sicurezza

Regolamento ACN per infrastrutture digitali e cloud: cosa fare per diventare fornitori della PA



Indirizzo copiato

L’Agenzia per la Cybersicurezza Nazionale ha introdotto un regolamento per le infrastrutture digitali e i servizi cloud destinati alla pubblica amministrazione. Questo impone specifici requisiti di sicurezza e qualificazione per i fornitori privati, garantendo un’elevata qualità e affidabilità dei servizi, e promuovendo la competitività nel mercato del cloud computing per le PA

Pubblicato il 4 ott 2024

Pierluigi Perri

Università degli Studi di Milano



cyber sicurezza e appalti PA (1)

Non si ferma la frenetica attività della nostra Agenzia per la Cybersicurezza Nazionale (ACN): insieme a numerose iniziative normative e regolamentari che hanno guardato al settore privato, l’ACN ha recentemente pubblicato anche un Regolamento per le infrastrutture digitali e per i servizi cloud per la pubblica amministrazione.

Occorre precisare fin da subito che si tratta di un regolamento che ha impatto non solo sul settore pubblico, ma anche su quello degli operatori economici privati che operano in tale ambito in qualità di fornitori delle PA.

Nel merito, sono numerosi gli adempimenti che vengono richiesti soprattutto a tale seconda categoria di soggetti per rendere il proprio business competitivo e accedere a tale segmento di mercato.

Nello specifico, il nuovo Regolamento crea un catalogo di soggetti di cui le pubbliche amministrazioni possono avvalersi per l’erogazione di determinati servizi in quanto forniscono garanzie di sicurezza sufficienti. L’obiettivo ultimo di tale catalogo è garantire affidabilità, sicurezza e sostenibilità nel tempo dei servizi pubblici.

I soggetti a cui si applica il Regolamento ACN

Per meglio comprendere gli adempimenti per i soggetti che forniscono infrastrutture digitali e servizi cloud è innanzitutto necessario effettuare una distinzione tra tre categorie di soggetti:

  • le infrastrutture digitali per le pubbliche amministrazioni, che sono le infrastrutture digitali tramite le quali sono erogati i servizi digitali delle amministrazioni, tra cui rientrano:
  • i Centri di Elaborazione Dati (CED), cioè i siti che ospitano reti e sistemi informativi atti alla erogazione di servizi interni alle amministrazioni e servizi erogati esternamente dalle amministrazioni che al minimo comprende risorse di calcolo, apparati di rete per la connessione e sistemi di memorizzazione di massa;
  • il Polo Strategico Nazionale, che è l’infrastruttura promossa dalla Presidenza del Consiglio dei ministri che ha l’obiettivo di dotare le Amministrazioni di un sistema cloud avanzato, sicuro e sostenibile;
  • i componenti di un’infrastruttura digitale messi a disposizione da terze parti e finalizzati all’erogazione di servizi cloud per la pubblica amministrazione e di cui possono avvalersi anche i CED (c.d. housing);
  • i componenti di un’infrastruttura digitale, eventualmente messi a disposizione da terze parti, finalizzati all’incremento delle prestazioni nell’erogazione in prossimità dei servizi digitali delle amministrazioni (c.d. infrastrutture di prossimità).
  • le infrastrutture dei servizi cloud per le pubbliche amministrazioni, ossia le infrastrutture digitali di cui al punto precedente, fornite da un operatore di infrastrutture digitali, tramite le quali sono erogati i servizi cloud per le pubbliche amministrazioni;
  • i servizi cloud per le pubbliche amministrazioni, ossia i servizi cloud (IaaS, PaaS, SaaS) tramite i quali sono erogati servizi digitali delle amministrazioni.

Tale distinzione è di fondamentale importanza perché, a seconda della tipologia di servizio erogato e della natura del provider (se pubblico o privato), cambiano i requisiti che devono essere soddisfatti e la tipologia di verifica che l’Agenzia per la Cybersicurezza Nazionale svolgerà ai fini dell’inclusione nel catalogo dei provider delle pubbliche amministrazioni. Si sottolinea fin da subito che i privati che forniscono servizi cloud per le PA sono quelli soggetti ad un regime maggiormente stringente e, quindi, devono prestare maggiore attenzione alla compliance agli obblighi posti dal Regolamento in analisi.

Caratterizzazione e classificazione dei dati e dei servizi della PA

Una volta inserito nel catalogo, il provider sarà elencato tra i soggetti tra cui le PA potranno scegliere avendo la possibilità di capire quale soddisfa maggiormente le proprie esigenze, anche in base alla classificazione dei dati e dei servizi che dovranno essere esternalizzati.

La distinzione tra tre tipologie di dati e servizi

Nello specifico, il regolamento effettua una distinzione tra tre tipologie di dati e servizi:

  • ordinari”, ossia quelli la cui compromissione non provoca l’interruzione di servizi dello Stato o, comunque, un pregiudizio per il benessere economico e sociale del Paese;
  • critici”, ossia quelli la cui compromissione potrebbe determinare un pregiudizio al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza e il benessere economico e sociale del Paese;
  • strategici”, ossia quelli la cui compromissione può avere un impatto sulla sicurezza nazionale.

