Al via il nuovo percorso di qualificazione cloud per la PA. Ora, infatti, il processo di qualificazione per i soggetti pubblici e privati che intendono fornire servizi cloud alla Pubblica amministrazione passa dall’Agenzia per l’Italia Digitale all’Agenzia per la Cybersicurezza Nazionale.
Con il Decreto direttoriale n. 29 del 2 gennaio 2023 , prende il via il nuovo percorso di qualificazione cloud per la Pubblica Amministrazione. Il provvedimento, adottato dall’Agenzia per la Cybersicurezza Nazionale d’intesa con il Dipartimento per la trasformazione digitale, traccia le tappe che definiscono le nuove modalità che imprese e amministrazioni dovranno seguire a partire dal 19 gennaio.
È previsto un periodo transitorio fino al 31 luglio, per garantire la continuità dei servizi qualificati già in uso alle amministrazioni e assicurare, così, un graduale passaggio verso un nuovo sistema coerente con le misure della Strategia Nazionale di Cybersicurezza e le indicazioni della Strategia Cloud Italia. Il regime ordinario partirà il 1° agosto assieme al nuovo regolamento ACN e alla procedura di qualificazione online.
La qualificazione semplifica, regolamenta e rende più sicura l’acquisizione dei servizi cloud da parte delle amministrazioni, in linea con le indicazioni della Strategia Nazionale di Cybersicurezza. Garantisce adeguati livelli di sicurezza per i servizi e i dati della PA, innalzando progressivamente la qualità e l’affidabilità dei fornitori di servizi cloud. Il nuovo percorso abilita una migrazione verso il cloud, coerente con la classificazione dei dati e dei servizi e con i requisiti di sicurezza e qualificazione predisposti da ACN, favorendo una riduzione progressiva degli attacchi informatici. Rientra, inoltre, tra le azioni chiave per accompagnare circa il 75% delle PA italiane nella migrazione verso il cloud, così come previsto dal Piano Nazionale di Ripresa e Resilienza (PNRR).
Le tappe del nuovo percorso di qualificazione
Dal 19 gennaio la qualificazione dei servizi cloud per la PA diventa di competenza dell’Agenzia per la Cybersicurezza Nazionale, che subentra all’Agenzia per l’Italia Digitale (AgID). ACN ha previsto un regime transitorio fino al 31 luglio, durante il quale ACN potrà, nell’ambito del processo di vigilanza, revocare la qualifica al venir meno dei requisiti. Con la pubblicazione del nuovo regolamento, che prevede anche controlli sistematici per le qualifiche più elevate di sicurezza, dal 1° agosto diventa effettivo il percorso di qualificazione. Le istanze verranno inviate attraverso una piattaforma web.
Le qualificazioni cloud
Fino al 18 gennaio 2024, i fornitori già qualificati potranno beneficiare del livello di qualificazione corrispondente al trattamento di dati e ai servizi di natura ordinaria, così come indicati dalla metodologia di classificazione dei dati e dei servizi. Le amministrazioni che si avvalgono di fornitori per il trattamento di dati e servizi critici o strategici dovranno informarli del nuovo percorso entro il 28 febbraio. Entro la stessa data dovranno, inoltre, inviare una PEC all’Agenzia con i dettagli dei dati e dei servizi interessati dalla fornitura. I fornitori che trattano dati e servizi critici o strategici avranno una deroga per il trattamento fino al 30 aprile 2023 ed entro quella data dovranno dichiarare tale fornitura ad ACN.
Le amministrazioni che si avvalgono di fornitori per il trattamento di dati e servizi critici o strategici dovranno informarli del nuovo percorso entro il 28 febbraio. Entro la stessa data dovranno, inoltre, inviare una PEC all’Agenzia con i dettagli dei dati e dei servizi interessati dalla fornitura.
Per avviare una nuova qualificazione durante il regime transitorio, ovvero entro il 31 luglio, le aziende possono comunicare ad ACN – via PEC – l’avvenuta attuazione delle misure previste dalla determina ACN n. 307 del 18 gennaio 2022 (con allegato). In caso di verifica positiva da parte dell’Agenzia, la qualificazione transitoria sarà valida un anno dalla data di concessione durante il quale ACN, nell’ambito del processo di vigilanza, controllerà la conformità delle infrastrutture e dei servizi cloud ai livelli di sicurezza autocertificati, in particolare a seguito di incidenti significativi. Entro la scadenza della qualifica transitoria, per poter continuare il trattamento dei dati, l’azienda dovrà acquisire - a partire dal 1° agosto 2023 – la qualifica ACN adeguata alla tipologia di dati che intende trattare.