Regolamento Cloud per la PA, le principali novità e come cambiano i processi di verifica

Home PA Digitale Governance Regolamento Cloud per la PA, le principali novità e come cambiano i processi di verifica

Il mondo dei servizi cloud in Italia ha dal 1° di agosto un nuovo Regolamento. Il 27 giugno l’Autorità Nazionale per Cybersicurezza ha approvato il 21007/24 con cui si esce dal periodo transitorio e si entra in un regime ordinario. Il Regolamento si inserisce all’interno della Strategia Cloud Italia e riunisce in un unico quadro normativo le direttive che le infrastrutture digitali e i servizi cloud devono rispettare. Vengono ridefiniti i processi di verifica e controllo ex ante o ex post, differenziando tra le PA soggette a Adeguamento e i fornitori privati tenuti alla Qualificazione. Mantenuto lo schema di classificazione su tre livelli (Strategici-Critici-Ordinari, in funzione dei rischi di compromissione dei dati) e introdotte norme per le infrastrutture in-house e quelle di edge computing. Alta l’attenzione alla sostenibilità dei data center che erogano i servizi cloud

3 Settembre 2024

S

Manlio Serreti

Giornalista

Foto di Enzo Curci su Unsplash - https://unsplash.com/it/foto/un-aereo-vola-alto-nel-cielo-3A4ddHW6KMc

La sfida del Data Management è sempre più decisiva per qualunque attore operi nel settore delle infrastrutture digitali e in particolare sul mercato in crescita dei servizi cloud. Per tenere il ritmo di una tale sfida tecnologica, l’Agenzia per la Cybersicurezza Nazionale (ACN) il 27 giugno ha adottato con Decreto direttoriale 21007/24 il “Regolamento unico per le infrastrutture e i servizi cloud per la pubblica amministrazione”.  Al nuovo Regolamento si arriva con un percorso a tappe, iniziato nel 2021 con la Determina Agid 628/21 e al termine di un periodo transitorio durato un anno e mezzo. Dopo il via libera del Garante della Privacy, chiuso senza osservazioni il periodo di “stand still” della Commissione Europea, la pubblicazione del nuovo Regolamento 21007/24 dà ora il via al regime ordinario e permanente. Applicato dal 1° agosto, il nuovo Regolamento aggiorna i requisiti minimi al mutato scenario di rischio e interviene armonizzando norme e termini per il rilascio delle qualifiche, spingendo il settore pubblico nella direzione delle tecnologie cloud secondo i migliori standard di sicurezza, resilienza, performance e scalabilità.  

Le novità del Regolamento Cloud per la PA

Il nuovo Regolamento ACN n. 21007/24 non stravolge l’impianto in essere, ma consolida il regime di classificazione, ottimizzando alcuni adempimenti ora tutti digitalizzati attraverso il sito dell’Agenzia. Il regime che differenziava le PA e le società in-house dai fornitori privati viene mantenuto e prevede per le prime la conformità dei requisiti attraverso il processo di Adeguamento: prima di mettere in linea un nuovo servizio cloud, le PA devono censire e classificare i propri servizi digitali. Per i privati, invece, si passa attraverso la Qualificazione che prevede, in fase di istanza, una verifica formale ex ante (i possessori anche di infrastrutture sono anch’essi soggetti all’Adeguamento). Fa seguito la pubblicazione online sul Catalogo ACN, spostando i controlli tecnici alla fase di operatività. Con il 21007/24 le qualifiche sono valide per 36 mesi e soggette a monitoraggio periodico dell’ACN sul rispetto/mantenimento dei requisiti necessari. Eventuali inadempienze danno il via a un piano di rientro di 45 giorni, al termine del quale (salvo deroghe) ACN può accompagnare per gradi verso la revoca.

Infrastrutture in Housing e Data Center Edge

Altra novità, il Regolamento norma anche l’utilizzo delle infrastrutture di housing e i servizi di prossimità edge, in deroga ad alcuni dei requisiti di compliance. Nel primo caso, è previsto che nella dichiarazione di conformità alcune funzionalità possano essere assolte da un’infrastruttura in-house, ovvero non appaltate fuori, ma avvalendosi di un’entità giuridica di diritto pubblico (in genere interna al suo stesso perimetro). Con il 21007/24 viene normato anche il modello di edge computing, uno schema che prevede cache ospitate in data center di prossimità, di dimensioni ridotte, in cui vengono replicati temporaneamente i dati di un cloud centrale. Tra gli altri vantaggi, l’edge consente maggiore velocità e latenza minima, risultando di grande utilità per contesti ad alta densità di dati come, ad esempio, quello di una ASL.

