La Strategia Cloud Italia, realizzata dal Dipartimento per la trasformazione digitale e dall'Agenzia per la cybersicurezza nazionale (ACN), contiene gli indirizzi strategici per il percorso di migrazione verso il cloud di dati e servizi digitali della Pubblica Amministrazione. Il documento illustra i criteri di classificazione di dati e servizi e la composizione della infrastruttura ad alta affidabilità (Polo Strategico Nazionale) che ospiterà i servizi strategici e critici.
La strategia risponde a tre sfide principali: assicurare l’autonomia tecnologica del Paese, garantire il controllo sui dati e aumentare la resilienza dei servizi digitali. In coerenza con gli obiettivi del Piano Nazionale di Ripresa e Resilienza, il documento traccia un percorso definito per accompagnare circa il 75% delle PA italiane nella migrazione dei dati e degli applicativi informatici verso un ambiente cloud.
Mediante l'approccio cloud first, si vuole guidare e favorire l’adozione sicura, controllata e completa delle tecnologie cloud da parte del settore pubblico, in linea con i principi di tutela della privacy e con le raccomandazioni delle istituzioni europee e nazionali. In tal modo, le infrastrutture digitali saranno più affidabili e sicure e la Pubblica Amministrazione potrà rispondere in maniera organizzata agli attacchi informatici, garantendo continuità e qualità nella fruizione di dati e servizi.
L’attuazione della strategia prevede l’adozione di un regolamento da parte dell’Agenzia per l’Italia Digitale, finalizzato a definire criteri e passi operativi per la sua adozione da parte delle amministrazioni italiane.
Il regolamento sui servizi cloud
Il Regolamento, che disciplina le infrastrutture digitali e i servizi cloud della PA, è stato pubblicato dall’Agenzia per l’Italia Digitale (AgID) il 15 dicembre 2021 con Determinazione AgID 628/2021. Il regolamento definisce i requisiti minimi per le infrastrutture digitali e le caratteristiche e le modalità di qualificazione e migrazione dei servizi cloud. Il documento inoltre:
- stabilisce i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la pubblica amministrazione;
- definisce le caratteristiche di qualità, di sicurezza, di performance e scalabilità, interoperabilità, portabilità dei servizi cloud per la pubblica amministrazione;
- individua i termini e le modalità con cui le amministrazioni devono effettuare le migrazioni, anche stabilendo il processo e le modalità per la classificazione dei dati e dei servizi digitali delle pubbliche amministrazioni;
- individua le modalità del procedimento di qualificazione dei servizi cloud per la Pubblica Amministrazione.
A seguito delle disposizioni del Regolamento, il 18 gennaio 2022 l’Agenzia nazionale per la cybersicurezza, d’intesa con il Dipartimento per la trasformazione digitale, ha predisposto:
Il 18 gennaio 2022 è stato predisposto il modello che definisce un processo sistematico di classificazione dei dati e dei servizi gestiti dalle PA.
Tale modello è basato sulla compilazione di un questionario elaborato dall’Agenzia per la cybersicurezza, d’intesa con il Dipartimento, al fine di agevolare le pubbliche amministrazioni nell’analisi guidata e semplificata dell’impatto dell’eventuale compromissione dei propri dati e dei servizi sotto il profilo della confidenzialità, integrità e disponibilità.
Ai fini della classificazione, le PA potranno usufruire di un apposito modello semplificato tramite una piattaforma digitale messa a disposizione dal DTD. Sempre tramite quest’ultima, il modello sarà inviato all'Agenzia per la cybersicurezza nazionale per la validazione della corretta applicazione della metodologia.
Consulta la determina n. 306 (PDF) e l'allegato (PDF) dell'Agenzia per la cybersicurezza, sul modello per la predisposizione dell'elenco e della classificazione di dati e di servizi.
Al fine di garantire opportuna protezione ai dati e ai servizi strategici, critici e ordinari, il 18 gennaio 2022 l’Agenzia per la cybersicurezza nazionale, d’intesa con il Dipartimento per la trasformazione digitale, ha adottato:
- i relativi livelli minimi e le caratteristiche che devono assicurare le infrastrutture digitali e i servizi cloud di cui si avvalgono le amministrazioni,
- il nuovo processo di qualificazione dei servizi cloud per la PA.
In particolare, l’impianto si basa su un elenco di misure ispirate alle migliori pratiche e agli standard nazionali (quali ad esempio il framework nazionale di cybersecurity) e internazionali, in piena coerenza con le più recenti evoluzioni normative in ambito cyber, in relazione al rischio e all’evoluzione della minaccia di natura cibernetica.
