Servizi cloud PA, entra in vigore il nuovo Regolamento: ecco come recepirlo
Entra in vigore il prossimo primo agosto 2024 il Regolamento per le infrastrutture digitali e per i servizi cloud per la PA, adottato dall’ACN d’intesa con il Dipartimento per la trasformazione digitale. Amministrazioni e aziende hanno quindi un mese di tempo per recepire e comprendere le novità. Ecco i punti principali
Si completerà il prossimo primo agosto 2024 il quadro normativo che darà una nuova infrastruttura digitale alla pubblica amministrazione: l’ACN, d’intesa con il Dipartimento per la trasformazione digitale, ha infatti adottato il Regolamento per le infrastrutture digitali e per i servizi cloud per la PA che consentirà di guidare le nostre amministrazioni nella transizione sicura al cloud.
L’obiettivo che l’Agenzia vuole pervenire con questo provvedimento è quello di definire, in un unico quadro normativo, le misure minime che le infrastrutture come i data center e i servizi cloud devono rispettare per supportare i servizi pubblici.
Il regolamento (adottato con Decreto Direttoriale n. 21007/24, ai sensi dell’articolo 33-septies, comma 4, del Decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla Legge 17 dicembre 2012, n. 221) si rivolge sia alle Pubbliche Amministrazione che ai fornitori di servizi cloud e abroga il precedente Regolamento adottato il 15 dicembre 2021 con Delibera n. 628/2021 dell’Agenzia per l’Italia Digitale.
Il termine per l’avvio della nuova fase regolatoria è fissato al primo agosto 2024 per consentire alle amministrazioni e alle aziende di recepire e comprendere le novità introdotte. Analizziamo i punti principali della direttiva.
Servizi cloud PA, i dettagli del Regolamento
Il Regolamento, composto da 27 articoli e 4 allegati, intende realizzare le seguenti finalità:
- stabilire i livelli minimi di sicurezza per le pubbliche amministrazioni, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per le pubbliche amministrazioni e delle infrastrutture dei servizi cloud per le pubbliche amministrazioni;
- definire le caratteristiche di qualità, di sicurezza, di performance e scalabilità, interoperabilità, portabilità dei servizi cloud per le pubbliche amministrazioni;
- individuare i termini e le modalità con cui le amministrazioni devono effettuare le migrazioni. A tal fine stabilisce il processo e le modalità per la classificazione dei dati e dei servizi digitali;
- definire le modalità del procedimento di qualificazione dei servizi cloud per le pubbliche amministrazioni.
Inoltre, individua:
- le modalità del procedimento di adeguamento delle infrastrutture digitali per le pubbliche amministrazioni e delle infrastrutture dei servizi cloud per le pubbliche amministrazioni;
- le modalità del procedimento di adeguamento dei servizi cloud per le pubbliche amministrazioni.
Il provvedimento è strutturato per essere facilmente compreso e applicato dagli Enti che fruiranno dei servizi cloud e dai fornitori dei servizi cloud.
In particolare, da un lato rappresenta una guida sicura per le Pubbliche Amministrazioni nella individuazione del procedimento di adeguamento delle infrastrutture o dei servizi cloud esistenti ovvero delle soluzioni cloud da acquisire e, dall’altro, descrive il nuovo processo di qualificazione per i fornitori dei servizi cloud interessati ad ottenere la qualificazione per la Pubblica Amministrazione.
Caratterizzazione e classificazione di dati e servizi digitali della PA
Il regolamento descrive un percorso che ogni PA, interessata a gestire i servizi in cloud, deve seguire per adeguarsi alla normativa vigente. Il primo passo di questo percorso consiste nella caratterizzazione e classificazione dei dati e dei servizi digitali.
Ogni PA deve redigere e tenere aggiornato un elenco dei propri dati e dei propri servizi, comprensivo di tutti gli elementi necessari alla loro caratterizzazione, ai fini della relativa classificazione secondo uno dei seguenti livelli di criticità:
- ordinari: qualora la loro compromissione non determini i pregiudizi di cui alle lettere b) e c);
- critici: se la loro compromissione può determinare un pregiudizio al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza pubblica e il benessere economico e sociale del Paese;
- strategici: se la loro compromissione può determinare un pregiudizio alla sicurezza nazionale.
Le amministrazioni aggiornano l’elenco e la classificazione dei dati e dei servizi digitali e lo trasmettono all’ACN almeno una volta ogni due anni o in presenza dei dati e dei servizi digitali ulteriori, rispetto a quelli già oggetto di trasmissione e classificazione, con le modalità indicate nell’Allegato 1 del Regolamento “Modalita per la predisposizione dell’elenco e della classificazione dei dati e dei servizi della Pubblica Amministrazione”.
