La Strategia Cloud Italia, realizzata dal Dipartimento per la trasformazione digitale e dall'Agenzia per la cybersicurezza nazionale (ACN), contiene gli indirizzi strategici per il percorso di migrazione verso il cloud di dati e servizi digitali della Pubblica Amministrazione. Il documento illustra i criteri di classificazione di dati e servizi e la composizione della infrastruttura ad alta affidabilità (Polo Strategico Nazionale) che ospiterà i servizi strategici e critici.
La strategia risponde a tre sfide principali: assicurare l’autonomia tecnologica del Paese, garantire il controllo sui dati e aumentare la resilienza dei servizi digitali. In coerenza con gli obiettivi del Piano Nazionale di Ripresa e Resilienza, il documento traccia un percorso definito per accompagnare circa il 75% delle PA italiane nella migrazione dei dati e degli applicativi informatici verso un ambiente cloud.
Mediante l'approccio cloud first, si vuole guidare e favorire l’adozione sicura, controllata e completa delle tecnologie cloud da parte del settore pubblico, in linea con i principi di tutela della privacy e con le raccomandazioni delle istituzioni europee e nazionali. In tal modo, le infrastrutture digitali saranno più affidabili e sicure e la Pubblica Amministrazione potrà rispondere in maniera organizzata agli attacchi informatici, garantendo continuità e qualità nella fruizione di dati e servizi.
L’attuazione della strategia prevede l’adozione di un regolamento da parte dell’Agenzia per l’Italia Digitale, finalizzato a definire criteri e passi operativi per la sua adozione da parte delle amministrazioni italiane.
Il regolamento sui servizi cloud
Il Regolamento stato pubblicato dall’Agenzia per l’Italia Digitale (AgID) il 15 dicembre 2021 con Determinazione AgID 628/2021. A seguito delle disposizioni del Regolamento, il 18 gennaio 2022 l’Agenzia per la cybersicurezza nazionale, d’intesa con il Dipartimento per la trasformazione digitale, ha predisposto:
Il 18 gennaio 2022 è stato predisposto il modello che definisce un processo sistematico di classificazione dei dati e dei servizi gestiti dalle PA.
Tale modello è basato sulla compilazione di un questionario elaborato dall’Agenzia per la cybersicurezza, d’intesa con il Dipartimento, al fine di agevolare le pubbliche amministrazioni nell’analisi guidata e semplificata dell’impatto dell’eventuale compromissione dei propri dati e dei servizi sotto il profilo della confidenzialità, integrità e disponibilità.
Ai fini della classificazione, le PA potranno usufruire di un apposito modello semplificato tramite una piattaforma digitale messa a disposizione dal DTD. Sempre tramite quest’ultima, il modello sarà inviato all'Agenzia per la cybersicurezza nazionale per la validazione della corretta applicazione della metodologia.
Consulta la determina n. 306 (PDF) e l'allegato (PDF) dell'Agenzia per la cybersicurezza, sul modello per la predisposizione dell'elenco e della classificazione di dati e di servizi.
Al fine di garantire opportuna protezione ai dati e ai servizi strategici, critici e ordinari a infrastrutture e servizi cloud che li trattano, il 18 gennaio 2022 l’Agenzia per la cybersicurezza nazionale, d’intesa con il Dipartimento per la trasformazione digitale, ha adottato:
- i relativi livelli minimi e le caratteristiche che devono assicurare le infrastrutture digitali e i servizi cloud di cui si avvalgono le amministrazioni,
- il nuovo processo di qualificazione dei servizi cloud per la PA.
In particolare, l’impianto si basa su un elenco di misure ispirate alle migliori pratiche e agli standard nazionali (quali ad esempio il framework nazionale di cybersecurity) e internazionali, in piena coerenza con le più recenti evoluzioni normative in ambito cyber, in relazione al rischio e all’evoluzione della minaccia di natura cibernetica.
Consulta la determina n. 307 (PDF) e l'allegato (PDF) dell'Agenzia per la cybersicurezza nazionale sulle ulteriori caratteristiche dei servizi cloud e requisiti per la qualificazione. Il 2 gennaio 2023 l’Agenzia per la cybersicurezza nazionale ha pubblicato il Decreto direttoriale n. 29 (PDF) che definisce il percorso di qualificazione dei servizi e delle infrastrutture di servizi cloud per la Pubblica Amministrazione, stabilendo un periodo transitorio per garantire la continuità dei servizi e la progressiva adozione, a regime, di un regolamento coordinato.
