Regolamento per le infrastrutture digitali e servizi cloud per la PA

Author Avv. Andrea CamataPosted on Transizione Digitale

Entra in vigore il prossimo primo agosto il Regolamento per le infrastrutture digitali e per i servizi cloud per la Pubblica Amministrazione, adottato dall’Agenzia per la cybersicurezza nazionale (ACN) d’intesa con il Dipartimento per la trasformazione digitale (DTD) https://www.acn.gov.it/portale/documents/d/guest/regolamentocloud

PREMESSA

Il nuovo Regolamento (adottato con Decreto Direttoriale n. 21007/24, ai sensi dell’articolo 33-septies, comma 4, del Decreto-legge 18 ottobre 2012, n. 179) è stato pensato come uno strumento di guida nell’individuazione delle possibili soluzioni cloud, attraverso una descrizione dettagliata e metodologica della caratterizzazione e classificazione dei dati e dei servizi digitali.

Il Regolamento si rivolge sia agli Enti locali che ai fornitori di servizi cloud e abroga il precedente Regolamento adottato con Delibera n. 628/2021 dell’AgID.

L’obiettivo è proprio quello di definire, in un unico quadro normativo, le misure minime che le infrastrutture come i data center e i servizi cloud devono rispettare per supportare i servizi pubblici.

Il Regolamento si propone di:

  • garantire la sicurezza delle infrastrutture digitali, stabilendo livelli minimi di sicurezza che devono essere rispettati dagli Enti pubblici;
  • assicurare la qualità e le prestazioni dei servizi cloud, definendo standard riguardanti sicurezza, performance, scalabilità, interoperabilità e portabilità;
  • facilitare la migrazione e l’adeguamento, fornendo linee guida dettagliate per il trasferimento sicuro dei dati e dei servizi digitali dei Comuni;
  • promuovere la trasparenza e la responsabilità, richiedendo agli Enti locali di mantenere un registro aggiornato dei propri dati e servizi digitali e di selezionare fornitori qualificati.

MIGRAZIONE DEI DATI E DEI SERVIZI DIGITALI

I Comuni nel rispetto dei principi di efficienza, efficacia ed economicità dell’azione amministrativa, devono migrare i dati e servizi digitali verso:

1. Le infrastrutture digitali che, all’esito del processo di adeguamento rispettano, in relazione alla classificazione, i livelli minimi e i requisiti;

2. I servizi cloud adeguati o qualificati che, in relazione alla classificazione, rispettano le caratteristiche e i requisiti.

Il Regolamento stabilisce un percorso preciso per la migrazione dei dati e servizi digitali e gli Enti locali devono predisporre un apposito piano di migrazione, conforme ai modelli del Dipartimento per la trasformazione digitale (DTD), che sarà verificato per la conformità.

I Comuni avviano il percorso di migrazione al cloud in coerenza con quanto disciplinato dalla Strategia Cloud Italia e in linea con le previsioni del Piano triennale per l’informatica.

Infatti, quest’ultimo identifica nella migrazione la protagonista di alcuni target, per i quali:

  • entro il 2025 il 75% delle Amministrazioni deve aver completato la realizzazione dei Piani di migrazione trasmessi a DTD e AgID,
  • e per il 2026 il 100% delle Amministrazioni soddisferà la realizzazione di questi Piani.

MODALITÀ PER LA PREDISPOSIZIONE DELL’ELENCO E DELLA CLASSIFICAZIONE DEI DATI E DEI SERVIZI

I Comuni dovranno predisporre e aggiornare un elenco dei propri dati e servizi digitali sulla base della loro caratterizzazione. La classificazione comprende tre classi di dati e servizi digitali:

  • ordinari”, in cui rientrano dati e servizi la cui compromissione non determini pregiudizi al mantenimento di funzioni considerevoli per la società, la salute, la sicurezza pubblica e il benessere economico e sociale del Paese;
  • critici”, in cui rientrano dati e servizi la cui compromissione può determinare danni rilevanti per l’esercizio delle summenzionate funzioni;
  • strategici”, la cui compromissione può determinare un pregiudizio senonché un rischio elevato alla sicurezza nazionale.

