L’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato il decreto direttoriale che determina tempi e modi per la transizione delle infrastrutture e servizi digitali gestiti dalle Pubbliche Amministrazioni o dalle Società a controllo pubblico al nuovo quadro regolatorio relativo alla valutazione e verifica di rispondenza ai requisiti di qualità e sicurezza.
Il provvedimento completa la definizione, iniziata con il decreto pubblicato il 2 gennaio scorso e destinato ai Cloud Service Providers, del processo di transito al nuovo sistema di regole, curato da ACN, da parte di tutti i fornitori di servizi digitali per la Pubblica Amministrazione.
La qualificazione dei Servizi Cloud e delle Infrastrutture dei Servizi Cloud
Dal 19 gennaio 2023 la qualificazione dei servizi cloud per la Pubblica Amministrazione è diventata, quindi, di competenza dell’Agenzia per la Cybersicurezza Nazionale, subentrando all’Agenzia per l’Italia Digitale (AgID).
La nuova procedura di qualificazione è indicata nel Decreto direttoriale prot. N. 29 del 02/01/2023, il quale, per garantire la continuità dei servizi qualificati già in uso dalle amministrazioni (PA) e per consentire una graduale armonizzazione della normativa nazionale, prevede un regime transitorio prima della gestione ordinaria della qualificazione.
Regime transitorio dal 19 gennaio al 31 luglio 2023
Qualificazione dei servizi cloud per i fornitori già in possesso di qualificazione
Durante il regime transitorio, tutti i fornitori di Servizi Cloud e di Infrastrutture dei Servizi Cloud che sono già in possesso di una qualificazione, ottenuta ai sensi delle circolari AgID n. 2 e n. 3 del 2018 e ancora valida, rientreranno, rispettivamente, nelle nuove qualifiche di livello QC1, per i servizi, e di livello Ql1, per le infrastrutture. Le nuove qualifiche, definite all’interno del Decreto direttoriale, saranno valide fino al 18 gennaio 2024.
Qualificazione dei servizi cloud per i fornitori privi di qualificazione valida
I fornitori privi di una qualificazione valida o che intendano promuovere un servizio o una infrastruttura già qualificati possono inviare ad ACN una autodichiarazione di avvenuta attuazione delle misure previste dalla Determinazione n. 307 del 18 gennaio 2022, per il livello di qualificazione desiderato (QC1-QC4 per i Servizi, QI1-QI4 per le Infrastrutture). La risultante qualificazione sarà valida per 12 mesi a partire dalla data di concessione.
Trattamento di dati e servizi critici o strategici
Le qualifiche QC1 e QI1 in corso di validità consentono di continuare, in deroga fino al 30 aprile 2023, il trattamento di dati e servizi critici e strategici delle PA già in essere.
Tutte le Pubbliche Amministrazioni che, applicando la metodologia di classificazione dei dati e dei servizi indicata nella Determina ACN n. 306 del 18 gennaio 2022, utilizzano fornitori cloud per la gestione di dati e servizi di livello critico o strategico, devono entro il 28 febbraio 2023:
- informare i fornitori interessati per valutare eventuali adeguamenti;
- inviare ad ACN, attraverso la Posta Elettronica Certificata, i dettagli relativi ai dati e servizi critici o strategici gestiti tramite servizi e infrastrutture cloud.
Il decreto si applica alle pubbliche amministrazioni che gestiscono on premises le proprie infrastrutture e alle pubbliche amministrazioni che affidano i propri dati e servizi digitali a società in house, ovvero, per espressa previsione normativa, a società a controllo pubblico, che li gestiscono tramite proprie infrastrutture o servizi cloud.
Il decreto è pubblicato sul sito web istituzionale dell’Agenzia per la cybersicurezza nazionale (www.acn.gov.it) e ne sarà data, altresì, comunicazione tramite pubblicazione per comunicato nella Gazzetta Ufficiale della Repubblica italiana.