Prende il via il nuovo percorso di qualificazione cloud per la Pubblica Amministrazione. Il provvedimento, adottato dall’Agenzia per la Cybersicurezza Nazionale (ACN) d’intesa con il Dipartimento per la trasformazione digitale, traccia le tappe che definiscono le nuove modalità che imprese e amministrazioni dovranno seguire a partire dal 19 gennaio.
L’Agenzia ha previsto un periodo transitorio fino al 31 luglio, per garantire la continuità dei servizi qualificati già in uso alle amministrazioni e assicurare, così, un graduale passaggio verso un nuovo sistema coerente con le misure della Strategia Nazionale di Cybersicurezza e le indicazioni della Strategia Cloud Italia. Il regime ordinario partirà il 1° agosto assieme al nuovo regolamento ACN e alla procedura di qualificazione online.
La Strategia Nazionale di Cybersicurezza, realizzata da ACN con il coinvolgimento delle più importanti organizzazioni pubbliche nazionali, è volta a pianificare, coordinare e attuare 82 misure per rendere il Paese più sicuro e resiliente. Prevede un percorso all’insegna dell’innovazione per rafforzare la sicurezza cibernetica italiana, tra cui misure dedicate alla qualificazione dei servizi e delle infrastrutture di servizi cloud e alla migrazione sicura dei dati e dei servizi della PA.
La Strategia Cloud Italia, realizzata dal Dipartimento per la trasformazione digitale e dall’ACN, contiene gli indirizzi strategici per il percorso di migrazione verso il cloud di dati e servizi digitali della Pubblica Amministrazione. Il documento risponde a tre sfide principali: assicurare l’autonomia tecnologica del Paese, garantire il controllo sui dati e aumentare la resilienza dei servizi digitali.
La qualificazione semplifica, regolamenta e rende più sicura l’acquisizione dei servizi cloud da parte delle amministrazioni, in linea con le indicazioni della Strategia Nazionale di Cybersicurezza. Garantisce adeguati livelli di sicurezza per i servizi e i dati della PA, innalzando progressivamente la qualità e l’affidabilità dei fornitori di servizi cloud. Il nuovo percorso abilita una migrazione verso il cloud, coerente con la classificazione dei dati e dei servizi e con i requisiti di sicurezza e qualificazione predisposti da ACN, favorendo una riduzione progressiva degli attacchi informatici. Rientra, inoltre, tra le azioni chiave per accompagnare circa il 75% delle PA italiane nella migrazione verso il cloud, così come previsto dal Piano Nazionale di Ripresa e Resilienza (PNRR).
Le tappe del nuovo percorso. Dal 19 gennaio la qualificazione dei servizi cloud per la PA diventa di competenza dell’Agenzia per la Cybersicurezza Nazionale, che subentra all’Agenzia per l’Italia Digitale (AgID). ACN ha previsto un regime transitorio fino al 31 luglio, durante il quale ACN potrà, nell’ambito del processo di vigilanza, revocare la qualifica al venir meno dei requisiti. Con la pubblicazione del nuovo regolamento, che prevede anche controlli sistematici per le qualifiche più elevate di sicurezza, dal 1° agosto diventa effettivo il percorso di qualificazione. Le istanze verranno inviate attraverso una piattaforma web.
Le qualificazioni. Fino al 18 gennaio 2024, i fornitori già qualificati potranno beneficiare del livello di qualificazione corrispondente al trattamento di dati e ai servizi di natura ordinaria, così come indicati dalla metodologia di classificazione dei dati e dei servizi. Le amministrazioni che si avvalgono di fornitori per il trattamento di dati e servizi critici o strategici dovranno informarli del nuovo percorso entro il 28 febbraio. Entro la stessa data dovranno, inoltre, inviare una PEC all’Agenzia con i dettagli dei dati e dei servizi interessati dalla fornitura. I fornitori che trattano dati e servizi critici o strategici avranno una deroga per il trattamento fino al 30 aprile 2023 ed entro quella data dovranno dichiarare tale fornitura ad ACN.
Per avviare una nuova qualificazione durante il regime transitorio, ovvero entro il 31 luglio, le aziende possono comunicare ad ACN – via PEC – l’avvenuta attuazione delle misure previste dalla determina ACN n. 307 del gennaio 2022. In caso di verifica positiva da parte dell’Agenzia, la qualificazione transitoria sarà valida un anno dalla data di concessione durante il quale ACN, nell’ambito del processo di vigilanza, controllerà la conformità delle infrastrutture e dei servizi cloud ai livelli di sicurezza autocertificati, in particolare a seguito di incidenti significativi. Entro la scadenza della qualifica transitoria, per poter continuare il trattamento dei dati, l’azienda dovrà acquisire – a partire dal 1° agosto 2023 – la qualifica ACN adeguata alla tipologia di dati che intende trattare. Tutte le informazioni al seguente link.