Vai al contenuto principaleVai al footer

Strategia Cloud Italia

Gli indirizzi strategici per la Pubblica Amministrazione

Argomenti CybersecurityItalia digitale 2026Cloud
logo di Cloud Italia

La Strategia Cloud Italia, realizzata dal Dipartimento per la trasformazione digitale e dall'Agenzia per la cybersicurezza nazionale (ACN), contiene gli indirizzi strategici per il percorso di migrazione verso il cloud di dati e servizi digitali della Pubblica Amministrazione. Il documento illustra i criteri di classificazione di dati e servizi e la composizione della infrastruttura ad alta affidabilità (Polo Strategico Nazionale) che ospiterà i servizi strategici e critici.

La strategia risponde a tre sfide principali: assicurare l’autonomia tecnologica del Paese, garantire il controllo sui dati e aumentare la resilienza dei servizi digitali. In coerenza con gli obiettivi del Piano Nazionale di Ripresa e Resilienza, il documento traccia un percorso definito per accompagnare circa il 75% delle PA italiane nella migrazione dei dati e degli applicativi informatici verso un ambiente cloud.

Mediante l'approccio cloud first, si vuole guidare e favorire l’adozione sicura, controllata e completa delle tecnologie cloud da parte del settore pubblico, in linea con i principi di tutela della privacy e con le raccomandazioni delle istituzioni europee e nazionali. In tal modo, le infrastrutture digitali saranno più affidabili e sicure e la Pubblica Amministrazione potrà rispondere in maniera organizzata agli attacchi informatici, garantendo continuità e qualità nella fruizione di dati e servizi.

L’attuazione della strategia prevede l’adozione di un regolamento da parte dell’Agenzia per l’Italia Digitale, finalizzato a definire criteri e passi operativi per la sua adozione da parte delle amministrazioni italiane.

Il regolamento sui servizi cloud

Il Regolamento, che disciplina le infrastrutture digitali e i servizi cloud della PA, è stato pubblicato dall’Agenzia per l’Italia Digitale (AgID) il 15 dicembre 2021 con Determinazione AgID 628/2021. Il regolamento definisce i requisiti minimi per le infrastrutture digitali e le caratteristiche e le modalità di qualificazione e migrazione dei servizi cloud. Il documento inoltre:

  • stabilisce i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la pubblica amministrazione;
  • definisce le caratteristiche di qualità, di sicurezza, di performance e scalabilità, interoperabilità, portabilità dei servizi cloud per la pubblica amministrazione;
  • individua i termini e le modalità con cui le amministrazioni devono effettuare le migrazioni, anche stabilendo il processo e le modalità per la classificazione dei dati e dei servizi digitali delle pubbliche amministrazioni;
  • individua le modalità del procedimento di qualificazione dei servizi cloud per la Pubblica Amministrazione.

A seguito delle disposizioni del Regolamento, il 18 gennaio 2022 l’Agenzia nazionale per la cybersicurezza, d’intesa con il Dipartimento per la trasformazione digitale, ha predisposto:

Il 18 gennaio 2022 è stato predisposto il modello che definisce un processo sistematico di classificazione dei dati e dei servizi gestiti dalle PA.

Tale modello è basato sulla compilazione di un questionario elaborato dall’Agenzia per la cybersicurezza, d’intesa con il Dipartimento, al fine di agevolare le pubbliche amministrazioni nell’analisi guidata e semplificata dell’impatto dell’eventuale compromissione dei propri dati e dei servizi sotto il profilo della confidenzialità, integrità e disponibilità.

Ai fini della classificazione, le PA potranno usufruire di un apposito modello semplificato tramite una piattaforma digitale messa a disposizione dal DTD. Sempre tramite quest’ultima, il modello sarà inviato all'Agenzia per la cybersicurezza nazionale per la validazione della corretta applicazione della metodologia.

Consulta la determina n. 306 (PDF) e l'allegato (PDF) dell'Agenzia per la cybersicurezza, sul modello per la predisposizione dell'elenco e della classificazione di dati e di servizi.

Al fine di garantire opportuna protezione ai dati e ai servizi strategici, critici e ordinari, il 18 gennaio 2022 l’Agenzia per la cybersicurezza nazionale, d’intesa con il Dipartimento per la trasformazione digitale, ha adottato:

  • i relativi livelli minimi e le caratteristiche che devono assicurare le infrastrutture digitali e i servizi cloud di cui si avvalgono le amministrazioni,
  • il nuovo processo di qualificazione dei servizi cloud per la PA.

In particolare, l’impianto si basa su un elenco di misure ispirate alle migliori pratiche e agli standard nazionali (quali ad esempio il framework nazionale di cybersecurity) e internazionali, in piena coerenza con le più recenti evoluzioni normative in ambito cyber, in relazione al rischio e all’evoluzione della minaccia di natura cibernetica.

Consulta la determina n. 307 (PDF) e l'allegato (PDF) dell'Agenzia per la cybersicurezza nazionale sulle ulteriori caratteristiche dei servizi cloud e requisiti per la qualificazione.

Le tre direttrici della strategia

La Strategia Cloud Italia si sviluppa secondo tre direttrici che guideranno gli enti nelle scelte da compiere rispetto alle diverse soluzioni di migrazione al cloud:

  • La classificazione dei dati e dei servizi
  • La qualificazione dei servizi cloud
  • Il Polo Strategico Nazionale

La classificazione dei dati e dei servizi

Regolamentare l’ampia offerta di servizi cloud disponibili sul mercato consente di mitigare i rischi sistemici di sicurezza e affidabilità. La classificazione dei dati e dei servizi ha lo scopo di definire un processo di classificazione dei dati, in base al danno che una loro compromissione potrebbe provocare al sistema Paese (strategici, critici e ordinari). Il risultato della classificazione consente di uniformare e guidare il processo di migrazione al Cloud della PA.