Il 2 gennaio 2023 l’Agenzia per la cybersicurezza nazionale ha pubblicato il Decreto direttoriale n. 29 (PDF), che definisce le modalità, le tempistiche della qualificazione di servizi e infrastrutture di servizi cloud per la Pubblica Amministrazione a partire dal 19 gennaio.
Le tre direttrici della strategia
La Strategia Cloud Italia si sviluppa secondo tre direttrici che guideranno gli enti nelle scelte da compiere rispetto alle diverse soluzioni di migrazione al cloud:
- La classificazione dei dati e dei servizi
- La qualificazione dei servizi cloud
- Il Polo Strategico Nazionale
La classificazione dei dati e dei servizi
Regolamentare l’ampia offerta di servizi cloud disponibili sul mercato consente di mitigare i rischi sistemici di sicurezza e affidabilità. La classificazione dei dati e dei servizi ha lo scopo di definire un processo di classificazione dei dati, in base al danno che una loro compromissione potrebbe provocare al sistema Paese (strategici, critici e ordinari). Il risultato della classificazione consente di uniformare e guidare il processo di migrazione al Cloud della PA.
Le classi sono:
- Strategico: dati e servizi la cui compromissione può avere un impatto sulla sicurezza nazionale.
- Critico: dati e servizi la cui compromissione potrebbe determinare un pregiudizio al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza e il benessere economico e sociale del Paese.
- Ordinario: dati e servizi la cui compromissione non provochi l’interruzione di servizi dello Stato o, comunque, un pregiudizio per il benessere economico e sociale del Paese.
Metodologia di classificazione di dati e servizi
a cura dell’Agenzia per la cybersicurezza nazionale
Il 18 gennaio 2021 l’Agenzia per la cybersicurezza nazionale ha firmato l’atto che contiene il “modello per la predisposizione dell’elenco e della classificazione dei dati e dei servizi della pubblica amministrazione.” L’Italia è tra i primi Paesi europei ad adottare un modello di classificazione di dati e servizi della PA nell’ambito della strategie nazionali per il cloud.
La classificazione è definita con la compilazione di un questionario elaborato dall’Agenzia per la cybersicurezza nazionale, d’intesa con il Dipartimento. Il questionario facilita le pubbliche amministrazioni nell’analisi guidata e semplificata dell’impatto dell’eventuale compromissione dei propri dati e dei servizi sotto il profilo della confidenzialità, integrità e disponibilità.
Le PA potranno rispondere al questionario utilizzando un modello semplificato compilabile on-line. Quest’ultimo dovrà essere inviato all'Agenzia per la cybersicurezza nazionale per la validazione della corretta applicazione della metodologia. È possibile aggiornare o modificare la classificazione in presenza di nuovi servizi o variazioni delle caratteristiche dei servizi già classificati.
Consulta la determina n. 306 (PDF) e l'allegato (PDF) dell'Agenzia per la cybersicurezza nazionale, sul modello per la predisposizione dell'elenco e della classificazione di dati e di servizi
Consulta il decreto direttoriale per la transizione di infrastrutture e servizi digitali di ACN pubblicato l'8 febbraio 2023.
La qualificazione dei servizi cloud
a cura dell’Agenzia per la cybersicurezza nazionale
La qualificazione dell’offerta dei servizi cloud si pone l’obiettivo di semplificare e regolamentare, dal punto di vista tecnico e amministrativo, l’acquisizione di servizi cloud da parte delle amministrazioni.
Il 2 gennaio 2023 l’Agenzia per la cybersicurezza nazionale ha pubblicato il Decreto direttoriale n. 29 (PDF), che definisce le modalità, le tempistiche della qualificazione di servizi e infrastrutture di servizi cloud per la Pubblica Amministrazione, in coerenza con quanto disposto dalla determina ACN n. 307 del 2022, stabilendo anche un regime transitorio per garantire la continuità dei servizi nel corso del 2023.
Gli aspetti presi in considerazione dalla determina n.307 (PDF) sono: la gestione operativa dei servizi, in particolare gli standard tecnico-organizzativi applicativi e le misure di controllo sui dati, i requisiti di sicurezza per la gestione dei dati, l’erogazione di servizi e le condizioni contrattuali relative alla rendicontazione.
