Logo dell'Agenzia per la Cybersicurezza Nazionale

Agenzia per la Cybersicurezza Nazionale

Cloud della PA

Home
   /   
Agenzia
   /   
Cloud della PA

La qualificazione dei Servizi Cloud e delle Infrastrutture dei Servizi Cloud

Dal 19 gennaio 2023 la qualificazione dei servizi cloud per la Pubblica Amministrazione diventa di competenza dell’Agenzia per la Cybersicurezza Nazionale, che subentra all’Agenzia per l’Italia Digitale (AgID).

La nuova procedura di qualificazione è indicata nel Decreto direttoriale prot. N. 29 del 02/01/2023. Per garantire la continuità dei servizi qualificati già in uso dalle amministrazioni (PA) e per consentire una graduale armonizzazione della normativa nazionale, il Decreto direttoriale prevede un regime transitorio prima della gestione ordinaria della qualificazione.

Decreto direttoriale Prot. N. 5489 del 08/02/2023 per la transizione di infrastrutture e servizi digitali.

È disponibile il Catalogo dei servizi Cloud per la PA qualificati di ACN

Regime transitorio dal 19 gennaio al 31 luglio 2023

QUALIFICAZIONE DEI SERVIZI CLOUD per i fornitori già in possesso di qualificazione

Durante il regime transitorio, tutti i fornitori di Servizi Cloud e di Infrastrutture dei Servizi Cloud che sono già in possesso di una qualificazione, ottenuta ai sensi delle circolari AgID n. 2 e n. 3 del 2018 e ancora valida, rientreranno, rispettivamente, nelle nuove qualifiche di livello QC1, per i servizi, e di livello Ql1, per le infrastrutture. Le nuove qualifiche, definite all’interno del Decreto direttoriale, saranno valide fino al 18 gennaio 2024.

QUALIFICAZIONE DEI SERVIZI CLOUD per i fornitori PRIVI DI QUALIFICAZIONE VALIDA

I fornitori privi di una qualificazione valida o che intendano promuovere un servizio o una infrastruttura già qualificati possono inviare ad ACN una autodichiarazione di avvenuta attuazione delle misure previste dalla Determinazione n. 307 del 18 gennaio 2022, per il livello di qualificazione desiderato (QC1-QC4 per i Servizi, QI1-QI4 per le Infrastrutture). La risultante qualificazione sarà valida per 12 mesi a partire dalla data di concessione.

Trattamento di dati e servizi critici o strategici

Le qualifiche QC1 e QI1 in corso di validità consentono di continuare, in deroga fino al 30 aprile 2023, il trattamento di dati e servizi critici e strategici delle PA già in essere.

Tutte le Pubbliche Amministrazioni che, applicando la metodologia di classificazione dei dati e dei servizi indicata nella Determina ACN n. 306 del 18 gennaio 2022, utilizzano fornitori cloud per la gestione di dati e servizi di livello critico o strategico, devono entro il 28 febbraio 2023:

  • informare i fornitori interessati per valutare eventuali adeguamenti;
  • inviare ad ACN, attraverso la Posta Elettronica Certificata, i dettagli relativi ai dati e servizi critici o strategici gestiti tramite servizi e infrastrutture cloud.

Roadmap

19 Gennaio 2023
Inizio regime transitorio

Emissione qualifica transitoria QC1/QI1 (solo Servizi/Infrastrutture in corso di validità).
Possibilità di nuova qualifica Q*1/Q*4 in caso di aderenza alla normativa vigente.

28 Febbraio 2023
Termine per comunicazione dati e servizi critici e strategici

Termine per le PA di comunicazione ai fornitori e ad ACN per i dettagli su dati e servizi critici e strategici.

30 Aprile 2023
Termine del periodo di deroga

Fine del periodo di deroga per dati e servizi critici e strategici.

31 Luglio 2023
Nuovo regolamento cloud

Fine del regime transitorio e avvio del regime ordinario. Nuova procedura di qualificazione attraverso la piattaforma ACN.

La procedura di qualificazione dei servizi cloud

Fornitori di Servizi Cloud Iaas, Paas e Saas o di Infrastrutture dei Servizi Cloud

1) Sei in possesso di qualifica in corso di validità rilasciata secondo le previsioni delle Circolari AgID n. 2 e n. 3 del 2018:

  • a partire dal 19 gennaio 2023 il servizio o l’infrastruttura è automaticamente qualificato ai sensi della determina ACN n. 307/2022, senza necessità di istanza aggiuntiva;
  • il livello di qualifica è pari a QC1 per i Servizi Cloud (SaaS, PaaS e IaaS) e QI1 per le Infrastrutture dei Servizi Cloud;
  • la nuova qualifica è valida fino al 18 gennaio 2024;
  • è estesa fino al 30 aprile 2023 la possibilità di trattare dati P.A. di livello critico o strategico anche in assenza di livelli superiori di qualificazione.

Per consentire una gestione tempestiva e continuativa, le amministrazioni che, in base alla classificazione eseguita ai sensi della Determina ACN n. 306/2022, utilizzano fornitori cloud nella gestione di dati o servizi di livello critico o strategico provvedono entro il 28 febbraio 2023 a:

  • informare i fornitori interessati, al fine di valutare gli eventuali adeguamenti necessari;
  • informare ACN fornendo, tramite PEC i dettagli relativi ai dati e servizi critici o strategici gestiti tramite servizi e infrastrutture cloud.

2) Vuoi qualificare uno o più servizi cloud ovvero infrastrutture per ospitare servizi cloud privi di qualifica in corso di validità

  • A partire dal 19 gennaio e fino al 31 luglio 2023 è possibile richiedere la qualificazione di un servizio cloud (livello QC1-QC4) o di una Infrastruttura dei servizi cloud (QI1-QI4) mediante la presentazione del modello di autodichiarazione ai sensi del DPR 445/2000 con cui si attesta l'avvenuta attuazione delle misure previste, ai sensi della Determina n. 307 del 18 gennaio 2022, per il livello di qualificazione richiesto;
    • il modulo di autodichiarazione, da compilare in ogni sua parte, deve essere trasmesso tramite posta elettronica certificata ad ACN (acn@pec.acn.gov.it);
    • nel verificare la domanda ricevuta, ACN si riserva di richiedere eventuale ulteriore documentazione a supporto.
  • Al termine di tale periodo transitorio, con l’entrata del regime ordinario dal 1 agosto 2023) cambieranno le modalità per l’invio di istanze di qualificazione per un servizio cloud o per un’infrastruttura dei servizi cloud. La nuova procedura guidata per l’accreditamento di un nuovo fornitore cloud e per la richiesta di qualificazione dei relativi servizi o infrastrutture sarà disponibile attraverso la piattaforma web ACN dedicata
  • In tutti i casi, al termine dell’iter di verifica l’Agenzia comunica il provvedimento finale con l’esito del processo di qualificazione.

3) Sei in possesso di qualifica in corso di validità erogata secondo la procedura del “regime transitorio” di cui al punto 1. e vuoi promuovere il servizio cloud ovvero l’infrastruttura dei servizi cloud ad un livello di qualifica superiore. In questo caso, è possibile sottoporre una nuova domanda secondo le modalità e le tempistiche descritte al punto 2.

L’Agenzia predispone le attività di verifica volte ad approfondire l’aderenza alle previsioni normative, all’esito delle quali potrà disporre la revoca della qualificazione ottenuta.