Cloud Italia: pubblicata la metodologia di classificazione di dati e servizi

A partire dal 19 aprile, tutte le amministrazioni dovranno completare il percorso di classificazione di dati e servizi, seguendo le indicazioni definite dall’Agenzia per la cybersicurezza nazionale e utilizzando la piattaforma PA digitale 2026. La classificazione abilita le amministrazioni a predisporre i piani di migrazione verso il Polo Strategico Nazionale e verso infrastrutture e servizi cloud qualificati. Inoltre, essa è propedeutica alla partecipazione agli avvisi pubblici dedicati al cloud per beneficiare delle risorse del Piano Nazionale di Ripresa e Resilienza.

È possibile completare la classificazione entro il 18 luglio 2022. I risultati verranno utilizzati, nell’ambito del processo di migrazione al cloud della PA, come base decisionale per l’identificazione delle opportune tipologie di soluzioni cloud di destinazione per ogni servizio. Ai livelli di criticità, infatti, sono associate diverse misure di sicurezza, qualità e affidabilità che i servizi e le infrastrutture cloud dovranno implementare per poterli erogare.

La classificazione di dati e servizi consiste nella compilazione di un questionario strutturato in più sezioni. Il questionario consente di svolgere un esercizio semplificato di valutazione del contesto di erogazione e dei possibili impatti derivanti da una possibile compromissione in termini di disponibilità, confidenzialità e integrità dei dati e dei servizi gestiti. La valutazione di ciascuna delle sezioni concorre alla definizione del livello finale per un dato servizio nelle tre classi strategico, critico e ordinario, secondo un algoritmo di calcolo predefinito. È possibile aggiornare o modificare la classificazione in presenza di nuovi servizi o variazioni delle caratteristiche dei servizi già classificati.

L’Agenzia e il Dipartimento hanno identificato per un numero significativo di amministrazioni, in particolare Comuni e scuole, un percorso semplificato e automatico (pre-classificazione) che prevede un elenco di servizi applicabili per i quali è stato pre-individuato un livello di classificazione che tiene conto, per il caso generale, dei possibili impatti in termini di riservatezza, disponibilità e integrità nel caso i servizi vengano compromessi. Ad esempio, nella procedura di pre-classificazione, un’elevata percentuale servizi comunali o scolastici è identificata come ordinaria.

Per questi servizi, è possibile accettare la classificazione automatica proposta, oppure, qualora questa non fosse ritenuta idonea in ragione della particolare natura o specificità del servizio considerato, è possibile compilare il questionario, e in caso di esito diverso allegare documentazione a supporto della diversa classificazione. Ogni amministrazione dovrà compilare il questionario per ogni servizio non previsto nell’elenco.

Tutte le amministrazioni devono compilare il questionario per definire la classificazione dei propri servizi. In fase di compilazione è possibile trovare un gruppo di servizi pre-classificati. Per i servizi pre-classificati il questionario deve essere compilato solo se si vuole modificare la pre-classificazione. Le amministrazioni, vedi ad esempio quelle centrali, le aziende sanitarie locali e le aziende ospedaliere, possono procedere alla compilazione del questionario di classificazione, al cui interno potranno trovare gruppi di servizi pre-classificati.

La classificazione è disponibile dal 19 aprile all'interno della piattaforma PA digitale 2026 ed è propedeutica al processo di migrazione al cloud delineato dal Regolamento per il Cloud della PA dell'Agenzia per l'Italia Digitale.

Accedendo con l’identità digitale (SPID o Carta di Identità Elettronica), gli enti possono compilare il percorso individuato dall’Agenzia in accordo con il Dipartimento per la trasformazione digitale. Una volta ultimata verrà valutata la conformità della classificazione dall'Agenzia per la Cybersicurezza Nazionale.

La classificazione consente di raggruppare dati e servizi pubblici in tre livelli:

1. strategico: servizi la cui compromissione può avere un impatto sulla sicurezza nazionale;
2. critico: servizi la cui compromissione può determinare un pregiudizio al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza e il benessere economico e sociale del Paese;
3. ordinario: servizi la cui compromissione non provochi un pregiudizio per il benessere economico e sociale del Paese.

La classificazione è stata definita all’interno della Strategia Cloud Italia pubblicata a settembre 2021 dall’Agenzia per la Cybersicurezza Nazionale e il Dipartimento per la trasformazione digitale ed è indispensabile per realizzare il necessario salto di qualità in materia di cybersicurezza della PA. La Strategia, la cui attuazione è affidata al quadro normativo del Regolamento per il Cloud della PA e dei suoi atti successivi, è volta a rafforzare la sicurezza dei dati e dei servizi della Pubblica Amministrazione.