📅 Data: 1 agosto 2024
Dal 1° agosto 2024 termina il periodo transitorio ed entra in vigore il "regime ordinario" per le infrastrutture e i servizi cloud destinati alla Pubblica Amministrazione (PA), previsto dal Regolamento adottato dall’Agenzia per la Cybersicurezza Nazionale (ACN), d’intesa con il Dipartimento per la trasformazione digitale (Decreto Direttoriale ACN n. 21007/24 del 27 giugno 2024).
Il nuovo regolamento definisce:
- le misure e i requisiti per il raggiungimento dei livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali
- le caratteristiche di qualità, sicurezza, performance, scalabilità e portabilità dei servizi cloud
- i termini e le modalità per la classificazione, la migrazione, e la qualificazione dei servizi cloud
Le Amministrazioni Pubbliche possono consultare il Catalogo delle Infrastrutture digitali e dei Servizi cloud - ACN, che consente loro di verificare in via preventiva se sono conformi al livello di qualificazione necessario per gestire i propri dati o servizi sulla base della loro classificazione. La classificazione comprende tre livelli di dati e servizi digitali:
- Strategici, la cui compromissione può rappresentare un rischio elevato per la sicurezza nazionale;
- Critici, la cui compromissione può determinare un pregiudizio al mantenimento di funzioni considerevoli per la società, la salute, la sicurezza pubblica e il benessere economico e sociale del Paese;
- Ordinari, la cui compromissione non determini un pregiudizio per l’esercizio delle summenzionate funzioni.
Una delle principali novità introdotte dal nuovo regolamento riguarda la differenziazione tra:
- La qualifica dei servizi cloud di fornitori privati, che prevede una verifica di conformità ex-ante, seguita dalla pubblicazione della scheda sul catalogo ACN, ed è articolata su quattro livelli, QC1 (dati ordinari), QC2 (dati critici), QC3 e QC4 (dati strategici).
- L'adeguamento, basato su dichiarazione di conformità inviata ad ACN, di:
- infrastrutture (a prescindere dalla natura del soggetto responsabile), rispetto ai livelli AI1 (dati ordinari), AI12 (dati critici) AI3 e AI4 (dati strategici)
- servizi cloud erogati da operatori pubblici, rispetto ai livelli AC1 (dati ordinari), AC2 (dati critici) AC3 e AC4 (dati strategici)
In entrambi i casi, è prevista una fase di monitoraggio ex-post nel periodo di validità della qualifica e dell’adeguamento, pari a 36 mesi, durante la quale ACN verifica il rispetto dei requisiti necessari.
Per maggiori informazioni, consulta il Regolamento Cloud per la PA - ACN