Partirà il 19 gennaio, con il passaggio delle competenze sulla qualificazione cloud per la Pubblica amministrazione da Agid all’Agenzia per la Cybersicurezza Nazionale, il percorso che punta entro i prossimi mesi a mettere in campo le nuove modalità da seguire per le imprese e le PA nell’ambiro della strategia per il cloud nazionale.
Il periodo di transizione
Un primo periodo di transizione, che partirà il 19 gennaio e si concluderà il 31 luglio, garantirà la continuità dei servizi qualificati già in uso alle amministrazioni, assicurando un passaggio graduale “verso un nuovo sistema coerente con le misure della Strategia Nazionale di Cybersicurezza e le indicazioni della Strategia Cloud Italia – si legge in una nota dell’Acn – Il regime ordinario partirà il 1° agosto assieme al nuovo regolamento Acn e alla procedura di qualificazione online“.
Cos’è la qualificazione cloud
Si tratta del processo che ha l’obiettivo di semplificare, regolamentare, e rendere più sicura l’acquisizione dei servizi cloud per le amministrazioni, come prevede la Strategia Nazionale di Cybersicurezza. Pioritaria in questo contesto è la necessità di garantire i livelli di sicurezza per i servizi e i dati della PA, “innalzando progressivamente la qualità e l’affidabilità dei fornitori di servizi cloud. Il nuovo percorso – spiega ancora Acn – abilita una migrazione verso il cloud, coerente con la classificazione dei dati e dei servizi e con i requisiti di sicurezza e qualificazione predisposti da Acn, favorendo una riduzione progressiva degli attacchi informatici”. Il nuovo procedimento di qualificazione è inoltre una delle azioni-chiave della strategia che – come previsto dal Piano Nazionale di Ripresa e Resilienza – punta ad accompagnare circa il 75% delle PA italiane nella migrazione verso il cloud.
La roadmap per la nuova qualificazione cloud
Il primo passo della nuova strategia verrà compiuto il 19 gennaio, con il passaggio della responsabilità della qualificazione dei servizi cloud per la PA dall’Agenzia per l’Italia digitale (Agid) all’Agenzia per la Cybersicurezza Nazionale. Nel periodo transitorio, che durerà fino al 31 luglio, Acn potrà, “nell’ambito del processo di vigilanza – spiega il comunicato – revocare la qualifica al venir meno dei requisiti”. Entro il 31 luglio sarà anche pubblicato il nuovo regolamento, “che prevede anche controlli sistematici per le qualifiche più elevate di sicurezza”, e dal 1° agosto il percorso di qualificazione diventerà effettivo, con le istanze che verranno inviate attraverso una piattaforma web.
I passaggi per le PA e i fornitori
I fornitori già qualificati potranno beneficiare fino al 18 gennaio 2024 del livello di qualificazione corrispondente al trattamento di dati e ai servizi di natura ordinaria. Intanto, entro il 28 febbraio, le amministrazioni che si avvalgono di fornitori per il trattamento di dati e servizi critici o strategici dovranno informarli del nuovo percorso, e inviare una Pec all’Acn con i dettagli dei dati e dei servizi interessati dalla fornitura. “I fornitori che trattano dati e servizi critici o strategici – spiega ancora l’Agenzia per la Cybersicurezza nazionale – avranno una deroga per il trattamento fino al 30 aprile 2023 ed entro quella data dovranno dichiarare tale fornitura ad Acn”.
Come avviare una nuova qualificazione
Per avviare una nuova qualificazione durante il regime transitorio, spiega Acn, le aziende dovranno darne comunicazione via Pec ad Acn, che dopo una procedura di verifica potrà concedere una qualificazione transitoria con un anno di validità, durante il quale Acn controllerà la conformità delle infrastrutture e dei servizi cloud ai livelli di sicurezza autocertificati. Prima della scadenza della qualifica transitoria, per poter continuare il trattamento dei dati, l’azienda dovrà acquisire – a partire dal 1° agosto 2023 – la qualifica Acn prevista per la tipologia di dati che intende trattare.
La Strategia Nazionale di Cybersicurezza
La Strategia Nazionale di Cybersicurezza, realizzata da Acn con il coinvolgimento delle più importanti organizzazioni pubbliche nazionali, è volta a pianificare, coordinare e attuare 82 misure per rendere il Paese più sicuro e resiliente. Prevede un percorso all’insegna dell’innovazione per rafforzare la sicurezza cibernetica italiana, tra cui misure dedicate alla qualificazione dei servizi e delle infrastrutture di servizi cloud e alla migrazione sicura dei dati e dei servizi della PA.
La Strategia Cloud Italia
La Strategia Cloud Italia, realizzata dal Dipartimento per la trasformazione digitale e dall’ACN, contiene gli indirizzi strategici per il percorso di migrazione verso il cloud di dati e servizi digitali della Pubblica Amministrazione. Il documento risponde a tre sfide principali: assicurare l’autonomia tecnologica del Paese, garantire il controllo sui dati e aumentare la resilienza dei servizi digitali.
