Servizi cloud nelle PA: una guida per l’adeguamento al nuovo regolamento

Dal 1° agosto 2024, le pubbliche amministrazioni italiane devono adeguarsi al nuovo regolamento per le infrastrutture digitali e i servizi cloud, emanato dall’Agenzia per la Cybersicurezza Nazionale (ACN) in collaborazione con il Dipartimento per la trasformazione digitale. Questo regolamento rappresenta un passo significativo verso la sicurezza e la modernizzazione delle infrastrutture digitali pubbliche.

1. Obiettivi del Regolamento per le infrastrutture digitali e i servizi cloud

Il regolamento si propone di:
1.   Garantire la sicurezza delle infrastrutture digitali stabilendo livelli minimi di sicurezza che devono essere rispettati dalle PA.
2.   Assicurare la qualità e le prestazioni dei servizi cloud definendo standard riguardanti sicurezza, performance, scalabilità, interoperabilità e portabilità.
3.   Facilitare la migrazione e l’adeguamento fornendo linee guida dettagliate per il trasferimento sicuro dei dati e dei servizi digitali delle PA.
4.   Promuovere la trasparenza e la responsabilità richiedendo alle PA di mantenere un registro aggiornato dei propri dati e servizi digitali e di selezionare fornitori qualificati.

2. Caratterizzazione e classificazione dei dati

Ogni pubblica amministrazione deve redigere e tenere aggiornato un elenco dei propri dati e servizi digitali, caratterizzandoli per poi classificarli secondo uno dei seguenti livelli di criticità:
1.   Ordinari, la cui compromissione non determina pregiudizi significativi.
2.   Critici, la cui compromissione può pregiudicare funzioni rilevanti per la società, la salute, la sicurezza pubblica e il benessere economico e sociale.
3.   Strategici, la cui compromissione può pregiudicare la sicurezza nazionale.
Le PA devono aggiornare e trasmettere l’elenco e la classificazione dei dati e servizi digitali all’ACN almeno ogni due anni o ogni volta che vi siano cambiamenti significativi.

3. Riscontro dell’ACN

L’ACN ha 90 giorni per rispondere sulla conformità dell’elenco e della classificazione. In assenza di riscontro entro i termini, l’elenco e la classificazione si intendono convalidati. L’ACN può richiedere integrazioni o informazioni aggiuntive per garantire che tutte le specifiche siano correttamente implementate.

4. Livelli minimi delle infrastrutture digitali

Il regolamento definisce i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali delle PA e dei servizi cloud. Questi livelli sono aggiornati periodicamente, almeno una volta ogni due anni, per riflettere:
1.   Classificazione dei dati e servizi, allineandosi alla classificazione aggiornata dei dati e servizi gestiti.
2.   Evoluzione delle minacce cibernetiche, adeguandosi ai nuovi rischi e minacce informatiche.
3.   Schemi di certificazione nazionali ed europei, Considerando gli schemi di certificazione adottati.
4.   Migliori pratiche e linee guida, incorporando le migliori pratiche e standard nazionali, europei e internazionali.
5.   Protezione dei dati personali, assicurando un adeguato livello di protezione dei dati personali.

5. Implementazione dei livelli minimi

Gli standard minimi devono essere garantiti dalle infrastrutture digitali stesse o dai componenti forniti da terze parti. Le specifiche dettagliate dell’implementazione e delle modalità richieste sono fornite nell’Allegato 2 del regolamento, basato sulle sottocategorie del Framework Nazionale per la Cybersecurity e la Data Protection (FNCS).

6. Caratteristiche dei servizi Cloud

I servizi cloud devono rispettare caratteristiche di qualità, sicurezza, performance, scalabilità, interoperabilità e portabilità, organizzate nell’Allegato 3 del regolamento. Questi requisiti sono definiti in base alle sottocategorie del FNCS e alla matrice CSA Cloud Control Matrix (CCM), e sono distinti in tre classi di rilevanza:
1.   Ordinari: devono rispettare i livelli minimi di cui alla sezione 2 dell’Allegato 3.
2.   Critici: devono rispettare i livelli minimi di cui alle sezioni 2 e 3 dell’Allegato 3.
3.   Strategici: devono rispettare i livelli minimi di cui alle sezioni 2, 3 e 4 dell’Allegato 3.

