La qualificazione dei Servizi Cloud e delle Infrastrutture dei Servizi Cloud
Dal 19 gennaio 2023 la qualificazione dei servizi cloud per la Pubblica Amministrazione diventa di competenza dell’Agenzia per la Cybersicurezza Nazionale, che subentra all’Agenzia per l’Italia Digitale (AgID).
La nuova procedura di qualificazione è indicata nel Decreto direttoriale prot. N. 29 del 02/01/2023. Per garantire la continuità dei servizi qualificati già in uso dalle amministrazioni (PA) e per consentire una graduale armonizzazione della normativa nazionale, il Decreto direttoriale prevede un regime transitorio prima della gestione ordinaria della qualificazione.
Decreto direttoriale Prot. N. 5489 del 08/02/2023 per la transizione di infrastrutture e servizi digitali.
È disponibile il Catalogo dei servizi Cloud per la PA qualificati di ACN
Regime transitorio dal 19 gennaio al 31 luglio 2023
QUALIFICAZIONE DEI SERVIZI CLOUD per i fornitori già in possesso di qualificazione
Durante il regime transitorio, tutti i fornitori di Servizi Cloud e di Infrastrutture dei Servizi Cloud che sono già in possesso di una qualificazione, ottenuta ai sensi delle circolari AgID n. 2 e n. 3 del 2018 e ancora valida, rientreranno, rispettivamente, nelle nuove qualifiche di livello QC1, per i servizi, e di livello Ql1, per le infrastrutture. Le nuove qualifiche, definite all’interno del Decreto direttoriale, saranno valide fino al 18 gennaio 2024.
QUALIFICAZIONE DEI SERVIZI CLOUD per i fornitori PRIVI DI QUALIFICAZIONE VALIDA
I fornitori privi di una qualificazione valida o che intendano promuovere un servizio o una infrastruttura già qualificati possono inviare ad ACN una autodichiarazione di avvenuta attuazione delle misure previste dalla Determinazione n. 307 del 18 gennaio 2022, per il livello di qualificazione desiderato (QC1-QC4 per i Servizi, QI1-QI4 per le Infrastrutture). La risultante qualificazione sarà valida per 12 mesi a partire dalla data di concessione.
Trattamento di dati e servizi critici o strategici
Le qualifiche QC1 e QI1 in corso di validità consentono di continuare, in deroga fino al 30 aprile 2023, il trattamento di dati e servizi critici e strategici delle PA già in essere.
Tutte le Pubbliche Amministrazioni che, applicando la metodologia di classificazione dei dati e dei servizi indicata nella Determina ACN n. 306 del 18 gennaio 2022, utilizzano fornitori cloud per la gestione di dati e servizi di livello critico o strategico, devono entro il 28 febbraio 2023:
- informare i fornitori interessati per valutare eventuali adeguamenti;
- inviare ad ACN, attraverso la Posta Elettronica Certificata, i dettagli relativi ai dati e servizi critici o strategici gestiti tramite servizi e infrastrutture cloud.
Regime ordinario dal 01 agosto 2023
QUALIFICAZIONE DEI SERVIZI CLOUD per i fornitori già in possesso di qualificazione
Il regime ordinario di qualificazione sarà effettivo a partire dal 1° agosto 2023, con la pubblicazione del nuovo Regolamento ACN relativo all’aggiornamento delle misure tecnico-organizzative e delle modalità di qualificazione di servizi e infrastrutture cloud. La nuova procedura di qualificazione, che prevede anche controlli sistematici per le qualifiche più elevate di sicurezza, avverrà con l’invio delle istanze attraverso una nuova piattaforma dedicata.