Si avvicina la data di inizio per l’adozione del nuovo Regolamento cloud per la Pa adottato dall’Agenzia per la Cybersicurezza Nazionale (ACN) in collaborazione con il Dipartimento per la Trasformazione Digitale: ad agosto entra in vigore.
L’obiettivo di questa nuova direttiva è garantire una maggiore sicurezza e efficienza dei servizi cloud per la Pubblica amministrazione, promuovendo l’adozione di tecnologie avanzate e sicure per il beneficio di cittadini e imprese.
Il regolamento definisce, armonizzandole in un unico quadro normativo, le misure minime che le infrastrutture come i data center e i servizi cloud devono rispettare per supportare i servizi pubblici: scopriamo dunque tutte le novità e quale impatto avranno sulle nostre Pa.
L’inizio della nuova fase regolatoria, (cd “regime ordinario”), è fissata al 1° agosto 2024 per consentire alle amministrazioni e alle aziende di familiarizzare con le novità.
Questo documento guiderà le Pubbliche amministrazioni nella classificazione dei dati e dei servizi digitali in base alla loro importanza e sensibilità, facilitando la scelta delle soluzioni cloud più appropriate tramite il catalogo delle infrastrutture cloud.
Una delle innovazioni principali introdotte dal nuovo Regolamento unico per le infrastrutture e i servizi cloud per la Pubblica Amministrazione è la completa digitalizzazione del processo di qualificazione per i fornitori di servizi cloud. Questo significa che i fornitori interessati possono avviare il processo di qualificazione direttamente attraverso il sito web dell’Agenzia per la Cybersicurezza Nazionale (ACN).
Il processo di qualificazione digitale consente una maggiore efficienza e trasparenza, eliminando la necessità di procedure cartacee e semplificando l’accesso alle informazioni necessarie per la valutazione della conformità. I fornitori devono presentare tutte le informazioni richieste e dimostrare di rispettare i requisiti di sicurezza e di trattamento dei dati stabiliti dal regolamento.
Una volta ottenuta, la qualificazione ha una validità di 36 mesi. Durante questo periodo, i fornitori sono soggetti a un monitoraggio continuo da parte dell’ACN. Questo monitoraggio serve a verificare che i fornitori mantengano costantemente gli standard di sicurezza e di gestione dei dati necessari per garantire la protezione e l’integrità delle informazioni trattate tramite i loro servizi cloud.
Il nuovo Regolamento unico per le infrastrutture e i servizi cloud per la Pubblica Amministrazione non si limita solo a regolare i tradizionali servizi cloud, ma affronta anche l’utilizzo delle infrastrutture di housing e dei servizi di prossimità, noti comunemente come “edge computing”. Questi ultimi rappresentano una componente fondamentale dell’architettura IT moderna, particolarmente cruciale per migliorare l’efficienza e ridurre i tempi di latenza nelle comunicazioni digitali.
Le infrastrutture di housing si riferiscono ai centri di dati fisici che ospitano e gestiscono le infrastrutture informatiche di terze parti, inclusi server, storage e networking. Questi centri devono adempiere ai requisiti di sicurezza definiti nel regolamento per garantire la protezione dei dati e la continuità operativa.
Il concetto di edge computing si basa sull’idea di spostare la capacità di calcolo e l’elaborazione dei dati più vicino ai punti di consumo, ovvero “ai margini” della rete. Questo approccio consente di ridurre la latenza e migliorare le prestazioni delle applicazioni e dei servizi che richiedono risposte rapide e immediate.
Il regolamento impone nuove norme specifiche per garantire la sicurezza e l’affidabilità delle infrastrutture di housing e dei servizi di prossimità. Queste norme includono requisiti riguardanti la protezione dei dati sensibili, la gestione delle vulnerabilità, la continuità operativa e la resilienza delle infrastrutture.
Il regolamento stabilisce anche le caratteristiche essenziali che i servizi cloud devono possedere per essere considerati conformi:
La migrazione verso soluzioni cloud implica il trasferimento di dati e applicazioni dai sistemi esistenti verso le nuove infrastrutture digitali. Le PA devono seguire linee guida specifiche per pianificare e eseguire questa transizione in modo da minimizzare il rischio di interruzioni dei servizi e garantire la continuità operativa. Questo processo include la valutazione della sicurezza, della compatibilità e delle prestazioni delle nuove infrastrutture cloud rispetto ai requisiti specifici dell’amministrazione.