7. Migrazione dei dati e dei servizi digitali

Il regolamento stabilisce un percorso preciso per la migrazione dei dati e servizi digitali verso infrastrutture conformi ai livelli minimi e ai requisiti stabiliti. Le PA devono predisporre un piano di migrazione, conforme ai modelli del Dipartimento per la trasformazione digitale (DTD), che sarà verificato per la conformità.

8. Adeguamento delle infrastrutture e qualificazione dei servizi cloud

Il regolamento distingue tra:
1.   Adeguamento delle infrastrutture: basato su una dichiarazione di conformità inviata all’ACN rispetto ai requisiti previsti.
2.   Qualificazione dei servizi cloud: include una verifica di conformità ex-ante e la pubblicazione della scheda sul catalogo ACN.

9. Requisiti di adeguamento e qualificazione

I requisiti di adeguamento e qualificazione, definiti nell’Allegato 4 del regolamento, sono suddivisi in quattro livelli per le infrastrutture digitali (AI1, AI2, AI3, AI4) e quattro livelli per i servizi cloud (AC1, AC2, AC3, AC4). Questi requisiti sono elaborati tenendo conto del rischio, delle normative e degli standard nazionali, europei e internazionali, nonché delle migliori pratiche del settore.

10. Rafforzamento della sicurezza informatica

Le minacce informatiche sono in costante evoluzione e sempre più sofisticate. Il regolamento garantisce che le PA adottino livelli minimi di sicurezza basati su standard internazionali, aggiornati periodicamente per rispondere alle nuove minacce. Questo approccio proattivo:
•   Aumenta la resilienza delle infrastrutture digitali: le PA saranno meglio attrezzate per prevenire, rilevare e rispondere agli attacchi informatici.
•   Protegge i dati sensibili garantendo che informazioni critiche non vengano compromesse.

11. Miglioramento dell’efficienza e della scalabilità11.

Il regolamento facilita una transizione ordinata e sicura verso servizi cloud qualificati, riducendo i rischi associati alla migrazione dei dati. Questo permette alle PA di:
•   Ottimizzare l’uso delle risorse informatiche sfruttando al meglio la flessibilità e la scalabilità offerte dai servizi cloud.
•   Migliorare l’efficienza operativa riducendo i tempi di inattività e migliorando la qualità dei servizi erogati ai cittadini

12. Trasparenza e responsabilità

Richiedere alle PA di mantenere un registro aggiornato dei dati e servizi digitali promuove una maggiore trasparenza nella gestione delle risorse digitali pubbliche. Questo processo facilita la governance dei dati, permettendo una migliore supervisione e controllo e aumenta la responsabilità delle PA, che sono tenute a rendere conto delle loro scelte e a garantire che i fornitori di servizi cloud rispettino i requisiti di sicurezza e qualità.

13. Conclusioni

Le PA che si adeguano al nuovo regolamento saranno meglio preparate per affrontare le sfide future del panorama digitale. Questo include l’adattamento rapido ai cambiamenti tecnologici e l’innovazione nella fornitura dei servizi. Inoltre, i benefici a lungo termine da identificarsi in servizi più sicuri e affidabili e riduzione dei costi operativi contribuiranno a incrementare la fiducia dei cittadini nella macchina pubblica.
In conclusione, l’implementazione del nuovo regolamento sui servizi cloud delle PA italiane non solo migliorerà la sicurezza e l’efficienza delle infrastrutture digitali pubbliche, ma preparerà anche le amministrazioni a rispondere in modo efficace alle sfide future. Questo rappresenta un investimento strategico per il futuro del settore pubblico italiano, che contribuirà a garantire servizi digitali sicuri, affidabili e all’avanguardia per tutti i cittadini.

Vuoi ricevere aggiornamenti costanti?

Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!