La procedura di adeguamento dei servizi cloud della PA

Le infrastrutture digitali ed i servizi cloud erogati direttamente on-premises delle PA o affidate a società in-house sono soggette al processo di Adeguamento. Primo passo è la classificazione dei dati e dei propri servizi in relazione alla potenziale criticità per il Paese (salvo deroghe per l’Ordine Pubblico e la Difesa) con questi criteri:

1) rischio ed evoluzione della minaccia di natura cibernetica;

2) normative e standard nazionali, europei e internazionali;

3) presenza di dati personali, rischi per i diritti e le libertà delle persone fisiche, tipologia di dati trattati (es. salute o condanne e reati penali) o categorie coinvolte (es. soggetti vulnerabili).

Tre sono le classi di dati previste dal Regolamento:

1) Strategici, se la loro compromissione può determinare un pregiudizio alla sicurezza nazionale;

2) Critici, possibile pregiudizio al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza pubblica e il benessere economico e sociale del Paese;

3) Ordinari, tutti gli altri potenziali pregiudizi. Per ottenere la dichiarazione di conformità, l’amministrazione invia ad ACN il relativo modello tramite Pec, aggiornabile in caso di modifiche sostanziali.

Innalzamento dei livelli di sicurezza

I servizi digitali sono ormai la modalità primaria di fornitura delle prestazioni al cittadino da parte dell’amministrazione pubblica. Il processo di smaterializzazione documentale non potrà che consolidarsi ulteriormente in futuro. Ben si comprende la centralità della protezione dei dati personali nell’impianto del Regolamento, che mette già in conto la gestione delle vulnerabilità e dei possibili o probabili incidenti cibernetici. Nel 21007/24, in base ai più recenti profili di rischio osservati, sono stati aggiunte misure anti-DDoS, e modificati altri requisiti specifici, ad esempio nel trattamento dei metadata. Tra le nuove tecnologie contro il cybercrimine, il testo si pone in conformità al diffuso modello di “Fiducia Zero” (Zero Trust Architecture), per cui nessun sistema informatico deve godere di fiducia a priori, anche se già verificato. Le misure previste nel Regolamento introducono, inoltre, importanti chiarimenti circa la validità dei certificati ISO e sui relativi enti di emissione.

La valutazione dell’offerta economica e tecnica

L’orientamento all’interno della vasta catena di qualificazione comporta decisioni strategiche con importanti implicazioni tecniche ed economiche. Anche la sola implementazione dei vari livelli funzionali cloud (Software-As-A-Service, Platform-As-A-Service, Infrastructure-As-A-Service o infrastruttura fisica) richiede una valutazione comparativa tra gli obiettivi che si perseguono e dei relativi mezzi, metodi e tempi a disposizione. I principi guida sono quelli di economicità, efficienza ed efficacia, secondo lo schema del cosiddetto “Best Value”. Il ricorso, ad esempio, a una società in-house può sì sottendere delle economie di scala, ma è anche una manifestazione del potere di auto-organizzazione della PA per produrre da sé un servizio pubblico secondo valutazioni complesse, spesso anche di natura legale o di government. 

Modalità di migrazione: linee guida più dettagliate

Il Regolamento 21007/24 descrive inoltre i termini e le modalità con cui le Amministrazioni devono effettuare le migrazioni al cloud. Si tratta del processo di trasferimento di applicazioni, dati, infrastrutture IT in genere da server on-premise a un cloud pubblico, altre volte da un cloud provider a un altro. Le linee guida inserite nel Regolamento prevedono la definizione di un “piano di migrazione”, definendo tempistiche e modalità operative con l’obiettivo di dare supporto alle amministrazioni. L’accento anche in questo caso è sulla sicurezza delle procedure, tra cui l’utilizzo di canali di comunicazione sicuri e criptati nella fase di migrazione, oltre a protocolli aggiornati e approvati. Inoltre, a seguito dell’esito positivo della migrazione, è previsto l’obbligo di cancellazione di tutti i dati eventualmente memorizzati o archiviati. 

