La qualificazione del cloud della PA: guida e principi

Un cloud qualificato è un servizio che soddisfa i rigorosi standard di sicurezza, affidabilità e conformità stabiliti dall’Agenzia per la Cybersicurezza Nazionale (ACN), quindi considerato idoneo per essere utilizzato dalla Pubblica Amministrazione. I servizi qualificati devono garantire la protezione dei dati, la continuità operativa e la gestione efficace delle minacce. Devono inoltre essere conformi alle leggi e ai regolamenti vigenti in materia di sicurezza e tutela delle informazioni.

La qualificazione dei servizi cloud offre alle Amministrazioni una selezione di soluzioni sicure e di alta qualità in grado di garantire la sicurezza e la sovranità dei dati pubblici nel contesto dell’adozione delle tecnologie cloud.

Il percorso di qualificazione del cloud avviene grazie a un insieme di procedure e criteri pensati per valutare e garantire la sicurezza, la conformità e la qualità dei servizi cloud utilizzati dalla Pubblica Amministrazione .

L’iniziativa è stata avviata con l’obiettivo di semplificare l’adozione del cloud all’interno della strategia Cloud First nella PA, ovvero il passaggio dalle tradizionali infrastrutture on-premise. 

Il percorso è guidato dall’Agenzia per la Cybersicurezza Nazionale che si occupa di ottimizzare l’acquisizione, la gestione e la sicurezza dei servizi cloud da parte delle Amministrazioni, migliorandone  la qualità e accompagnandole nella migrazione prevista dal PNRR.

La nuova procedura di qualificazione e il ruolo di ACN

Dal 19 gennaio 2023, l’ACN ha assunto la responsabilità della qualificazione dei servizi cloud per la Pubblica Amministrazione, prendendo il posto dell’Agenzia per l’Italia Digitale (AgID). Questo cambio di competenza fa parte di un piano molto più ampio che ha lo scopo di migliorare l’efficacia e la sicurezza dei servizi cloud e prevede un Regime Transitorio che permette di mantenere la continuità e la graduale armonizzazione della normativa nazionale. 

Con Decreto Direttoriale n. 2927 del 30 gennaio 2024, l’ACN, d’intesa con il Dipartimento per la trasformazione digitale, ha prorogato la fine del regime transitorio al 30 giugno 2024. 

I nuovi fornitori privi di qualifica valida o che desiderano promuovere o un’infrastruttura non ancora qualificata possono fornire un’autodichiarazione che attesti l’adozione delle misure previste per l’infrastruttura e i servizi cloud per il livello di qualificazione desiderato che vanno da QC1 a QC4 per i servizi, e Ql1-Ql4 per le infrastrutture. 

Dal 1 agosto 2023 sono stati introdotti nuovi principi chiave nella procedura di qualificazione del cloud che si svolge online in maniera guidata e che offre una maggiore flessibilità e facilità di richiesta della qualificazione. 

L’ACN svolge delle verifiche periodiche per assicurarsi che i fornitori mantengano i requisiti di sicurezza definiti dalla Determina 307/2022. Se si verificano violazioni, l’ACN può richiedere ai fornitori di adeguarsi e, in caso contrario, sospendere o revocare la qualifica.

La qualificazione del cloud rappresenta un criterio fondamentale per l’adozione del cloud da parte delle Amministrazioni . Qui è disponibile il documento ufficiale che contiene i requisiti di accesso. 

Tutti i fornitori cloud che intendono erogare alle Amministrazioni servizi Infrastructure as a Service (IaaS), Platform as a Service (PaaS) e Software as a Service (SaaS),dovranno ottenere la qualifica da parte dell’ACN. 

La qualificazione delle infrastrutture cloud CSP si basa su:

• La gestione operativa dei servizi cloud si concentra sugli standard tecnico-organizzativi utilizzati e sulle misure di controllo dei dati. 
• I requisiti di sicurezza, in cui viene considerato il modo in cui i dati vengono gestiti e le procedure di applicazione delle misure di sicurezza, sono incluse le modalità di gestione delle chiavi di cifratura e i controlli di sicurezza. 
• Il change management, ovvero la gestione delle configurazioni o dei cambiamenti. 
• Le condizioni contrattuali con i dettagli relativi agli accordi presi. 
• L’interoperabilità con servizi e infrastrutture cloud similari.  
• La gestione degli incidenti e la capacità di recovery a seguito di eventi critici.