L’ACN, entro novanta giorni dalla sua ricezione, fornisce riscontro circa la conformità dell’elenco e della classificazione dei dati e dei servizi digitali e, ove si renda necessario, può chiedere integrazioni e informazioni aggiuntive. In assenza di riscontro da parte dell’ACN entro i termini, l’elenco e la classificazione dei dati e dei servizi si intendono convalidati.
La scelta dei servizi cloud qualificati da ACN deve avvenire in base alla classificazione dei dati e dei servizi. Grazie alla classificazione viene stabilito l’impatto dei servizi e dei dati trattati da una PA in relazione al loro livello di criticità.
Livelli minimi delle infrastrutture digitali per le PA
Con questo Regolamento, l’ACN ha definito i livelli minimi di sicurezza, di capacità elaborativa, di risparmio energetico e di affidabilità delle infrastrutture digitali per le pubbliche amministrazioni, delle infrastrutture dei servizi cloud per le pubbliche amministrazioni nonché le caratteristiche dei servizi cloud per le pubbliche amministrazioni per omogeneizzare la capacità di resilienza di tutta le strutture pubbliche e dei loro fornitori.
Gli stessi sono aggiornati periodicamente, almeno una volta ogni due anni:
- in linea con la classificazione dei dati e dei servizi che devono trattare;
- in relazione al rischio e all’evoluzione della minaccia di natura cibernetica;
- in considerazione degli schemi di certificazione nazionali ed europei progressivamente adottati;
- tenuto conto delle migliori pratiche, delle linee guida, dei quadri di disciplina di riferimento e degli standard nazionali, europei nonché internazionali;
- tenuto conto dell’evoluzione delle misure e delle garanzie necessarie ad assicurare un adeguato livello di protezione dei dati personali.
I livelli minimi di sicurezza, di capacità elaborativa, di risparmio energetico e di affidabilità devono essere garantiti interamente dall’infrastruttura digitale ovvero dai componenti di una infrastruttura digitale messi a disposizione da terzi parti e finalizzati all’erogazione di servizi cloud per la pubblica amministrazione e di cui possono avvalersi anche le infrastrutture digitali congiuntamente dal medesimo operatore e dal fornitore dei cd. servizi di housing, attraverso accordi dedicati.
L’elencazione dei livelli minimi è definita nell’allegato 2 del Regolamento “Livelli minimi di sicurezza e affidabilità, capacità elaborativa, risparmio energetico delle infrastrutture digitali e delle infrastrutture dei servizi per la Pubblica Amministrazione”. Questi sono organizzati sulla base delle sottocategorie del Framework Nazionale per la Cybersecurity e la Data Protection (FNCS): ordinari, critici e strategici. Per ogni misura è fornita una specifica più dettagliata dell’implementazione minima attesa, nonché delle modalità richieste al fine di descriverne l’adozione e dimostrarne l’attuazione.
I servizi cloud per le pubbliche amministrazioni devono possedere caratteristiche di qualità, di sicurezza, di performance e di scalabilità, di interoperabilità, di portabilità definite nell’Allegato 3 del Regolamento “Caratteristiche di base di qualità, di sicurezza, di performance e di scalabilità, di interoperabilità, di portabilità dei servizi cloud per la Pubblica Amministrazione”.
Le caratteristiche di base sono organizzate sulla base delle sottocategorie del Framework Nazionale per la Cybersecurity e la Data Protection (di seguito FNCS) e definite tendendo conto della matrice CSA Cloud Control Matrix (CCM). Per ogni misura è fornita una specifica più dettagliata dell’implementazione minima attesa, nonché delle modalità richieste al fine di descriverne l’adozione e dimostrarne l’attuazione.
Tali caratteristiche sono distinte in base alle tre classi di rilevanza:
- ordinari: i servizi cloud per le pubbliche amministrazioni devono rispettare i livelli minimi di cui alla sezione 2 dell’Allegato 3;
- critici, i servizi cloud per le pubbliche amministrazioni devono rispettare i livelli minimi di cui alle sezioni 2 e 3 dell’Allegato 3;
- strategici, i servizi cloud per le pubbliche amministrazioni devono rispettare i livelli minimi di cui alle sezioni 2, 3 e 4 dell’Allegato 3.
Migrazione dei dati e dei servizi digitali della PA
Il regolamento definisce l’iter che ogni PA deve seguire per migrare i propri dati e servizi sul cloud. In particolare, è necessario che le amministrazioni, nel rispetto dei principi di efficienza, efficacia ed economicità dell’azione amministrativa, migrano i dati e i servizi digitali verso le infrastrutture digitali per le pubblica amministrazione che, all’esito del processo di adeguamento, rispettano i livelli minimi e i requisiti ovvero verso i servizi cloud o qualificati che rispettano le caratteristiche e i requisiti definiti dal regolamento.