Consulta la determina n. 307 (PDF) e l'allegato (PDF) dell'Agenzia per la cybersicurezza nazionale sulle ulteriori caratteristiche dei servizi cloud e requisiti per la qualificazione.
Le tre direttrici della strategia
La Strategia Cloud Italia si sviluppa secondo tre direttrici che guideranno gli enti nelle scelte da compiere rispetto alle diverse soluzioni di migrazione al cloud:
- La classificazione dei dati e dei servizi
- La qualificazione dei servizi cloud
- Il Polo Strategico Nazionale
La classificazione dei dati e dei servizi
Regolamentare l’ampia offerta di servizi cloud disponibili sul mercato consente di mitigare i rischi sistemici di sicurezza e affidabilità. La classificazione dei dati e dei servizi ha lo scopo di definire un processo di classificazione dei dati, in base al danno che una loro compromissione potrebbe provocare al sistema Paese (strategici, critici e ordinari). Il risultato della classificazione consente di uniformare e guidare il processo di migrazione al Cloud della PA.
Le classi sono:
- Strategico: dati e servizi la cui compromissione può avere un impatto sulla sicurezza nazionale.
- Critico: dati e servizi la cui compromissione potrebbe determinare un pregiudizio al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza e il benessere economico e sociale del Paese.
- Ordinario: dati e servizi la cui compromissione non provochi l’interruzione di servizi dello Stato o, comunque, un pregiudizio per il benessere economico e sociale del Paese.
Metodologia di classificazione di dati e servizi
a cura dell’Agenzia per la cybersicurezza nazionale
Il 18 gennaio 2021 l’Agenzia per la cybersicurezza nazionale ha firmato l’atto che contiene il “modello per la predisposizione dell’elenco e della classificazione dei dati e dei servizi della pubblica amministrazione.” L’Italia è tra i primi Paesi europei ad adottare un modello di classificazione di dati e servizi della PA nell’ambito della strategie nazionali per il cloud.
La classificazione è definita con la compilazione di un questionario elaborato dall’Agenzia per la cybersicurezza, d’intesa con il Dipartimento. Il questionario facilita le pubbliche amministrazioni nell’analisi guidata e semplificata dell’impatto dell’eventuale compromissione dei propri dati e dei servizi sotto il profilo della confidenzialità, integrità e disponibilità.
Le PA potranno rispondere al questionario utilizzando un modello semplificato compilabile on-line. Quest’ultimo dovrà essere inviato all'Agenzia per la cybersicurezza nazionale per la validazione della corretta applicazione della metodologia. È possibile aggiornare o modificare la classificazione in presenza di nuovi servizi o variazioni delle caratteristiche dei servizi già classificati.
Consulta la determina n. 306 (PDF) e l'allegato (PDF) dell'Agenzia per la cybersicurezza nazionale, sul modello per la predisposizione dell'elenco e della classificazione di dati e di servizi
La qualificazione dei servizi cloud
La qualificazione dell’offerta dei servizi cloud si pone l’obiettivo di semplificare e regolamentare, dal punto di vista tecnico e amministrativo, l’acquisizione di servizi cloud da parte delle amministrazioni.
Gli aspetti presi in considerazione sono: la gestione operativa dei servizi, in particolare gli standard tecnico-organizzativi applicativi e le misure di controllo sui dati, i requisiti di sicurezza per la gestione dei dati, l’erogazione di servizi e le condizioni contrattuali relative alla rendicontazione.
Documentazione a cura dell’Agenzia per la cybersicurezza nazionale
Consulta la determina n. 307 (PDF) e l'allegato (PDF) dell'Agenzia per la cybersicurezza nazionale su le ulteriori caratteristiche dei servizi cloud e requisiti per la qualificazione.
La qualificazione dei servizi cloud delle PA continua ad essere gestita dall’Agenzia per l’Italia Digitale fino al passaggio formale di competenze e funzioni da AgID all’ACN.
Il Polo Strategico Nazionale
Il Polo Strategico Nazionale ha l’obiettivo di dotare la Pubblica Amministrazione di tecnologie e infrastrutture cloud che possano beneficiare delle più alte garanzie di affidabilità, resilienza e indipendenza.
Il Polo sarà distribuito geograficamente sul territorio nazionale presso siti opportunamente identificati, per garantire adeguati livelli di continuità operativa e tolleranza ai guasti. Il controllo e le linee di indirizzo del PSN saranno pubbliche e indipendenti da soggetti terzi. La gestione operativa sarà affidata a un fornitore qualificato sulla base di requisiti tecnico-organizzativi.