Regolamento Cloud PA: al via il regime ordinario di qualificazione dei fornitori
Tra le recenti attività svolte da ACN (Agenzia per la Cybersicurezza Nazionale) figura il contributo al nuovo Regolamento unico per le infrastrutture e i servizi cloud, che arriva finalmente a definire le tanto agognate misure tecnico-organizzative, oltre alle modalità di qualificazione e adeguamento di servizi e infrastrutture cloud. Dal 1 agosto 2024 prende il via il regime ordinario di qualificazione, che consentirà ai provider di entrare negli elenchi da cui gli enti della PA potranno acquisire i servizi di cui necessitano.
Si tratta quindi di una grandissima opportunità per una grande platea di soggetti IT, che possono contribuire a modernizzare le infrastrutture della PA, chiamata a capitalizzare gli sforzi del PNRR e delle altre misure messe a disposizione dal governo.
In particolare, oltre all’effettiva entrata in vigore, le soluzioni qualificate sono ora esposte: “Nel catalogo delle infrastrutture e dei servizi cloud, che contiene schede tecniche per ogni servizio con la tipologia e il relativo livello di qualifica”, secondo quanto esplicitamente stabilito da ACN.
Come ottenere la qualificazione ACN per i servizi cloud per la Pubblica Amministrazione
Secondo quanto stabilito da ACN: “Le amministrazioni possono acquistare le soluzioni cloud qualificate secondo la normativa vigente in tema di procurement delle PA (Codice degli appalti) con gli strumenti delle centrali di committenza come, ad esempio, il Mercato elettronico della PA (MEPA) di CONSIP”. Nessuna novità quindi per quanto riguarda i termini dell’approvvigionamento dei servizi consentiti alla PA.
ACN ha invece istituito una nuova sezione del portale, dedicata esplicitamente ai fornitori privati che intendono qualificare ufficialmente le soluzioni cloud per il mercato della PA, disponibile al seguente link: https://catalogocloud.acn.gov.it/login a cui è possibile accedere mediate un semplice SPID.
Secondo quanto si legge nel Regolamento: “Le qualifiche in corso di validità dovranno essere rinnovate dopo la data di naturale scadenza, seguendo le indicazioni del Regolamento e nel portale fornitori”. Viene inoltre precisato come: “La qualificazione ACN non abilita in alcun modo all’utilizzo del logo dell’Agenzia per fini promozionali e/o commerciali”, rimanendo pertanto di stretta pertinenza al soddisfacimento dei requisiti del mercato della PA.
Dal 1 agosto 2024, con l’avvio del regime definitivo per la qualificazione dei servizi cloud per la PA, cesserà pertanto a tutti gli effetti quanto disposto per il regime transitorio, rimasto in vigore dallo scorso 19 gennaio al 30 giugno.
Finora infatti i fornitori in possesso di una qualificazione, ottenuta ai sensi delle circolari AgID n.2 e n.3 del 2018, potevano ritenerla valida per 12 mesi ed eventualmente estenderla mediante un’autodichiarazione di avvenuta attuazione delle misure previste dalla Determinazione n. 307 del 18 gennaio 2022. Le qualifiche nel regime ordinario avranno invece una validità di 36 mesi.
Secondo quanto disposto da ACN: “Dal 1 agosto 2024, le infrastrutture dei servizi cloud che avevano ottenuto una qualifica di livello QI1-4, in corso di validità, saranno convertite – per quanto riguarda la nomenclatura – in livello AI1-4“.
Gli obiettivi e le novità del Regolamento Cloud PA
L’obiettivo del Governo, attraverso l’attività congiunta di ACN e Dipartimento per la Trasformazione Digitale è di offrire ai vari livelli della Pubblica Amministrazione una base certa ed affidabile per individuare le soluzioni cloud da acquisire per soddisfare le loro esigenze di modernizzazione, ai fini di garantire ai cittadini e alle imprese servizi digitali più sicuri ed efficienti.