Le amministrazioni, all’esito del processo di trasferimento dell’elenco e della classificazione dei dati e dei servizi digitali, predispongono il piano di migrazione dei loro dati e servizi digitali secondo il modello adottato dal Dipartimento per la trasformazione digitale (DTD), d’intesa con l’ACN.
Il modello è reso disponibile sulla piattaforma digitale del Dipartimento per la Trasformazione Digitale. Il Piano è sottoposto a verifica di conformità da parte del DTD. In assenza di riscontro da parte del Dipartimento per la trasformazione digitale, entro i termini, il piano di migrazione si intende convalidato.
Adeguamento delle infrastrutture digitali e qualificazione dei servizi cloud
Una delle principali novità introdotte dal regolamento riguarda la differenziazione tra:
- l’adeguamento delle infrastrutture (a prescindere dalla natura del soggetto responsabile: pubblico o privato) e dei servizi erogati da operatori pubblici, basata sulla dichiarazione di conformità inviata ad ACN rispetto ai requisiti previsti;
- la qualifica dei servizi cloud erogati da fornitori privati, che prevede una verifica di conformità ex-ante a cui fa seguito la pubblicazione della relativa scheda sul catalogo ACN.
Per i soggetti (pubblici o privati) che intendono erogare i servizi cloud per le pubbliche amministrazioni è necessario che le infrastrutture digitali siano conformi ai requisiti di adeguamento definite dal regolamento.
I requisiti di adeguamento sono elaborati:
- in relazione al rischio e all’evoluzione della minaccia tecnica di natura cibernetica;
- tenuto conto della normativa e degli standard nazionali, europei e internazionali;
- in considerazione degli schemi di certificazione nazionali ed europei progressivamente adottati;
- tenuto conto delle migliori pratiche, delle linee guida, dei quadri di disciplina di riferimento di settore.
In particolare, i requisiti sono indicati nell’allegato 4 “Requisiti per l’adeguamento e la qualificazione delle infrastrutture digitali, infrastrutture dei servizi cloud e dei servizi cloud per la Pubblica Amministrazione” e suddivisi nei seguenti quattro livelli:
- infrastruttura di livello 1 (AI1): sezione 6 dell’Allegato 4;
- infrastruttura di livello 2 (AI2): sezione 7 dell’Allegato 4;
- infrastruttura di livello 3 (AI3). sezione 8 dell’Allegato 4;
- infrastruttura di livello 4 (AI4): sezione 9 dell’Allegato 4.
Gli operatori di infrastrutture digitali, a seguito delle attività di adeguamento, sottoscrivono una relazione di conformità ai livelli minimi predisposta sulla base del modello reso disponibile sulla piattaforma digitale e la trasmettono all’ACN.
Salvo motivata richiesta di non pubblicazione dell’operatore di infrastrutture digitali, soggetta alla valutazione dell’ACN, l’infrastruttura digitale per le pubbliche amministrazioni viene pubblicata nel catalogo delle infrastrutture e dei servizi cloud per le pubbliche amministrazioni, con l’indicazione “infrastruttura digitale adeguata”.
Il catalogo delle infrastrutture digitali adeguate, reso disponibile sulla piattaforma digitale, è aggiornato dall’ACN entro trenta giorni dalla ricezione della relazione di conformità.
Per quanto riguarda i servizi cloud per le pubbliche amministrazioni questi possono essere erogati da un soggetto pubblico, da società in house, ovvero, per espressa previsione normativa, da società a controllo pubblico.
Anche in questo caso i servizi sono suddivisi nei seguenti quattro livelli:
- cloud di livello 1 (AC1): sezione 2 dell’Allegato 4;
- cloud di livello 2 (AC2): sezione 3 dell’Allegato 4;
- cloud di livello 3 (AC3): sezione 4 dell’Allegato 4;
- cloud di livello 4 (AC4): sezione 5 dell’Allegato 4.
I requisiti corrispondenti ai livelli indicati sono elaborati:
- in relazione al rischio e all’evoluzione della minaccia tecnica di natura cibernetica;
- tenuto conto della normativa e degli standard nazionali, europei e internazionali;
- in considerazione degli schemi di certificazione nazionali ed europei progressivamente adottati;
- tenuto conto delle migliori pratiche, delle linee guida, dei quadri di disciplina di riferimento di settore.
Anche per i servizi cloud, i fornitori sottoscrivono e trasmettono all’ACN una relazione di conformità, ai requisiti e ai livelli minimi, predisposta sulla base del modello reso disponibile sulla piattaforma digitale. Salvo motivata richiesta di non pubblicazione del fornitore di servizi cloud, soggetta alla valutazione dell’ACN, il servizio cloud per le pubbliche amministrazioni viene pubblicato nel catalogo delle infrastrutture e dei servizi cloud per le pubbliche amministrazioni, con l’indicazione “servizio cloud per le pubbliche amministrazioni adeguato”.