Per soddisfare queste caratteristiche è richiesto che il fornitore e i servizi sottoposti a processo di qualificazione siano conformi alle buone pratiche previste dagli standard di settore tra cui ISO/IEC 27001 con estensione ai criteri ISO/IEC 27017 e ISO/IEC 27018. 

Tipologie di cloud qualificato

I servizi cloud vengono quindi qualificati secondo queste diciture: 

• Cloud Pubblico non qualificato (extra UE/UE), che non soddisfano i criteri tecnico-organizzativi e normativi previsti. 
• Cloud Pubblico qualificato (UE), ossia i servizi cloud compatibili con le leggi GDPR e NIS che consentono la localizzazione dei dati in UE e rispettano i requisiti di sicurezza. 
• Cloud Pubblico con controllo on-premise dei meccanismi di sicurezza (Cloud Criptato), in cui sono racchiusi tutti i servizi cloud che offrono un maggiore livello di controllo sui dati e l’autonomia nella gestione operativa rispetto ai fornitori extra UE. 
• Cloud privato e ibrido, ovvero tutte le soluzioni che consentono la localizzazione dei dati in Italia e l’isolamento delle regioni pubbliche dei principali CSP attraverso tecnologie specifiche o fornitori qualificati. 

Le qualificazioni dei servizi cloud determinano come possono essere utilizzati in base alla classificazione dei dati. Ad esempio, i servizi Cloud Pubblico Qualificato e Criptato possono ospitare dati e servizi ordinari, mentre i servizi Cloud Criptato, Privato/Ibrido e Privato Qualificato possono ospitare dati critici o strategici. 

A partire dal 19 gennaio 2023 fino al 30 giugno 2024 si può procedere alla compilazione del modello di autodichiarazione per richiedere la qualifica di un servizio o di un’infrastruttura, dove si dimostra di aver attuato le misure previste dal DPR 445/2000 ai sensi della Determina n. 307 del 18 gennaio 2022 come modificate dal Decreto n. 20610 del 28 luglio 2023. 

Il modulo deve essere poi trasmesso all’ACN compilato in ogni sua parte attraverso Posta Elettronica Certificata all’indirizzo acn@pec.acn.gov.it, dopo aver registrato la società nell’apposita sezione della piattaforma Cloud Marketplace. 

Cos’è il catalogo dei servizi qualificati?

Il catalogo dei servizi qualificati o Cloud Marketplace rappresenta uno strumento chiave nell’ambito dell’adozione del modello cloud da parte della Pubblica Amministrazione. Questo catalogo è una risorsa preziosa che elenca servizi cloud di varie tipologie che hanno superato il processo di qualificazione stabilito dall’Agenzia per la Cybersicurezza Nazionale (ACN). Ogni voce nel catalogo fornisce informazioni dettagliate sui servizi, comprese le funzionalità supportate, i modelli di definizione dei prezzi, i livelli di servizio garantiti e altre caratteristiche rilevanti.

Il catalogo è quindi uno strumento in cui le PA possono cercare e identificare i servizi cloud disponibili sul mercato che meglio si adattano alle loro esigenze specifiche. Questo facilita la migrazione di applicazioni e dati on-premise verso soluzioni cloud e consente alle Amministrazioni di adottare soluzioni che non solo soddisfano i loro requisiti, ma che promettono anche prestazioni ottimali.

Inoltre, il catalogo dei servizi qualificati gioca un ruolo essenziale nella regolamentazione dei contratti con i fornitori di servizi cloud. Le Amministrazioni sono tenute a prevedere nei contratti gli indicatori dei livelli di servizio (SLI) obbligatori pubblicati nel catalogo. Questo assicura che siano conformi agli standard di qualità e sicurezza richiesti.

Polo Strategico Nazionale mira a fornire alle Amministrazioni tecnologie e infrastrutture cloud affidabili e resilienti. 

L’obiettivo finale è quello di assicurare un presidio tecnologico e operativo in grado di garantire i più alti standard di sicurezza, sia fisica che informatica. Forniamo pieno accesso alle migliori soluzioni tecnologiche per le infrastrutture Data Center, la connettività, le piattaforme e i Servizi Cloud, garantendo trasferimento tecnologico di esperienze e know how con i leader globali. 

In questo modo accompagniamo la Pubblica Amministrazione nel processo di digitalizzazione, tutelando la privacy dei cittadini e adeguando il Paese agli elevati standard europei.