Il processo di qualificazione, interamente digitale, mira ad agevolare la procedura richiesta agli aspiranti fornitori dei servizi cloud. Il Regolamento, oltre al cloud in senso stretto, disciplina anche l’utilizzo delle infrastrutture in house (on-premise) e i servizi di edge computing, per tutto ciò che non è riconducibile a quanto già disposto per il cloud, con l’obiettivo di supportare la PA anche per i servizi che ACN definisce a bassa latenza.
Secondo quanto ufficialmente riportato da ACN, Il Regolamento unico per le infrastrutture e i servizi cloud per la PA chiarisce:
- le modalità per la classificazione, per la migrazione e per la qualificazione dei servizi cloud, di cui la PA può approvvigionarsi ricorrendo al libero mercato;
- le misure e i requisiti per il raggiungimento dei livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la PA;
- le caratteristiche di qualità, sicurezza, performance, scalabilità e portabilità dei servizi cloud per la PA.
ACN si sofferma inoltre su uno degli aspetti a cui va dedicata una particolare attenzione, ossia la differenziazione tra:
- la qualifica dei servizi cloud erogati da fornitori privati, che prevede una verifica di conformità ex-ante a cui fa seguito la pubblicazione della relativa scheda sul catalogo ACN,
- l’adeguamento delle infrastrutture (a prescindere dalla natura del soggetto responsabile) e dei servizi erogati da operatori pubblici, basata sulla dichiarazione di conformità inviata ad ACN rispetto ai requisiti previsti.
In entrambi i casi, ACN prevede una fase di monitoraggio ex-post nel periodo di validità della qualifica e dell’adeguamento (36 mesi), entro cui l’Agenzia per la Cybersicurezza Nazionale si riserva il diritto di: “Verificare il mantenimento dei requisiti necessari al trattamento dei dati e dei servizi in linea con il livello di classificazione”.
La soddisfazione del Governo (Butti) e dell’ACN (Frattasi)
Secondo quanto riportato dal sito ufficiale del Dipartimento per la Trasformazione Digitale, il sottosegretario alla Presidenza del Consiglio dei ministri, con delega all’Innovazione, Alessio Butti (nella foto), ha sottolineato: “L’adozione del Regolamento unico per le infrastrutture e i servizi cloud per la PA è giunta nel pieno rispetto delle tempistiche previste grazie al lavoro impeccabile svolto dall’Agenzia per la Cybersicurezza Nazionale (ACN) e dal Dipartimento per la Trasformazione Digitale. Il regolamento rappresenta un passo fondamentale verso un quadro normativo armonizzato, che definisce le misure minime che le infrastrutture, come i data center e i servizi cloud, devono rispettare per supportare i servizi pubblici.
L’innovazione portata da questo regolamento passa anche dal nuovo processo di qualificazione, che ora permette ai fornitori di servizi cloud di ottenere la qualificazione direttamente online”. Il sottosegretario ha inoltre voluto rimarcare come: “In questo modo stiamo promuovendo un approccio innovativo e rigoroso per la trasformazione digitale del Paese, in linea con gli standard più elevati di sicurezza e efficienza”.
Il Dipartimento per la Trasformazione Digitale riporta anche il commento del Direttore Generale dell’Agenzia per la cybersicurezza nazionale, Bruno Frattasi (nella foto): “Dare stabilità alla regolazione dei servizi cloud rappresenta il raggiungimento di una tappa fondamentale per la nostra Agenzia. L’ambizione è quella di rappresentare, per le PA impegnate nei processi di transizione al cloud, un punto di riferimento che potrà orientarle nella scelta delle soluzioni più congeniali”. Il DG ha poi aggiunto: “Voglio ricordare che la migrazione al cloud è di per sé una misura organizzativa e tecnica che favorisce una maggiore protezione e sicurezza dei dati. E ci potrà offrire, con l’utilizzo delle tecnologie più avanzate, quali ad esempio l’Intelligenza artificiale, opportunità straordinarie per lo sviluppo digitale del paese”.
Per approfondire i termini e le procedure in merito al nuovo Regolamento Cloud PA, è possibile consultare il sito ufficiale dell’Agenzia per la Cybersicurezza Nazionale, costantemente aggiornato per seguire tutte le evoluzioni della vicenda.