Il nuovo percorso di qualificazione. Dal 19 gennaio 2023, la qualificazione dei servizi cloud per la PA diventa di competenza dell’Agenzia per la cybersicurezza nazionale, che subentra all’Agenzia per l’Italia Digitale (AgID) per questa funzione.
L’Agenzia ha previsto un regime transitorio fino al 31 luglio 2023. Dal 1° agosto 2023 diventerà effettivo un nuovo percorso di qualificazione armonizzato.
Le qualificazioni. I fornitori che hanno già una qualificazione attiva potranno beneficiare, fino al 18 gennaio 2024, del nuovo livello di qualificazione previsto dal Decreto direttoriale n. 29 del 2 gennaio 2023 di ACN (PDF), corrispondente al trattamento di dati e ai servizi di natura ordinaria così come indicati dalla metodologia di classificazione dei dati e dei servizi. Per i fornitori che trattano dati e servizi critici o strategici, è prevista una deroga per il trattamento fino al 30 aprile 2023, data entro la quale quei fornitori dovranno produrre un’autodichiarazione in cui si dà atto dell’adozione delle misure previste per infrastrutture e servizi cloud abilitati a trattare dati classificati come critici o strategici, così come definite nella determina ACN n. 307/2022. La dichiarazione dovrà essere inviata all’indirizzo PEC di ACN acn@pec.acn.gov.it.
A tale scopo, tutte le Pubbliche Amministrazioni che, applicando la metodologia di classificazione dei dati e dei servizi indicata nella Determina ACN n. 306 del 18 gennaio 2022 (PDF), utilizzano fornitori cloud per la gestione di dati e servizi di livello critico o strategico, dovranno entro il 28 febbraio 2023: - informare i fornitori interessati per valutare eventuali adeguamenti; - inviare ad ACN, attraverso la Posta Elettronica Certificata, i dettagli relativi ai dati e servizi critici o strategici gestiti tramite servizi e infrastrutture cloud.
I fornitori privi di una qualificazione valida o che intendano promuovere un servizio o una infrastruttura già qualificati possono inviare ad ACN una autodichiarazione di avvenuta attuazione delle misure previste dalla Determinazione n. 307 del 18 gennaio 2022 (PDF), per il livello di qualificazione desiderato (QC1-QC4 per i Servizi, QI1-QI4 per le Infrastrutture). La risultante qualificazione sarà valida per 12 mesi a partire dalla data di concessione.
Documentazione a cura dell’Agenzia per la cybersicurezza nazionale
Decreto direttoriale n. 29 del 2 gennaio 2023 (PDF) dell'Agenzia per la cybersicurezza nazionale sul processo di qualificazione dei servizi cloud e delle infrastrutture dei servizi cloud.
Consulta la determina n. 307 (PDF) e l'allegato (PDF) dell'Agenzia per la cybersicurezza nazionale su le ulteriori caratteristiche dei servizi cloud e requisiti per la qualificazione.
Il Polo Strategico Nazionale
Il Polo Strategico Nazionale (PSN) è una infrastruttura ad alta affidabilità che ha l’obiettivo, in linea con la Strategia Cloud Italia e con il Piano Nazionale di Ripresa e Resilienza (PNRR), di dotare la Pubblica Amministrazione di tecnologie e infrastrutture cloud che possano beneficiare delle più alte garanzie di affidabilità, resilienza, scalabilità, interoperabilità e sostenibilità ambientale.Il PSN consente di ospitare in sicurezza i dati ed i servizi critici e strategici delle amministrazioni italiane.
Il Dipartimento per la trasformazione digitale ha guidato la creazione dell’infrastruttura attraverso la convenzione per l’affidamento stipulata con la società di nuova costituzione Polo Strategico Nazionale S.p.A., partecipata da TIM, Leonardo, Cassa Depositi e Prestiti (CDP, attraverso la controllata CDP Equity) e Sogei. Acilia e Pomezia nel Lazio, insieme a Rozzano e Santo Stefano Ticino in Lombardia, sono le sedi che ospitano i data center per garantire adeguati livelli di continuità operativa, oltre che di tolleranza ai guasti.