Qualificazione dei servizi cloud per la PA: la competenza passa all’Agenzia per la Cybersicurezza Nazionale
Nuova puntata della Rubrica “Appunti di Privacy”. Dal 19 gennaio 2023 la competenza in materia di qualificazione delle infrastrutture digitali e dei servizi cloud per la PA passa all’Agenzia per la Cybersicurezza Nazionale, che subentra all’Agenzia per l’Italia Digitale. In attesa che le nuove modalità e le procedure di qualificazione di servizi e infrastrutture cloud vengano adottate dall’ACN, forniamo alcuni chiarimenti sul regime transitorio
18 Gennaio 2023
Patrizia Cardillo
Esperta di Protezione dati personali
Dal 19 gennaio 2023 la competenza in materia di qualificazione delle infrastrutture digitali e dei servizi cloud per la Pubblica Amministrazione passa all’Agenzia per la Cybersicurezza Nazionale (ACN), che subentra all’Agenzia per l’Italia Digitale (AgID)[1]. Con Decreto n. 29 del 02/01/2023 il Direttore generale ACN con l’obiettivo di assicurare certezza e continuità dei servizi ai soggetti pubblici e privati che operano in tale settore, ha introdotto un regime transitorio che consentirà di garantire un passaggio graduale verso un nuovo sistema di qualificazione, in piena coerenza con la Strategia cloud Italia.
Regime transitorio dal 19 gennaio al 31 luglio 2023
Durante il regime transitorio, tutti i fornitori di infrastrutture e Servizi Cloud che sono già in possesso di una qualificazione valida, rilasciata dall’AgID entro il 18 gennaio 2023, ai sensi delle circolari n. 2 e n. 3 del 9/4/18, rientreranno, rispettivamente, nelle nuove qualifiche di livello QC1, per i servizi, e di livello Ql1, per le infrastrutture. Le qualifiche, indicate al comma 1 dell’art. 2 del Decreto, saranno valide fino al 18 gennaio 2024.
I fornitori privi di una qualificazione in corso di validità o che intendano promuovere ad un livello superiore un servizio o una infrastruttura già qualificati, possono inviare ad ACN una autodichiarazione di avvenuta attuazione delle misure previste dalla Determina ACN n. 307 del 18/1/22, per il livello di qualificazione desiderato (QC1-QC4 per i Servizi, QI1-QI4 per le Infrastrutture). La qualificazione sarà valida per 12 mesi a partire dalla data di concessione.
Entro il 28 febbraio 2023, le Pubbliche Amministrazioni che hanno affidato a fornitori di servizi cloud, dati e servizi classificati e convalidati quali critici o strategici[2], sono tenute a informare tali fornitori degli adempimenti previsti per ottenere, entro il 30 aprile 2023, il necessario livello di qualifica. Le Pubbliche Amministrazioni devono, altresì, inviare all’ACN una informativa contenete i dettagli relativi ai fornitori utilizzati e i dati e servizi critici o strategici loro rispettivamente affidati.
L’ACN potrà procedere alle verifiche per accertare il possesso e il mantenimento dei requisiti anche attraverso richieste di informazioni, produzione di documentazione, accesso all’infrastruttura fisica e logica del servizio cloud oltre che ad audizioni del richiedente.
Regime ordinario dal 1° agosto 2023
Le nuove modalità e le procedure di qualificazione di servizi e infrastrutture cloud dovranno essere adottate dall’ACN entro il 31 luglio 2023.
Contributo alla Rubrica “Appunti di Privacy”: notizie, spunti di riflessione, brevi commenti, chiarimenti sui principali temi di attualità sul tema della tutela dei dati personali. A cura di Patrizia Cardillo, Esperta di Protezione dati personali, in collaborazione con FPA
[1] Cfr. articolo 7, comma 1, lettera m-ter), del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, legge 4 agosto 2021, n. 109, “Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale”.
[2] Cfr. articolo 3 del regolamento AgID 15/12/21, n. 628 “Cloud della PA” di cui articolo 33-septies, comma 4, del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221.