Strategia Cloud Italia

Mediante l'approccio cloud first, si vuole guidare e favorire l’adozione sicura, controllata e completa delle tecnologie cloud da parte del settore pubblico, in linea con i principi di tutela della privacy e con le raccomandazioni delle istituzioni europee e nazionali. In tal modo, le infrastrutture digitali saranno più affidabili e sicure e la Pubblica Amministrazione potrà rispondere in maniera organizzata agli attacchi informatici, garantendo continuità e qualità nella fruizione di dati e servizi.

La Strategia Cloud Italia si sviluppa secondo tre direttrici che guideranno gli enti nelle scelte da compiere rispetto alle diverse soluzioni di migrazione al cloud:

• La classificazione dei dati e dei servizi
• La qualificazione dei servizi cloud
  
• Il Polo Strategico Nazionale

Regolamentare l’ampia offerta di servizi cloud disponibili sul mercato consente di mitigare i rischi sistemici di sicurezza e affidabilità. La classificazione dei dati e dei servizi ha lo scopo di definire un processo di classificazione dei dati, in base al danno che una loro compromissione potrebbe provocare al sistema Paese (strategici, critici e ordinari). Il risultato della classificazione consente di uniformare e guidare il processo di migrazione al Cloud della PA.

La classificazione dei dati e dei servizi

Le classi sono:

• Strategico: dati e servizi la cui compromissione può avere un impatto sulla sicurezza nazionale.
• Critico: dati e servizi la cui compromissione potrebbe determinare un pregiudizio al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza e il benessere economico e sociale del Paese.
• Ordinario: dati e servizi la cui compromissione non provochi l’interruzione di servizi dello Stato o, comunque, un pregiudizio per il benessere economico e sociale del Paese.

La metodologia di classificazione di dati e servizi

Il 18 gennaio 2021 l’Agenzia ha firmato l’atto che contiene il “modello per la predisposizione dell’elenco e della classificazione dei dati e dei servizi della pubblica amministrazione.” L’Italia è tra i primi Paesi europei a adottare un modello di classificazione di dati e servizi della PA nell’ambito delle strategie nazionali per il cloud.

La classificazione è definita con la compilazione di un questionario elaborato dall’Agenzia d’intesa con il Dipartimento per la trasformazione digitale. Il questionario facilita le pubbliche amministrazioni nell’analisi guidata e semplificata dell’impatto dell’eventuale compromissione dei propri dati e dei servizi sotto il profilo della confidenzialità, integrità e disponibilità.

La classificazione deve essere inviata tramite PA Digitale 2026 per identificare la tipologia del cloud di destinazione per i servizi della PA.

La qualificazione dei servizi cloud

La qualificazione dell’offerta dei servizi cloud ha la finalità di semplificare e regolamentare, dal punto di vista tecnico e amministrativo, l’acquisizione di servizi cloud da parte delle amministrazioni.

Dal 19 gennaio 2023 la qualificazione dei servizi cloud per la Pubblica Amministrazione è diventata di competenza dell’Agenzia per la cybersicurezza nazionale.

Le soluzioni qualificate da ACN sono esposte nel catalogo delle infrastrutture e dei servizi cloud che contiene schede tecniche per ogni servizio con la tipologia e il relativo livello di qualifica.

Il Polo Strategico Nazionale (PSN) è una infrastruttura ad alta affidabilità che ha l’obiettivo, in linea con la Strategia Cloud Italia e con il Piano Nazionale di Ripresa e Resilienza (PNRR), di dotare la Pubblica Amministrazione di tecnologie e infrastrutture cloud che possano beneficiare delle più alte garanzie di affidabilità, resilienza, scalabilità, interoperabilità e sostenibilità ambientale.Il PSN consente di ospitare in sicurezza i dati ed i servizi critici e strategici delle amministrazioni italiane.

Il Dipartimento per la trasformazione digitale ha guidato la creazione dell’infrastruttura attraverso la convenzione per l’affidamento stipulata con la società di nuova costituzione Polo Strategico Nazionale S.p.A., partecipata da TIM, Leonardo, Cassa Depositi e Prestiti (CDP, attraverso la controllata CDP Equity) e Sogei. Acilia e Pomezia nel Lazio, insieme a Rozzano e Santo Stefano Ticino in Lombardia, sono le sedi che ospitano i data center per garantire adeguati livelli di continuità operativa, oltre che di tolleranza ai guasti.

L’attuazione della strategia cloud per la Pubblica Amministrazione si è sviluppata all’interno di un quadro normativo in costante aggiornamento, pensato per garantire sicurezza, qualità e trasparenza nell’adozione di servizi digitali.

Il percorso normativo è iniziato con la pubblicazione, da parte dell’Agenzia per l’Italia Digitale (AgID), del primo Regolamento sui servizi cloud il 15 dicembre 2021 con la Determinazione AgID 628/2021.

Questo documento ha posto le basi per la classificazione dei dati e dei servizi digitali delle amministrazioni pubbliche e ha introdotto i requisiti fondamentali per la qualificazione dei servizi cloud. Successivamente, il 18 gennaio 2022, l’Agenzia per la Cybersicurezza Nazionale (ACN), in collaborazione con il Dipartimento per la Trasformazione Digitale, ha predisposto:

• il modello per la predisposizione dell’elenco e della classificazione dei dati e dei servizi della PA;
• ulteriori caratteristiche dei servizi cloud e requisiti per la qualificazione.

Il 2 gennaio 2023 l’ACN ha pubblicato il Decreto direttoriale n. 29 (PDF), che ha definito le modalità e le tempistiche per la qualificazione di servizi e infrastrutture cloud destinati alla Pubblica Amministrazione. Dal 19 gennaio 2023, infatti, la competenza per la qualificazione dei servizi cloud è passata dall’AgID all’ACN, segnando l’inizio di una nuova fase regolatoria.

L’ultimo e più significativo aggiornamento è rappresentato dal Regolamento unico per le infrastrutture e i servizi cloud per la Pubblica Amministrazione, adottato da ACN con il Decreto Direttoriale n. 21007/24 del 27 giugno 2024 ed entrato in vigore il 1° agosto 2024.

Il Regolamento:

• aggiorna le modalità per la classificazione dei dati e dei servizi digitali, guidando le amministrazioni nella scelta delle soluzioni cloud più adatte in base al livello di importanza e sensibilità delle informazioni trattate;
• stabilisce i requisiti minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità che devono essere garantiti dalle infrastrutture digitali e dai servizi cloud destinati alla PA;
• individua le caratteristiche di qualità, performance, scalabilità e portabilità che i servizi cloud devono possedere;
• regolamenta il processo di qualificazione dei fornitori di servizi cloud, che ora avviene interamente online tramite il portale dell’ACN, con validità della qualifica per 36 mesi e monitoraggi periodici;
• disciplina anche l’utilizzo di infrastrutture di housing e servizi di prossimità (edge computing), ampliando il ventaglio delle soluzioni disponibili per la PA.