Alle diverse tipologie di dati e servizi che dovranno essere ospitati corrispondono diversi requisiti che i fornitori dovranno soddisfare: maggiore è la sensibilità dei primi per la sicurezza nazionale, più stringenti sono i secondi.

I requisiti per le infrastrutture digitali e le infrastrutture dei servizi cloud

Nello specifico, le infrastrutture digitali per le pubbliche amministrazioni e le infrastrutture dei servizi cloud per le pubbliche amministrazioni dovranno adeguarsi ai livelli minimi di sicurezza, di capacità elaborativa, di risparmio energetico e di affidabilità.

I livelli minimi sono organizzati sulla base delle sottocategorie del Framework Nazionale per la Cybersecurity e la Data Protection, ossia identify, detect, protect, recover, respond. Tale organizzazione è sicuramente ormai già nota agli operatori del settore, infatti è la medesima già utilizzata da altre normative in materia di cybersecurity, come, ad esempio, il perimetro di sicurezza nazionale cibernetica e il Regolamento DORA.

I livelli minimi di sicurezza, di capacità elaborativa, di risparmio energetico e di affidabilità devono essere garantiti interamente dall’infrastruttura digitale oppure dai componenti messi a disposizione da terze parti e finalizzati all’erogazione di servizi cloud per la pubblica amministrazione e di cui possono avvalersi anche le infrastrutture digitali congiuntamente dal medesimo operatore e dal fornitore dei cd. servizi di housing, attraverso accordi dedicati.

Requisiti di adeguamento delle infrastrutture

In aggiunta a quanto sopra, il Regolamento in analisi pone dei requisiti di adeguamento delle infrastrutture digitali e delle infrastrutture dei servizi cloud per le pubbliche amministrazioni. Essi rappresentano l’attività propedeutica alla trasmissione all’ACN, da parte di un operatore di infrastrutture digitali, di una relazione di conformità delle stesse ai requisiti fissati.

Questi ultimi sono suddivisi in quattro livelli, di seguito elencati in ordine crescente:

  1. infrastruttura di livello 1 (AI1);
  2. infrastruttura di livello 2 (AI2);
  3. infrastruttura di livello 3 (AI3);
  4. infrastruttura di livello 4 (AI4).

A ciascun livello corrispondono diversi requisiti progressivamente più stringenti e, di conseguenza, diverse tipologie di dati e servizi che possono essere ospitati o erogati. Nello specifico:

  1. i dati e i servizi ordinari possono essere gestiti mediante infrastrutture o servizi di tutti e quattro i livelli (AI1, AI2, AI3, AI4);
  2. i dati e i servizi critici possono essere gestiti mediante infrastrutture e servizi che si qualifichino almeno come di livello 2, 3 o 4 (AI2, AI3, AI4);
  3. i dati e i servizi strategici possono essere gestiti mediante infrastrutture e servizi che si qualifichino almeno come di livello 3 o 4 (AI3, AI4).

Per essere inseriti nel catalogo delle infrastrutture (digitali o di servizi cloud) di cui le pubbliche amministrazioni possono avvalersi, una volta svolte le attività di adeguamento, gli operatori devono trasmettere all’ACN una relazione di conformità ai livelli minimi di cui si è detto in precedenza e ai requisiti sopra elencati.

Dunque, i fornitori di infrastrutture digitali o di infrastrutture per i servizi cloud potranno essere inclusi nel catalogo dei soggetti di cui la PA può avvalersi mediante una semplice autodichiarazione, senza necessità di adempimenti ulteriori. Infatti, l’ACN svolgerà esclusivamente una verifica formale dell’istanza.

Il processo di inclusione nel catalogo dei fornitori di servizi cloud

Il processo di inclusione nel catalogo dei fornitori di servizi cloud è parzialmente analogo. Anch’essi devono presentare caratteristiche di qualità, di sicurezza, di performance, di scalabilità e di interoperabilità. Tanto più stringenti saranno queste caratteristiche, maggiore sarà la criticità dei dati e dei servizi che potranno essere ospitati.

Inoltre, in maniera simile, anche le caratteristiche che devono essere soddisfatte sono organizzate secondo le sottocategorie del Framework Nazionale per la Cybersecurity e la Data Protection, che prevede il ciclo identify, detect, protect, recover, respond.

Un altro profilo di parziale sovrapposizione è la necessità di essere sottoposti ad un processo di adeguamento che prevede quattro livelli che corrispondono ai requisiti progressivamente più stringenti per trattare o erogare dati o servizi maggiormente critici.