Gli Enti locali aggiornano sia l’elenco che la classificazione dei dati e dei servizi digitali, e li trasmettono all’ACN almeno una volta ogni due anni o in presenza dei dati e dei servizi digitali ulteriori, rispetto a quelli già oggetto di trasmissione e classificazione, con le modalità indicate nell’Allegato 1.

L’ACN, entro novanta giorni dalla sua ricezione, fornisce riscontro circa la conformità dell’elenco e della classificazione dei dati e dei servizi digitali. In assenza di riscontro da parte dell’ACN entro i termini, l’elenco e la classificazione dei dati e dei servizi si intendono convalidati.

LIVELLI MINIMI DI SICUREZZA E AFFIDABILITÀ, CAPACITÀ ELABORATIVA, RISPARMIO ENERGETICO DELLE INFRASTRUTTURE DIGITALI E DELLE INFRASTRUTTURE DEI SERVIZI

L’ACN ha definito i livelli minimi di sicurezza, di capacità elaborativa, di risparmio energetico e di affidabilità sia delle infrastrutture digitali, che delle infrastrutture dei servizi cloud nonché le caratteristiche di questi ultimi, per omogeneizzare la capacità di perseveranza e di resilienza di tutta le strutture pubbliche e dei loro fornitori.

Questi livelli minimi sono previsti nei casi di dati e di servizi ordinari, strategici e critici. Per ogni misura è fornita una specifica più dettagliata dell’implementazione minima attesa, nonché delle modalità richieste al fine di descriverne l’adozione e dimostrarne l’attuazione.

Anche questi livelli minimi saranno aggiornati almeno una volta ogni due anni, tenendo conto di una serie di fattori, come: l’aggiornamento della classificazione dei dati e servizi digitali, l’aumento dei rischi derivanti dall’evoluzione delle minacce cibernetiche, l’adozione di nuovi schemi di certificazione nazionali ed europei, l’adeguamento con le migliori pratiche e linee guida degli standard nazionali e non, la conformità con la progressiva evoluzione delle misure e garanzie atte alla protezione dei dati personali.

L’elenco dei livelli minimi è definito nell’Allegato 2 ed è organizzato sulla base delle sottocategorie del Framework Nazionale per la Cybersecurity e la Data Protection (FNCS).

CARATTERISTICHE DI BASE DI QUALITÀ, DI SICUREZZA, DI PERFORMANCE E DI SCALABILITÀ, DI INTEROPERABILITÀ, DI PORTABILITÀ DEI SERVIZI CLOUD

I servizi cloud devono possedere determinate caratteristiche, come

  • qualità
  • sicurezza
  • performance e scalabilità
  • interoperabilità
  • portabilità.

Questi requisiti sono definiti nell’Allegato 3 e sono distinti in base alle tre classi di rilevanza:

  • ordinari
  • critici
  • strategici

Nello specifico, devono rispettare i livelli minimi di cui alle sezioni 2, 3 e 4 dell’Allegato 3.

REQUISITI PER L’ADEGUAMENTO E LA QUALIFICAZIONE DELLE INFRASTRUTTURE DIGITALI, DELLE INFRASTRUTTURE DEI SERVIZI CLOUD E DEI SERVIZI CLOUD PER GLI ENTI LOCALI

Per i soggetti, che intendono erogare i servizi cloud per gli Enti locali, è necessario che le infrastrutture digitali siano conformi ai requisiti di adeguamento definiti dal Regolamento.

In particolare, i requisiti sono indicati nell’Allegato 4 e sono elaborati in relazione al rischio e all’evoluzione della minaccia tecnica di natura cibernetica; in conformità alla normativa e agli standard nazionali, europei e internazionali; in considerazione degli schemi di certificazione nazionali ed europei progressivamente adottati; e in concordanza alle migliori pratiche, alle linee guida e ai quadri di disciplina di riferimento di settore.

Gli operatori di infrastrutture digitali e i fornitori per i servizi cloud, a seguito delle attività di adeguamento, sottoscrivono e trasmettono all’ACN una relazione di conformità, ai requisiti e ai livelli minimi. L’infrastruttura digitale e/o il servizio cloud sono pubblicati nell’apposito catalogo, reso disponibile sulla piattaforma digitale dell’ACN, che viene aggiornato entro trenta giorni dalla ricezione della relazione di conformità.