Logo dell'Agenzia per la cybersicurezza nazionale
Agenzia per la cybersicurezza nazionale

La qualificazione dei Servizi Cloud

La qualificazione dei Servizi Cloud e delle Infrastrutture dei Servizi Cloud

Dal 19 gennaio 2023 la qualificazione dei servizi cloud per la Pubblica Amministrazione diventa di competenza dell’Agenzia per la cybersicurezza nazionale, che subentra all’Agenzia per l’Italia Digitale (AgID).

La procedura di qualificazione è indicata nel Decreto direttoriale ACN n. 29 del 2 gennaio 2023. Per garantire la continuità dei servizi qualificati già in uso dalle amministrazioni (PA) e per consentire una graduale armonizzazione della normativa nazionale, il Decreto direttoriale prevede un regime transitorio prima della gestione ordinaria della qualificazione.

Il decreto direttoriale ACN n. 5489 dell'8 febbraio 2023 definisce i termini per l’adeguamento delle infrastrutture e dei servizi cloud per le pubbliche amministrazioni che gestiscono “on premises” le proprie infrastrutture o che affidano i propri dati e servizi digitali a società in house, ovvero, per espressa previsione normativa, a società a controllo pubblico.

Con Decreto Direttoriale n. 20610 in data 28 luglio 2023, l’Agenzia, d’intesa con il Dipartimento per la trasformazione digitale, proroga la durata del regime transitorio previsto dal Decreto Direttoriale n. 29, per la qualificazione delle infrastrutture e dei servizi cloud per la PA. Inoltre, oltre a rivedere i termini per l’adeguamento previsti dal Decreto Direttoriale n. 5489 relativi ad interventi di particolare complessità, razionalizza alcuni requisiti tecnici previsti per le infrastrutture ed i servizi cloud per la PA.

Con Decreto Direttoriale n. 2927 del 30 gennaio 2024, l’Agenzia, d’intesa con il Dipartimento per la trasformazione digitale, proroga al 30 giugno 2024 la fine del regime transitorio per la qualificazione delle infrastrutture e dei servizi cloud per le Pubbliche Amministrazioni, in attesa della visione dello schema del nuovo Regolamento unico per le infrastrutture e i servizi cloud per la PA da parte della Commissione europea e del Garante per la protezione dei dati personali (secondo quanto previsto dalla Direttiva UE n. 2015/1535 del 9 settembre 2015 e dall’ articolo 57 del regolamento UE n. 2016/679).

È disponibile il Catalogo dei servizi Cloud per la PA qualificati di ACN, scopri gli aggiornamenti.

Regime transitorio dal 19 gennaio 2023 al 30 giugno 2024

Durante il regime transitorio, tutti i fornitori di Servizi Cloud e di Infrastrutture dei Servizi Cloud che sono già in possesso di una qualificazione, ottenuta ai sensi delle circolari AgID n. 2 e n. 3 del 2018 e ancora valida, rientreranno, rispettivamente, nelle nuove qualifiche di livello QC1, per i servizi, e di livello Ql1, per le infrastrutture. Le qualifiche sono valide fino al 18 gennaio 2024.

I fornitori privi di una qualificazione valida o che intendano promuovere o rinnovare un servizio o una infrastruttura già qualificati possono inviare ad ACN una autodichiarazione di avvenuta attuazione delle misure previste dalla Determinazione n. 307 del 18 gennaio 2022 (e relativi allegati), come modificate dal Decreto n. 20610 del 28 luglio 2023, per il livello di qualificazione desiderato (QC1-QC4 per i Servizi, QI1-QI4 per le Infrastrutture).

Le verifiche di conformità connesse all’istruttoria di qualificazione, come indicato nell’articolo 13 del Regolamento Cloud per la PA, adottato da AgID con la Determinazione n. 628 del 15 dicembre 2021, possono richiedere fino a sessanta giorni di lavorazione, dalla ricezione dell’istanza.

La risultante qualificazione sarà valida per 12 mesi a partire dalla data di concessione.

Trattamento di dati e servizi critici o strategici

Le qualifiche QC1 e QI1 in corso di validità consentono di continuare, in deroga fino al 30 aprile 2023, il trattamento di dati e servizi critici e strategici delle PA già in essere.

Tutte le Pubbliche Amministrazioni che, applicando la metodologia di classificazione dei dati e dei servizi indicata nella Determina ACN n. 306 del 18 gennaio 2022 (e relativo allegato), utilizzano fornitori cloud per la gestione di dati e servizi di livello critico o strategico, devono entro il 28 febbraio 2023:

  • informare i fornitori interessati per valutare eventuali adeguamenti;
  • inviare ad ACN, attraverso la Posta Elettronica Certificata, i dettagli relativi ai dati e servizi critici o strategici gestiti tramite servizi e infrastrutture cloud.