Il catalogo, reso disponibile sulla piattaforma digitale, è aggiornato dall’ACN entro trenta giorni dalla ricezione della relazione di conformità.
I fornitori dei servizi cloud, diversi da quelli indicati nel paragrafo precedente (cd. privati), sono tenuti a qualificare i propri servizi in uno dei seguenti quattro livelli:
- cloud di livello 1 (QC1): sezione 2 dell’Allegato 4;
- cloud di livello 2 (QC2): sezione 3 dell’Allegato 4;
- cloud di livello 3 (QC3): sezione 4 dell’Allegato 4;
- cloud di livello 4 (QC4): sezione 5 dell’Allegato 4.
I requisiti corrispondenti ai livelli sono elaborati:
- in relazione al rischio e all’evoluzione della minaccia tecnica di natura cibernetica;
- tenuto conto della normativa e degli standard nazionali, europei e internazionali;
- in considerazione degli schemi di certificazione nazionali ed europei progressivamente adottati;
- tenuto conto delle migliori pratiche, delle linee guida, dei quadri di disciplina di riferimento e degli standard nazionali, europei nonché internazionali.
Anche in questo caso, i fornitori dei servizi cloud trasmettono telematicamente le domande di qualificazione con le informazioni necessarie, la documentazione a corredo, laddove richiesto, e le modalità indicate sulla piattaforma digitale, elaborate in forma graduale in accordo al livello di qualifica richiesto.
Entro sessanta giorni dalla ricezione di una domanda di qualificazione, l’ACN verifica la conformità ai requisiti previsti per i livelli di qualificazione e ai livelli minimi in relazione alla tipologia di qualificazione richiesta.
L’ACN, in caso di rilascio della qualificazione valida max 36 mesi, pubblica il servizio cloud per le pubbliche amministrazioni nel catalogo delle infrastrutture e dei servizi cloud per le pubbliche amministrazioni, con l’indicazione “servizio cloud per le pubbliche amministrazioni qualificato con condizioni” ovvero “servizio cloud per le pubbliche amministrazioni qualificato”. Il catalogo, reso disponibile sulla piattaforma digitale, è aggiornato dall’ACN entro quindici giorni dal termine della verifica di conformità.
Successivamente all’adeguamento ovvero al rilascio delle qualifiche indicate, è prevista una fase di monitoraggio ex-post nel periodo di validità della qualifica e dell’adeguamento (36 mesi), grazie alla quale ACN può verificare il mantenimento dei requisiti necessari al trattamento dei dati e dei servizi in linea con il livello di classificazione.
Ovviamente, a seguito delle verifiche, se l’operatore risultasse inadempiente, l’ACN dispone la revoca della qualificazione ovvero dichiara l’inadeguatezza dell’infrastruttura digitale per le pubbliche amministrazioni, dell’infrastruttura per i servizi cloud per le pubbliche amministrazioni o del servizio cloud per le pubbliche amministrazioni.
Contestualmente alla revoca o alla dichiarazione di inadeguatezza, l’ACN contrassegna l’infrastruttura digitale per le pubbliche amministrazioni, l’infrastruttura per i servizi cloud per le pubbliche amministrazioni ovvero il servizio cloud per le pubbliche amministrazioni pubblicata sul catalogo delle infrastrutture e dei servizi cloud per le pubbliche amministrazioni, con l’indicazione “infrastruttura/servizio inadeguato” ovvero “qualificazione revocata”.
Conclusioni
Il Regolamento rappresenta, indubbiamente, uno strumento utile ed efficace per dipanare l’enorme matassa formata dalla normativa di riferimento e, oltretutto, delinea i percorsi e gli adempimenti per le pubbliche amministrazioni che intendono migrare i propri dati e servizi digitali verso il cloud e per gli operatori di infrastrutture e servizi cloud che desiderano qualificarsi per fornire servizi cloud alla pubblica amministrazione.
Occorre evidenziare che anche questo provvedimento, come gli altri emanati dall’Agenzia per la Cybersicurezza Nazionale e dall’Agenzia per l’Italia Digitale, aiutano sicuramente ad innalzare il livello di sicurezza e resilienza dei servizi pubblici digitali, ma, al contempo, in considerazione della loro complessità e rilevanza, presuppongo che i soggetti attuatori, sia fruitori, che fornitori, siano in possesso di un’elevata competenza tecnica e giuridica.
È su questo fattore che si gioca il successo della Transizione Digitale del Paese. In assenza di questo requisito, si rischia di far fallire qualsiasi processo di digitalizzazione, perché diverrebbe incontrollabile e rischioso.
Non dimentichiamoci che gli oggetti da gestire e tutelare sono i dati della Pubblica Amministrazione, ovvero dei cittadini, delle imprese e delle associazioni; quindi in gioco c’è l’intero Sistema Paese.