Inix Group, protagonista del cambiamento tecnologico

Le migrazioni cloud sono uno dei tanti servizi forniti dalla Inix di Sesto San Giovanni. Attiva da diversi anni in vari settori, dalla Sanità all’Industria, dalla Grande Distribuzione alla Finanza, Inix si è imposta come società di riferimento nella fornitura di servizi IT. Dalla Lombardia un team di esperti sistemisti ha mosso i primi passi per unire le proprie competenze e passioni per realizzare un progetto unico nel campo dei sistemi informativi. Completa e innovativa è l’offerta di soluzioni, progettata su misura delle singole esigenze aziendali. Adeguandosi costantemente alle certificazioni ISO, secondo i principi ITIL, Inix opera tra gli altri in ambito Cloud e Security in collaborazione con leader di mercato, fondendo soluzioni scalabili nel tempo, tra cui Sistemi SaaS su cloud Inix, e garantendo la massima sicurezza in termini di dati sensibili e aggiornamento hardware.

Garanzia della compatibilità dei sistemi informativi

In un mondo interconnesso e globalizzato come quello IT, la scelta dei fornitori per le PA non può non tenere conto della compatibilità agli standard internazionali ed è parte integrante di ogni nuovo progetto. Tra gli standard di riferimento, oltre alle norme e alle “best practice” internazionali, spicca il Framework Nazionale per la Cybersecurity e la Data Protection. In questo senso il Cloud Data Management Interface (CDMI) è uno standard internazionale che si è imposto sul mercato dei cloud. Si tratta di un’interfaccia funzionale che molte applicazioni utilizzano per creare, archiviare, gestire o eliminare archiviazioni di dati nella maniera più rapida ed efficiente.

Il Data Management di Inix

Nel complesso panorama IT il Data Management, sia tra soggetti pubblici e che privati, richiede un’operatività ad alta specializzazione tecnologica. Un ambito in cui Inix si è distinta nel garantire ai propri clienti affidabilità ed efficienza in tutte le fasi. Ampio è il portafoglio delle soluzioni messe in campo e che le consentono di gestire dalla Conservazione Documentale (ciclo di Fatturazione, gestione delle Risorse Umane, Supply Chain e Logistica) alla Digitalizzazione di documenti per vari enti, tra cui Musei, Biblioteche, Università, Ospedali, Archivi centrali. Vocazione peculiare è poi quella di operare in un ecosistema altamente tecnologico la Sanità, consentendo alla PA di fornire servizi specialistici agli operatori e ai cittadini, tra cui l’accesso tramite portali web ai dati sanitari, alla diagnostica per immagini e molti altri.

Focus sulla sostenibilità

Uno dei principi guida non più bypassabile è l’impatto ambientale delle infrastrutture digitali. La richiesta di infrastrutture, reti e cloud sempre più performanti sta suscitando una profonda eco sul tema dell’utilizzo di enormi risorse idriche in ambito IT, in particolare per i sistemi di raffreddamento dei potenti hardware. Un tam-tam che dal fronte scientifico si è spostato su quello politico, con la richiesta di un’incentivazione economica e fiscale delle soluzioni green, anche oltre l’orizzonte dei fondi PNNR. Un tema quello della sostenibilità caro a un player dinamico come Inix, già da anni attivo tanto in termini di implementazione di fonti energetiche rinnovabili, quanto sull’ottimizzazione dei consumi. La società di Sesto San Giovanni è cresciuta puntando sin dall’inizio su infrastrutture evolute, progettate già nell’ottica del risparmio e dell’efficientamento energetico, grazie anche alla ricerca continua sulle componenti hardware per i suoi data center.

Ruolo Inix nella selezione e formazione dei migliori talenti

Il cambio di paradigma a cui assistiamo anche nel settore cloud richiede un investimento costante non solo in ricerca e sviluppo tecnologico, ma anche sulla qualità del capitale umano. Inix è infatti una realtà consolidata nell’affiancare tutti quelle amministrazioni, centrali e locali, che, non volendo adeguare obbligatoriamente la propria infrastruttura digitale, intendono affidarsi a un player giovane e dinamico già nelle sue risorse. Un posizionamento chiaro sul mercato che vede Inix impegnata nella qualità del Recruiting del proprio personale, per attirare e sviluppare i migliori talenti. I piani di Formazione sono costantemente aggiornati per creare un ambiente ottimizzato per il lavoro in team, basato su competenza, creatività e flessibilità.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Su questo argomento

Cybersecurity, guida alla giusta strategia di backup