La procedura di qualificazione dei servizi cloud

Fornitori di Servizi Cloud Iaas, Paas e Saas o di Infrastrutture dei Servizi Cloud

1) Sei in possesso di qualifica in corso di validità rilasciata secondo le previsioni delle Circolari AgID n. 2 e n. 3 del 2018:

  • a partire dal 19 gennaio 2023 il servizio o l’infrastruttura è automaticamente qualificato ai sensi della determina ACN n. 307/2022, senza necessità di istanza aggiuntiva;
  • il livello di qualifica è pari a QC1 per i Servizi Cloud (SaaS, PaaS e IaaS) e QI1 per le Infrastrutture dei Servizi Cloud;
  • la nuova qualifica è valida fino al 18 gennaio 2024;
  • è estesa fino al 30 aprile 2023 la possibilità di trattare dati P.A. di livello critico o strategico anche in assenza di livelli superiori di qualificazione.

Per consentire una gestione tempestiva e continuativa, le amministrazioni che, in base alla classificazione eseguita ai sensi della Determina ACN n. 306/2022, utilizzano fornitori cloud nella gestione di dati o servizi di livello critico o strategico provvedono entro il 28 febbraio 2023 a:

  • informare i fornitori interessati, al fine di valutare gli eventuali adeguamenti necessari;
  • informare ACN fornendo, tramite PEC i dettagli relativi ai dati e servizi critici o strategici gestiti tramite servizi e infrastrutture cloud.

2) Vuoi qualificare uno o più servizi cloud ovvero infrastrutture per ospitare servizi cloud privi di qualifica in corso di validità

  • A partire dal 19 gennaio 2023 e fino al 30 giugno 2024 è possibile richiedere la qualificazione di un servizio cloud (livello QC1-QC4) o di una Infrastruttura dei servizi cloud (QI1-QI4) mediante la presentazione del modulo di autodichiarazione (vers. 1.0.4 del 12.12.2023) ai sensi del DPR 445/2000 con cui si attesta l'avvenuta attuazione delle misure previste, ai sensi della Determina n. 307 del 18 gennaio 2022 (vedi relativi allegati), come modificate dal Decreto n. 20610 del 28 luglio 2023, per il livello di qualificazione richiesto;
    • è disponibile il modulo di autodichiarazione (vers. 1.0.4 del 12.12.2023), da compilare in ogni sua parte, deve essere trasmesso tramite posta elettronica certificata ad ACN (acn@pec.acn.gov.it). Il modulo potrà essere aggiornato, in attuazione di previsioni normative;
    • prima di inviare il modulo di autodichiarazione, è necessario registrare la propria società presso la piattaforma web ACN dedicata;
    • nel verificare la domanda ricevuta, ACN si riserva di richiedere eventuale ulteriore documentazione a supporto.

La nuova procedura guidata per l’accreditamento di un nuovo fornitore cloud e per la richiesta di qualificazione dei relativi servizi o infrastrutture sarà disponibile attraverso la piattaforma web ACN dedicata.

In tutti i casi, al termine dell’iter di verifica l’Agenzia comunica il provvedimento finale con l’esito del processo di qualificazione.

3) Sei in possesso di qualifica in corso di validità erogata secondo la procedura del “regime transitorio” e vuoi promuovere il servizio cloud ovvero l’infrastruttura dei servizi cloud ad un livello di qualifica superiore oppure rinnovare, per ulteriori 12 mesi, la validità della qualifica in essere. In questo caso, è possibile sottoporre una nuova domanda secondo le modalità e le tempistiche descritte al punto 2.

Adeguamento delle infrastrutture e dei servizi cloud per la pubblica amministrazione

Le infrastrutture ed i servizi cloud gestiti dalle pubbliche amministrazioni on premises o affidate a società in house, ovvero, per espressa previsione normativa, a società a controllo pubblico sono adeguate ai livelli minimi previsti entro il 18 gennaio 2024. Entro tale termine, è necessario sottoscrivere una relazione di conformità e adozione dei requisiti secondo il modello disponibile a questo link (vers. 1.0.3 del 02.11.2023), da inviare tramite PEC all’Agenzia. Il modello potrà essere aggiornato, in attuazione di previsioni normative.

In tale dichiarazione sono riportati eventuali documentati interventi, che necessitano, per ragioni di complessità, di tempi di adeguamento maggiori rispetto al 18 gennaio 2024, e per i quali le amministrazioni hanno già adottato, entro il 30 settembre 2023, la relativa decisione di contrarre.

Documentazione