Pubblicato nella Gazzetta Ufficiale n. 163 del 13 luglio 2024 il comunicato di avviso di pubblicazione nel sito web dell’Agenzia per la Cybersicurezza Nazionale del Regolamento per le infrastrutture digitali e per i servizi cloud per la pubblica amministrazione (PA) del 27 giugno 2024.
Il Regolamento è stato emanato ai sensi dell’art. 33-septies, comma 4, del D.L. 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla L. 221/2012, allo scopo di:
- stabilire livelli minimi di sicurezza per le PA, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per le PA e delle infrastrutture dei servizi cloud per le PA
- definire le caratteristiche di qualità, sicurezza, performance e scalabilità, interoperabilità, portabilità dei servizi cloud per le pubbliche amministrazioni
- individuare i termini e le modalità con cui le amministrazioni devono effettuare le migrazioni, stabilendo il processo e le modalità per la classificazione dei dati e dei servizi digitali
- definire le modalità del procedimento di qualificazione dei servizi cloud per le PA
- le modalità del procedimento di adeguamento delle infrastrutture digitali per le PA e delle infrastrutture dei servizi cloud per le pubbliche amministrazioni;
- le modalità del procedimento di adeguamento dei servizi cloud per le PA.
Caratterizzazione e classificazione di dati e servizi digitali della PA
Ogni PA deve redigere e tenere aggiornato un elenco dei propri dati e servizi, con tutti gli elementi necessari alla loro caratterizzazione, ai fini della relativa classificazione secondo uno dei seguenti livelli di criticità:
- ordinari: qualora la loro compromissione non determini i pregiudizi di cui alle lettere b) e c);
- critici: se la loro compromissione può determinare un pregiudizio al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza pubblica e il benessere economico e sociale del Paese;
- strategici: se la loro compromissione può determinare un pregiudizio alla sicurezza nazionale.
Le amministrazioni aggiornano l’elenco e la classificazione dei dati e dei servizi digitali e lo trasmettono all’ACN almeno una volta ogni due anni o in presenza dei dati e dei servizi digitali ulteriori, rispetto a quelli già oggetto di trasmissione e classificazione, con le modalità indicate nell’Allegato 1 del Regolamento.
La scelta dei servizi cloud qualificati da ACN deve avvenire in base alla classificazione dei dati e dei servizi, in base alla quale viene stabilito l’impatto dei servizi e dei dati trattati da una PA in relazione al loro livello di criticità.
I livelli minimi di cybersicurezza delle infrastrutture digitali per le PA
L’ACN ha definito i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per le PA, delle infrastrutture dei servizi cloud per le PA, nonché le caratteristiche dei servizi cloud per le PA, per omogeneizzare la capacità di resilienza di tutta le strutture pubbliche e dei loro fornitori.
Gli stessi sono aggiornati periodicamente, una volta ogni due anni.
I livelli minimi devono essere garantiti interamente dall’infrastruttura digitale ovvero dai componenti di una infrastruttura digitale messi a disposizione da terzi parti e finalizzati all’erogazione di servizi cloud per la PA e di cui possono avvalersi anche le infrastrutture digitali congiuntamente dal medesimo operatore e dal fornitore dei cd. servizi di housing, attraverso accordi dedicati.
L’elencazione dei livelli minimi è definita nell’allegato 2 del Regolamento.
I servizi cloud per le PA devono possedere caratteristiche di qualità, sicurezza, performance e scalabilità, interoperabilità, portabilità così come definite nell’Allegato 3 del Regolamento.
Le caratteristiche di base sono distinte in base a tre classi di rilevanza:
- ordinari: i servizi cloud per le PA devono rispettare i livelli minimi di cui alla sezione 2 dell’Allegato 3;
- critici, i servizi cloud per le PA devono rispettare i livelli minimi di cui alle sezioni 2 e 3 dell’Allegato 3;
- strategici, i servizi cloud per le PA devono rispettare i livelli minimi di cui alle sezioni 2, 3 e 4 dell’Allegato 3.
