Il Cloud per la Pubblica Amministrazione

  • La Strategia Cloud Italia è il piano nazionale promosso dal Dipartimento per la Trasformazione Digitale per guidare la migrazione della Pubblica Amministrazione (PA) verso soluzioni cloud sicure ed efficienti, rappresentando un pilastro della trasformazione digitale del Paese, in linea con il Piano Nazionale di Ripresa e Resilienza (PNRR) e le direttive europee sulla cybersicurezza e protezione dei dati. Inizialmente gestita da AGID (Agenzia per l’Italia Digitale), la responsabilità è stata trasferita all’ACN (Agenzia per la Cybersicurezza Nazionale), che si occupa di definire le linee guida relative alla classificazione, qualificazione, adeguamento e migrazione dei servizi cloud, con l’obiettivo di razionalizzare le infrastrutture IT della PA e garantire maggiore sicurezza e interoperabilità.
    Il Regolamento Cloud Italia stabilisce le linee guida per supportare le Pubbliche Amministrazioni nella migrazione al cloud, definendo criteri chiari per la sicurezza, la conformità e l’interoperabilità dei sistemi. In particolare, il regolamento prevede che le PA adottino soluzioni cloud certificate dall'ACN (Agenzia per la Cybersicurezza Nazionale), assicurando così alti standard di protezione dei dati, sicurezza delle infrastrutture e continuità dei servizi pubblici. L'obiettivo è garantire un'adozione responsabile e sicura delle tecnologie cloud, in linea con le normative nazionali ed europee.
    Il Regolamento Cloud Italia definisce un sistema di classificazione dei dati e dei servizi della Pubblica Amministrazione, suddividendoli in base ai possibili effetti di una loro compromissione, in termini di disponibilità, confidenzialità e integrità. In particolare, i servizi strategici sono quelli la cui compromissione potrebbe avere un impatto sulla sicurezza nazionale. I servizi critici, invece, comprendono quelli la cui compromissione potrebbe compromettere il mantenimento di funzioni essenziali per la società, la salute, la sicurezza e il benessere economico e sociale del Paese. Infine, rientrano nella categoria dei servizi ordinari tutti gli altri servizi che non presentano specifiche criticità in termini di sicurezza e impatto sulla collettività.
    L’Agenzia per la Cybersicurezza Nazionale (ACN), attraverso il Decreto Direttoriale ACN n. 21007/24 del 27 giugno 2024, ha definito specifici livelli di qualificazione e adeguamento per i servizi cloud e le infrastrutture utilizzate dai fornitori pubblici e privati. Per quanto riguarda i servizi cloud offerti dai fornitori pubblici, i livelli di adeguamento si suddividono in AC1 per i dati ordinari, AC2 per i dati critici e AC3 e AC4 per i dati strategici. I servizi cloud dei fornitori privati, invece, seguono livelli di qualificazione distinti, ovvero, QC1 per i dati ordinari, QC2 per i dati critici e QC3 e QC4 per i dati strategici. Anche le infrastrutture utilizzate dai fornitori pubblici e privati sono soggette a specifici livelli di adeguamento, in particolare: AI1 per i dati ordinari, AI2 per i dati critici e AI3 e AI4 per i dati strategici.
    Il Polo Strategico Regionale (PSR) opera in conformità con le normative vigenti, garantendo elevati standard di sicurezza e affidabilità. In particolare, si attiene al Regolamento Cloud Italia, adottando un'infrastruttura digitale che soddisfa i requisiti di sicurezza, capacità elaborativa, efficienza energetica e affidabilità, e utilizzando soluzioni cloud che garantiscono qualità, sicurezza, performance, scalabilità e portabilità. Il PSR è quindi conforme alle normative stabilite dall’Agenzia per la Cybersicurezza Nazionale (ACN), implementando misure avanzate di protezione volte a garantire la continuità operativa e la resilienza delle infrastrutture IT, nonché rispettando le modalità di migrazione e qualificazione dei servizi.