Logo dell'Agenzia per la cybersicurezza nazionale
Agenzia per la cybersicurezza nazionale

Qualificazione del cloud della PA: al via la gestione ACN

Dal 19 gennaio inizia il regime transitorio che segna il passaggio verso il nuovo percorso di qualificazione del cloud per la PA
cloud
data
19 Gennaio 2023
tempo di lettura
3 minuti

Il nuovo percorso di qualificazione del cloud per la Pubblica Amministrazione è gestito dall’Agenzia per la cybersicurezza nazionale, a partire dal 19 gennaio 2023.

Così come indicato dal Decreto direttoriale n. 29 del 2 gennaio 2023 adottato da ACN d’intesa con il Dipartimento per la trasformazione digitale, è previsto un regime transitorio fino al 31 luglio, durante il quale ACN potrà, nell'ambito del processo di vigilanza, comunque revocare la qualifica al venir meno dei requisiti. Con la pubblicazione del nuovo regolamento, che prevede anche controlli sistematici per le qualifiche più elevate di sicurezza, dal 1° agosto diventa effettivo il nuovo percorso di qualificazione, con le relative istanze inviate attraverso un’apposita procedura guidata via web.

Le qualificazioni cloud

Fino al 18 gennaio 2024, i fornitori in possesso di qualifica “AgID” in corso di validità potranno beneficiare del livello di qualificazione corrispondente al trattamento di dati e ai servizi di natura ordinaria (QC1QI1), così come indicati dalla metodologia di classificazione dei dati e dei servizi.

Le amministrazioni che si avvalgono di fornitori per il trattamento di dati e servizi critici o strategici dovranno informarli del nuovo percorso entro il 28 febbraio. Entro la stessa data dovranno, inoltre, inviare una PEC all’Agenzia con i dettagli dei dati e dei servizi interessati dalla fornitura. I fornitori che trattano dati e servizi critici o strategici beneficeranno di una deroga per il relativo trattamento fino al 30 aprile 2023. Per poter continuare a trattare tali dati per conto della Pubblica Amministrazione, i fornitori dovranno, provvedere, in ogni caso, a inviare istanza per il relativo livello di qualificazione secondo le modalità previste dal regimento transitorio.

Richiesta di nuova qualificazione durante il regime transitorio

Le aziende che dal 19 gennaio al 31 luglio vogliono avviare una nuova qualificazione, possono comunicare ad ACN - via PEC - l’avvenuta attuazione delle misure previste dalla determina ACN n. 307 del 18 gennaio 2022 (con allegato). In caso di verifica positiva da parte dell’Agenzia, la qualificazione transitoria sarà valida un anno dalla data di concessione durante il quale ACN, nell'ambito del processo di vigilanza, controllerà la conformità delle infrastrutture e dei servizi cloud ai livelli di sicurezza autocertificati, anche in relazione a specifici indicatori di rischio. Entro la scadenza della qualifica transitoria, per poter continuare il trattamento dei dati, l'azienda dovrà acquisire - a partire dal 1° agosto 2023 - la qualifica ACN adeguata alla tipologia di dati che intende trattare.

È disponibile il Catalogo dei servizi Cloud per la PA qualificati di ACN

Scopri di più sul percorso di qualificazione

Scopri di più sulla Strategia Nazionale di Cybersicurezza

Scopri di più sulla Strategia Cloud Italia