Tuttavia, tale obbligo riguarda solo i servizi cloud erogati da soggetti pubblici, da società in house o da società a controllo pubblico. Infatti, i soggetti privati non dovranno semplicemente adeguarsi ai requisiti posti dalla normativa, ma ottenere una qualificazione.

Un’ulteriore distinzione è rappresentata dal fatto che i servizi cloud erogati da soggetti privati non vengono inclusi nel catalogo sulla base di una semplice autodichiarazione, bensì sono soggetti al processo di qualificazione. Questo consiste nella verifica da parte dell’ACN volta a garantire che i servizi cloud per le pubbliche amministrazioni siano in possesso delle caratteristiche necessarie per trattare dati e servizi in funzione della loro classificazione, assicurando opportuni livelli di qualità, di performance, di scalabilità, di portabilità, nonché di sicurezza.

Le informazioni richieste per avviare il processo di qualificazione dei privati

Le informazioni richieste per avviare il processo di qualificazione dei privati includono almeno:

  • la tipologia di qualificazione richiesta;
  • il servizio cloud sottostante ovvero, in caso erogazione senza il ricorso ad altri servizi cloud, l’infrastruttura digitale ovvero l’infrastruttura dei servizi cloud utilizzata;
  • la descrizione dei servizi cloud per i quali viene richiesta la qualificazione;
  • l’indicazione dei requisiti posseduti ai fini della qualificazione richiesta e la relativa documentazione;
  • la specifica e l’esito delle attività di verifica della sicurezza effettuate dal fornitore sul servizio oggetto di qualifica;
  • nel caso di richieste a partire dal livello 3 di qualificazione, la descrizione degli elementi architetturali dell’infrastruttura o del servizio cloud.

Entro sessanta giorni dalla ricezione di una domanda da parte di un privato, l’ACN deve verificare la conformità ai requisiti e ai livelli minimi di sicurezza in relazione alla tipologia di qualificazione richiesta.

Le attività dell’Agenzia rappresentano un vero e proprio processo di valutazione, che prevede anche la possibilità di formulare quesiti, richiedere integrazioni, informazioni aggiuntive e ulteriore documentazione, lo svolgimento di accertamenti di carattere tecnico, incluse le verifiche di sicurezza mirate ad accertare la presenza di vulnerabilità nei sistemi, anche mediante accesso all’infrastruttura fisica e logica dell’infrastruttura dei servizi cloud ovvero del servizio cloud e la possibilità di audire il soggetto richiedente.

Inoltre, anche l’esito della valutazione non è scontato: entro quindici giorni, l’ACN potrà rigettare la richiesta o accettarla. Nell’ultimo caso, l’accettazione potrà essere con riserve e tale circostanza verrà annotata nel catalogo che recherà la dicitura “servizio cloud per le pubbliche amministrazioni qualificato con condizioni”.

Le verifiche successive all’adeguamento o alla qualifica

Dopo l’inclusione del soggetto all’interno del catalogo, l’Agenzia potrà in ogni caso monitorare il mantenimento dei livelli minimi di sicurezza e dei requisiti. In caso di difformità, potrà essere richiesto al fornitore di conformarsi entro quarantacinque giorni, fatte salve specifiche esigenze che richiedano un lasso tempo superiore.

Un aspetto peculiare è che il fornitore dovrà comunicare ai soggetti con cui ha o intende avere rapporti contrattuali di essere soggetto a verifica da parte dell’ACN, garantendo comunque la continuità delle prestazioni.

A seguito della verifica, il provider potrà adeguarsi alle richieste dell’Agenzia oppure vedersi revocata la qualificazione o dichiarata l’inadeguatezza della propria infrastruttura. In tale ultimo caso, dovrà comunicare tale circostanza alle amministrazioni clienti e supportarle nella migrazione verso un altro provider, cancellando successivamente tutti i dati in proprio possesso.

Ulteriori obblighi di compliance per i fornitori di infrastrutture digitali, di infrastrutture per i servizi cloud e per i servizi cloud

Sempre i soggetti che erogano i servizi in analisi potrebbero essere ben presto soggetti ad ulteriori obblighi di compliance. Infatti, è stato recentemente approvato il testo della normativa di recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (cosiddetta Direttiva NIS 2).

Considerato che i fornitori di servizi di cloud computing e quelli di servizi di data center sono stati inclusi tra i settori ad alta criticità, è verosimile che essi saranno soggetti anche all’applicazione della Direttiva NIS 2. Anche qualora così non fosse, il testo europeo prevede che, tra le misure che le aziende dovranno implementare, vi sono anche quelle di controllo della supply chain. A tal fine, dovranno anche tenere conto della qualità complessiva dei prodotti e delle pratiche di cibersicurezza dei fornitori.

Pertanto, emerge con chiarezza come l’attenzione ai temi della cybersecurity e la predisposizione di un impianto documentale strutturato e che possa essere condiviso con i clienti diventa sempre di più un asset fondamentale che costituisce un chiaro vantaggio competitivo sul mercato.

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Social
Analisi
Video
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4