Cybersicurezza e migrazione di dati e servizi digitali della PA
Le PA, nel rispetto dei principi di efficienza, efficacia ed economicità dell’azione amministrativa, migreranno i dati e i servizi digitali verso le infrastrutture digitali per le PA che, all’esito del processo di adeguamento, rispettino i livelli minimi e i requisiti ovvero verso i servizi cloud o qualificati che rispettino le caratteristiche e i requisiti definiti dal regolamento.
Le amministrazioni, all’esito del processo di trasferimento dell’elenco e della classificazione dei dati e dei servizi digitali, predispongono il piano di migrazione dei loro dati e servizi digitali secondo il modello adottato dal Dipartimento per la trasformazione digitale (DTD), d’intesa con l’ACN.
In assenza di riscontro da parte del Dipartimento per la trasformazione digitale, entro i termini, il piano di migrazione si intende convalidato.
Adeguamento infrastrutture digitali e qualificazione dei servizi cloud
Per i soggetti pubblici o privati che intendono erogare servizi cloud per le PA è necessario che le infrastrutture digitali siano conformi ai requisiti di adeguamento definite nell’allegato 4 Regolamento, suddivisi in 4 livelli, a loro volta elaborati:
- in relazione al rischio e all’evoluzione della minaccia tecnica di natura cibernetica;
- tenuto conto della normativa e degli standard nazionali, europei e internazionali;
- in considerazione degli schemi di certificazione nazionali ed europei progressivamente adottati;
- tenuto conto delle migliori pratiche, delle linee guida, dei quadri di disciplina di riferimento di settore.
Gli operatori di infrastrutture digitali, a seguito delle attività di adeguamento, sottoscrivono una relazione di conformità ai livelli minimi predisposta sulla base del modello reso disponibile sulla piattaforma digitale e la trasmettono all’ACN.
Salvo motivata richiesta di non pubblicazione dell’operatore di infrastrutture digitali, soggetta alla valutazione dell’ACN, l’infrastruttura digitale per le PA viene pubblicata nel catalogo delle infrastrutture e dei servizi cloud per le PA, con l’indicazione “infrastruttura digitale adeguata”.
Il catalogo delle infrastrutture digitali adeguate, reso disponibile sulla piattaforma digitale, è aggiornato dall’ACN entro 30 giorni dalla ricezione della relazione di conformità.
Per quanto riguarda i servizi cloud per le PA questi possono essere erogati da un soggetto pubblico, da società in house, ovvero da società a controllo pubblico; anche in questo caso i servizi sono suddivisi in quattro livelli: anche in questo caso, i fornitori sottoscrivono e trasmettono all’ACN una relazione di conformità, ai requisiti e ai livelli minimi, predisposta sulla base del modello reso disponibile sulla piattaforma digitale.
Salvo motivata richiesta di non pubblicazione del fornitore di servizi cloud, soggetta alla valutazione dell’ACN, il servizio cloud per le PA viene pubblicato nel catalogo delle infrastrutture e dei servizi cloud per le pubbliche amministrazioni, con l’indicazione “servizio cloud per le pubbliche amministrazioni adeguato”.
Il catalogo, reso disponibile sulla piattaforma digitale, è aggiornato dall’ACN entro trenta giorni dalla ricezione della relazione di conformità.
I fornitori dei servizi cloud privati sono tenuti a qualificare i propri servizi in uno dei quattro livelli indicati nell’allegato 4.
Anche in questo caso, i fornitori dei servizi cloud trasmettono telematicamente le domande di qualificazione con le informazioni necessarie, la documentazione necessaria, ove richiesta, e le modalità indicate sulla piattaforma digitale, elaborate in forma graduale in accordo al livello di qualifica richiesto.
Entro 60 giorni dalla ricezione di una domanda di qualificazione, l’ACN verifica la conformità ai requisiti previsti per i livelli di qualificazione e ai livelli minimi in relazione alla tipologia di qualificazione richiesta.