Le classi sono:

  • Strategico: dati e servizi la cui compromissione può avere un impatto sulla sicurezza nazionale.
  • Critico: dati e servizi la cui compromissione potrebbe determinare un pregiudizio al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza e il benessere economico e sociale del Paese.
  • Ordinario: dati e servizi la cui compromissione non provochi l’interruzione di servizi dello Stato o, comunque, un pregiudizio per il benessere economico e sociale del Paese.

Metodologia di classificazione di dati e servizi

logo agenzia per la cybersicurezza nazionale

a cura dell’Agenzia per la cybersicurezza nazionale

Il 18 gennaio 2021 l’Agenzia per la cybersicurezza nazionale ha firmato l’atto che contiene il “modello per la predisposizione dell’elenco e della classificazione dei dati e dei servizi della pubblica amministrazione.” L’Italia è tra i primi Paesi europei ad adottare un modello di classificazione di dati e servizi della PA nell’ambito della strategie nazionali per il cloud.

La classificazione è definita con la compilazione di un questionario elaborato dall’Agenzia per la cybersicurezza, d’intesa con il Dipartimento. Il questionario facilita le pubbliche amministrazioni nell’analisi guidata e semplificata dell’impatto dell’eventuale compromissione dei propri dati e dei servizi sotto il profilo della confidenzialità, integrità e disponibilità.

Le PA potranno rispondere al questionario utilizzando un modello semplificato compilabile on-line. Quest’ultimo dovrà essere inviato all'Agenzia per la cybersicurezza nazionale per la validazione della corretta applicazione della metodologia. È possibile aggiornare o modificare la classificazione in presenza di nuovi servizi o variazioni delle caratteristiche dei servizi già classificati.

Consulta la determina n. 306 (PDF) e l'allegato (PDF) dell'Agenzia per la cybersicurezza nazionale, sul modello per la predisposizione dell'elenco e della classificazione di dati e di servizi

La qualificazione dei servizi cloud

La qualificazione dell’offerta dei servizi cloud si pone l’obiettivo di semplificare e regolamentare, dal punto di vista tecnico e amministrativo, l’acquisizione di servizi cloud da parte delle amministrazioni.

Gli aspetti presi in considerazione sono: la gestione operativa dei servizi, in particolare gli standard tecnico-organizzativi applicativi e le misure di controllo sui dati, i requisiti di sicurezza per la gestione dei dati, l’erogazione di servizi e le condizioni contrattuali relative alla rendicontazione.

Documentazione a cura dell’Agenzia per la cybersicurezza nazionale

Consulta la determina n. 307 (PDF) e l'allegato (PDF) dell'Agenzia per la cybersicurezza nazionale su le ulteriori caratteristiche dei servizi cloud e requisiti per la qualificazione.

La qualificazione dei servizi cloud delle PA continua ad essere gestita dall’Agenzia per l’Italia Digitale fino al passaggio formale di competenze e funzioni da AgID all’ACN.

Il Polo Strategico Nazionale

Il Polo Strategico Nazionale ha l’obiettivo di dotare la Pubblica Amministrazione di tecnologie e infrastrutture cloud che possano beneficiare delle più alte garanzie di affidabilità, resilienza e indipendenza.

Il Polo sarà distribuito geograficamente sul territorio nazionale presso siti opportunamente identificati, per garantire adeguati livelli di continuità operativa e tolleranza ai guasti. Il controllo e le linee di indirizzo del PSN saranno pubbliche e indipendenti da soggetti terzi. La gestione operativa sarà affidata a un fornitore qualificato sulla base di requisiti tecnico-organizzativi.

Potrebbero interessarti

Focus

Polo Strategico Nazionale

L’infrastruttura per garantire la sicurezza e l'autonomia tecnologica sugli asset strategici per il Paese

Cloud Italia
Cloud Italia
Progetto

Infrastrutture digitali e cloud

La strategia per rafforzare le infrastrutture digitali della Pubblica Amministrazione e favorire il passaggio al cloud dei servizi pubblici

Comunicato stampa08 luglio 2022

Aggiornamenti sulla gara europea per il Polo Strategico Nazionale

Comunicazioni integrative

Articolo22 giugno 2022

Aggiudicata la gara per il Polo strategico nazionale

Per la realizzazione e gestione dell’infrastruttura ad alta affidabilità prevista dalla Strategia Cloud Italia

Articolo28 gennaio 2022

Pubblicato il bando per il Polo Strategico Nazionale

Al via la gara europea per la gestione dei servizi cloud per la Pubblica Amministrazione. Prorogato al 21 marzo il termine per presentare le offerte

Articolo20 gennaio 2022

Cloud PA: online gli atti per classificare dati e servizi e qualificare i servizi delle PA

Prende il via il percorso di adozione della Strategia Cloud Italia che le amministrazioni italiane dovranno seguire nei prossimi mesi

Articolo27 dicembre 2021

Cloud PA: selezionato il progetto PSN, gara prevista nelle prossime settimane

La proposta del raggruppamento di imprese Tim, CDP, Leonardo e Sogei è stata selezionata e sarà messa a gara

Articolo07 settembre 2021

Cloud Italia: presentati gli indirizzi strategici per la Pubblica Amministrazione

Le sfide della strategia: assicurare l’autonomia tecnologica del Paese, garantire il controllo sui dati e aumentare la resilienza dei servizi digitali