza (Missione 1, componente 1, investimento 1.1 Cloud PA/Polo Strategico Nazionale), che, insieme all’iniziativa 1.2 del PNRR “Abilitazione e facilitazione migrazione al cloud”, mirano a raggiungere la percentuale del 75% delle Pubbliche Amministrazioni con servizi in cloud entro il 2026
L’obiettivo del PNRR e l’avviso di scadenza
L’obiettivo del 75% delle Pubbliche Amministrazioni italiane che migrano dati e applicativi informatici verso il cloud entro il 2026, tracciato dalla Strategia Cloud Italia, può essere raggiunto attraverso un percorso guidato che la stessa Strategia ha creato, disponibile fino al 31 maggio 2024 con un nuovo avviso, ossia Avviso della Misura 1.1 “Infrastrutture digitali” del PNRR, che prevede lo stanziamento di 224 milioni e 700 mila euro per consentire alle Pubbliche Amministrazioni Centrali, anche dette PAC, a Ministeri, ad Agenzie fiscali, alle singole articolazioni di primo livello di ogni PAC, incluse le singole Direzioni generali, Dipartimenti o Comandi, di migrare verso le infrastrutture del Polo Strategico Nazionale. Avviso copre il finanziamento, oltre della migrazione, anche del canone per la gestione e l’erogazione dei servizi necessari alla migrazione nell’anno successivo all’attivazione.
Come affermato da Alessio Butti, Sottosegretario alla Presidenza del Consiglio con delega all’Innovazione tecnologica, “La pubblicazione di questo Avviso è un passo fondamentale per il percorso strategico di trasformazione digitale del Paese portato avanti dal Governo Meloni. Rendiamo disponibile per le Pubbliche Amministrazioni Centrali una nuova possibilità per migrare i propri dati e servizi al Polo Strategico Nazionale grazie ai 225 milioni di euro del PNRR. Questo vuol dire maggiore sicurezza e un salto di qualità nell’efficienza dell’azione amministrativa. Con le soluzioni tecnologiche innovative del PSN rafforziamo l’impianto complessivo della digitalizzazione del sistema Paese a vantaggio di cittadini e imprese”.