La classificazione dei dati e dei servizi digitali è un passo critico nel processo decisionale delle Pa per determinare quali informazioni possono essere trattate tramite le infrastrutture cloud e a quale livello di sicurezza e protezione devono essere soggette. Il regolamento fornisce linee guida chiare su come classificare i dati in base alla loro importanza e sensibilità, garantendo che le soluzioni cloud scelte siano adeguate al livello di riservatezza e protezione richiesto.
Dal 1° agosto 2024, il passaggio alle nuove norme del Regolamento unico per le infrastrutture e i servizi cloud per la Pubblica Amministrazione comporterà la conversione delle attuali qualificazioni di livello QI1-4 in AI1-4. La scelta dei servizi deve avvenire sulla base classificazione dei servizi e dei dati trattati da una PA in relazione al loro livello di criticità.
D’ora in poi le infrastrutture dei servizi cloud per le pubbliche amministrazioni saranno suddivise nei seguenti quattro livelli:
Questo switch-off implica pertanto un livello più rigoroso di standard tecnici e organizzativi che devono essere mantenuti e verificati nel tempo. Le amministrazioni pubbliche e i fornitori di servizi cloud dovranno investire nelle risorse necessarie per conformarsi ai nuovi requisiti e per sottostare al monitoraggio continuo dell’ACN per garantire la conformità e la sicurezza dei servizi offerti.
L’obiettivo principale di questa transizione è assicurare che le Pa possano continuare a offrire servizi digitali sicuri e affidabili ai cittadini e alle imprese, mantenendo elevati standard di protezione dei dati e rispondendo alle esigenze emergenti nel contesto digitale. Il rispetto delle nuove normative non solo migliora la fiducia nell’utilizzo dei servizi cloud, ma supporta anche la trasformazione digitale delle amministrazioni pubbliche, rendendo più efficiente e moderna la gestione delle risorse informatiche e dei dati sensibili.
Il sottosegretario alla Presidenza del Consiglio dei ministri, con delega all’Innovazione, Alessio Butti, ha sottolineato: “L’adozione del Regolamento unico per le infrastrutture e i servizi cloud per la PA è giunta nel pieno rispetto delle tempistiche previste grazie al lavoro impeccabile svolto dall’Agenzia per la Cybersicurezza Nazionale (ACN) e dal Dipartimento per la Trasformazione Digitale. Il regolamento rappresenta un passo fondamentale verso un quadro normativo armonizzato, che definisce le misure minime che le infrastrutture, come i data center e i servizi cloud, devono rispettare per supportare i servizi pubblici. L’innovazione portata da questo regolamento passa anche dal nuovo processo di qualificazione, che ora permette ai fornitori di servizi cloud di ottenere la qualificazione direttamente online”. Il sottosegretario ha inoltre voluto rimarcare come: “In questo modo stiamo promuovendo un approccio innovativo e rigoroso per la trasformazione digitale del Paese, in linea con gli standard più elevati di sicurezza e efficienza”.
In occasione dell’adozione del nuovo regime, il Direttore Generale dell’Agenzia per la cybersicurezza nazionale, Bruno Frattasi, ha dichiarato: “Dare stabilità alla regolazione dei servizi cloud rappresenta il raggiungimento di una tappa fondamentale per la nostra Agenzia. L’ambizione è quella di rappresentare, per le PA impegnate nei processi di transizione al cloud, un punto di riferimento che potrà orientarle nella scelta delle soluzioni più congeniali”. Il DG ha poi aggiunto: “Voglio ricordare che la migrazione al cloud è di per sé una misura organizzativa e tecnica che favorisce una maggiore protezione e sicurezza dei dati. E ci potrà offrire, con l’utilizzo delle tecnologie più avanzate, quali ad esempio l’Intelligenza artificiale, opportunità straordinarie per lo sviluppo digitale del paese”.