Il nuovo percorso di qualificazione del cloud per la Pubblica Amministrazione è gestito dall’Agenzia per la cybersicurezza nazionale, a partire dal 19 gennaio 2023.
Così come indicato dal Decreto direttoriale n. 29 del 2 gennaio 2023 adottato da ACN d’intesa con il Dipartimento per la trasformazione digitale, è previsto un regime transitorio fino al 31 luglio, durante il quale ACN potrà, nell'ambito del processo di vigilanza, comunque revocare la qualifica al venir meno dei requisiti. Con la pubblicazione del nuovo regolamento, che prevede anche controlli sistematici per le qualifiche più elevate di sicurezza, dal 1° agosto diventa effettivo il nuovo percorso di qualificazione, con le relative istanze inviate attraverso un’apposita procedura guidata via web.
Fino al 18 gennaio 2024, i fornitori in possesso di qualifica “AgID” in corso di validità potranno beneficiare del livello di qualificazione corrispondente al trattamento di dati e ai servizi di natura ordinaria (QC1QI1), così come indicati dalla metodologia di classificazione dei dati e dei servizi.
Le amministrazioni che si avvalgono di fornitori per il trattamento di dati e servizi critici o strategici dovranno informarli del nuovo percorso entro il 28 febbraio. Entro la stessa data dovranno, inoltre, inviare una PEC all’Agenzia con i dettagli dei dati e dei servizi interessati dalla fornitura. I fornitori che trattano dati e servizi critici o strategici beneficeranno di una deroga per il relativo trattamento fino al 30 aprile 2023. Per poter continuare a trattare tali dati per conto della Pubblica Amministrazione, i fornitori dovranno, provvedere, in ogni caso, a inviare istanza per il relativo livello di qualificazione secondo le modalità previste dal regimento transitorio.
Richiesta di nuova qualificazione durante il regime transitorio
Le aziende che dal 19 gennaio al 31 luglio vogliono avviare una nuova qualificazione, possono comunicare ad ACN - via PEC - l’avvenuta attuazione delle misure previste dalla determina ACN n. 307 del 18 gennaio 2022 (con allegato). In caso di verifica positiva da parte dell’Agenzia, la qualificazione transitoria sarà valida un anno dalla data di concessione durante il quale ACN, nell'ambito del processo di vigilanza, controllerà la conformità delle infrastrutture e dei servizi cloud ai livelli di sicurezza autocertificati, anche in relazione a specifici indicatori di rischio. Entro la scadenza della qualifica transitoria, per poter continuare il trattamento dei dati, l'azienda dovrà acquisire - a partire dal 1° agosto 2023 - la qualifica ACN adeguata alla tipologia di dati che intende trattare.
È disponibile il Catalogo dei servizi Cloud per la PA qualificati di ACN
Scopri di più sul percorso di qualificazione
Scopri di più sulla Strategia Nazionale di Cybersicurezza
Scopri di più sulla Strategia Cloud Italia