I servizi digitali sono la modalità primaria di fornitura delle prestazioni al cittadino da parte delle Pubbliche Amministrazioni. Il percorso di transizione al cloud della PA garantisce affidabilità, sicurezza e sostenibilità nel tempo dei servizi pubblici.
La scelta dei servizi cloud qualificati da Agenzia per Cybersecurezza Nazionale (ACN) avviene in base alla classificazione dei dati e dei servizi. Grazie alla classificazione viene stabilito l’impatto dei servizi e dei dati trattati da una PA in relazione al loro livello di criticità.
Le PA possono consultare il catalogo ACN per individuare i servizi e il livello di qualificazione concesso, per verificare in via preventiva se sono conformi al livello di classificazione necessario per gestire i propri dati o servizi.
Il nuovo Regolamento chiarisce:
- le modalità per la classificazione, per la migrazione e per la qualificazione dei servizi cloud, di cui la PA può approvvigionarsi ricorrendo al libero mercato;
- le misure e i requisiti per il raggiungimento dei livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la PA;
- le caratteristiche di qualità, sicurezza, performance, scalabilità e portabilità dei servizi cloud per la PA.
Il Regolamento, adottato da ACN con Decreto Direttoriale del 27 giugno 2024 e applicabile dal 1° agosto 2024, aggiorna i livelli minimi e le caratteristiche al mutato scenario di rischio e i termini legati al procedimento di rilascio delle qualifiche. Il Regolamento norma anche l’utilizzo delle infrastrutture di housing e i servizi di prossimità (cosiddetti edge), sempre più diffusi in ragione dell’esigenza di ridurre i tempi di latenza per gli utenti finali.
Una delle principali novità riguarda inoltre la differenziazione tra:
- la qualifica dei servizi cloud erogati da fornitori privati, che prevede una verifica di conformità ex-ante a cui fa seguito la pubblicazione della relativa scheda sul catalogo ACN,
- l’adeguamento delle infrastrutture e dei servizi erogati da operatori pubblici, basata sulla dichiarazione di conformità inviata ad ACN rispetto ai requisiti previsti.
In entrambi i casi, è prevista una fase di monitoraggio ex-post nel periodo di validità della qualifica e dell’adeguamento (36 mesi), grazie alla quale ACN può verificare il mantenimento dei requisiti necessari al trattamento dei dati e dei servizi in linea con il livello di classificazione.
Regolamento, adottato da ACN con Decreto Direttoriale n. 21007/24 del 27 giugno 2024
