Strategia Cloud Italia

Mediante l'approccio cloud first, si vuole guidare e favorire l’adozione sicura, controllata e completa delle tecnologie cloud da parte del settore pubblico, in linea con i principi di tutela della privacy e con le raccomandazioni delle istituzioni europee e nazionali. In tal modo, le infrastrutture digitali saranno più affidabili e sicure e la Pubblica Amministrazione potrà rispondere in maniera organizzata agli attacchi informatici, garantendo continuità e qualità nella fruizione di dati e servizi.

L’attuazione della strategia prevede l’adozione di un regolamento da parte dell’Agenzia per l’Italia Digitale, finalizzato a definire criteri e passi operativi per la sua adozione da parte delle amministrazioni italiane.

Il Regolamento, che disciplina le infrastrutture digitali e i servizi cloud della PA, è stato pubblicato dall’Agenzia per l’Italia Digitale (AgID) il 15 dicembre 2021 con Determinazione AgID 628/2021. Il regolamento definisce i requisiti minimi per le infrastrutture digitali e le caratteristiche e le modalità di qualificazione e migrazione dei servizi cloud. Il documento inoltre:

• stabilisce i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la pubblica amministrazione;
• definisce le caratteristiche di qualità, di sicurezza, di performance e scalabilità, interoperabilità, portabilità dei servizi cloud per la pubblica amministrazione;
• individua i termini e le modalità con cui le amministrazioni devono effettuare le migrazioni, anche stabilendo il processo e le modalità per la classificazione dei dati e dei servizi digitali delle pubbliche amministrazioni;
• individua le modalità del procedimento di qualificazione dei servizi cloud per la Pubblica Amministrazione.

A seguito delle disposizioni del Regolamento, il 18 gennaio 2022 l’Agenzia nazionale per la cybersicurezza, d’intesa con il Dipartimento per la trasformazione digitale, ha predisposto:

La Strategia Cloud Italia si sviluppa secondo tre direttrici che guideranno gli enti nelle scelte da compiere rispetto alle diverse soluzioni di migrazione al cloud:

• La classificazione dei dati e dei servizi
• La qualificazione dei servizi cloud
  
• Il Polo Strategico Nazionale

Regolamentare l’ampia offerta di servizi cloud disponibili sul mercato consente di mitigare i rischi sistemici di sicurezza e affidabilità. La classificazione dei dati e dei servizi ha lo scopo di definire un processo di classificazione dei dati, in base al danno che una loro compromissione potrebbe provocare al sistema Paese (strategici, critici e ordinari). Il risultato della classificazione consente di uniformare e guidare il processo di migrazione al Cloud della PA.

Le classi sono:

• Strategico: dati e servizi la cui compromissione può avere un impatto sulla sicurezza nazionale.
• Critico: dati e servizi la cui compromissione potrebbe determinare un pregiudizio al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza e il benessere economico e sociale del Paese.
• Ordinario: dati e servizi la cui compromissione non provochi l’interruzione di servizi dello Stato o, comunque, un pregiudizio per il benessere economico e sociale del Paese.

Spazio a cura dell’Agenzia per la cybersicurezza nazionale

Il 18 gennaio 2021 l’Agenzia per la cybersicurezza nazionale ha firmato l’atto che contiene il “modello per la predisposizione dell’elenco e della classificazione dei dati e dei servizi della pubblica amministrazione.” L’Italia è tra i primi Paesi europei ad adottare un modello di classificazione di dati e servizi della PA nell’ambito della strategie nazionali per il cloud.

La classificazione è definita con la compilazione di un questionario elaborato dall’Agenzia per la cybersicurezza, d’intesa con il Dipartimento. Il questionario facilita le pubbliche amministrazioni nell’analisi guidata e semplificata dell’impatto dell’eventuale compromissione dei propri dati e dei servizi sotto il profilo della confidenzialità, integrità e disponibilità.

Le PA potranno rispondere al questionario utilizzando un modello semplificato compilabile on-line. Quest’ultimo dovrà essere inviato all'Agenzia per la cybersicurezza nazionale per la validazione della corretta applicazione della metodologia.

Consulta la determina n. 306 (PDF) e l'allegato (PDF) dell'Agenzia per la cybersicurezza nazionale, sul modello per la predisposizione dell'elenco e della classificazione di dati e di servizi

La qualificazione dell’offerta dei servizi cloud si pone l’obiettivo di semplificare e regolamentare, dal punto di vista tecnico e amministrativo, l’acquisizione di servizi cloud da parte delle amministrazioni.

Gli aspetti presi in considerazione sono: la gestione operativa dei servizi, in particolare gli standard tecnico-organizzativi applicativi e le misure di controllo sui dati, i requisiti di sicurezza per la gestione dei dati, l’erogazione di servizi e le condizioni contrattuali relative alla rendicontazione.

Spazio a cura dell’Agenzia per la cybersicurezza nazionale

Consulta la determina n. 307 (PDF) e l'allegato (PDF) dell'Agenzia per la cybersicurezza nazionale su le ulteriori caratteristiche dei servizi cloud e requisiti per la qualificazione.

La qualificazione dei servizi cloud delle PA continua ad essere gestita dall’Agenzia per l’Italia Digitale fino al passaggio formale di competenze e funzioni da AgID all’ACN.

Il Polo Strategico Nazionale ha l’obiettivo di dotare la Pubblica Amministrazione di tecnologie e infrastrutture cloud che possano beneficiare delle più alte garanzie di affidabilità, resilienza e indipendenza.

Il Polo sarà distribuito geograficamente sul territorio nazionale presso siti opportunamente identificati, per garantire adeguati livelli di continuità operativa e tolleranza ai guasti. Il controllo e le linee di indirizzo del PSN saranno pubbliche e indipendenti da soggetti terzi. La gestione operativa sarà affidata a un fornitore qualificato sulla base di requisiti tecnico-organizzativi.