Il nuovo Regolamento unico per le infrastrutture e i servizi cloud, sviluppato dall'Agenzia per la Cybersicurezza Nazionale (ACN), segna una svolta significativa per la modernizzazione della Pubblica Amministrazione (PA) italiana.
Dal 1° agosto 2024 è entrato infatti in vigore il regime ordinario di qualificazione, che permetterà ai fornitori di accedere agli elenchi dai quali la PA potrà acquisire servizi cloud.
Questo cambiamento da un lato rappresenta una grande opportunità per le aziende IT di contribuire alla modernizzazione delle infrastrutture della PA, sfruttando anche i fondi del Piano Nazionale di Ripresa e Resilienza (PNRR) e altre iniziative governative, dall’altro porta con sé la necessità di rispondere a obblighi e requisiti ben precisi.
Il Regolamento descrive come classificare i servizi digitali, rappresentando una guida sicura per le Pubbliche Amministrazioni nella individuazione delle soluzioni cloud da acquisire, a seconda del livello di importanza e sensibilità delle informazioni.
L'obiettivo del Governo, con il contributo congiunto di ACN e del Dipartimento per la Trasformazione Digitale, è fornire una base affidabile per la PA per individuare e acquisire soluzioni cloud sicure ed efficienti, migliorando i servizi digitali per cittadini e imprese.
Un catalogo per le soluzioni qualificate
Le soluzioni qualificate saranno incluse infatti nel catalogo delle infrastrutture e dei servizi cloud, che presenterà schede tecniche dettagliate per ogni servizio, specificandone tipologia e livello di qualifica. Questo catalogo faciliterà le amministrazioni nella scelta delle soluzioni cloud in conformità con la normativa vigente in tema di procurement delle PA, utilizzando strumenti come il Mercato elettronico della PA (MEPA) di CONSIP.
In altre parole, le singole PA, appoggiandosi oggi ad un singolo portale hanno la possibilità di scegliere il servizio e l’infrastruttura da adottare all'interno delle proprie organizzazioni, valutandone la qualificazione e di conseguenza l'affidabilità.
Per rendere operativo il nuovo Regolamento, ACN ha aperto una nuova sezione del portale dedicata ai fornitori privati interessati a qualificare ufficialmente le loro soluzioni cloud per la PA. Le qualifiche attualmente in corso dovranno essere rinnovate seguendo le indicazioni del nuovo regolamento. In ogni caso, e questo è un punto sul quale ACN è stata molto chiara, la qualificazione ACN non permette l'uso del logo dell'Agenzia per scopi promozionali o commerciali, rimanendo strettamente legata alla conformità ai requisiti della PA.
Anche sui tempi di attuazione, l’Agenzia per la Cybersicurezza Nazionale, è stata tassativa: il regime transitorio, attivo dal 19 gennaio al 30 giugno 2023, è cessato il 1 agosto 2024, data in cui è entrato in vigore il regime ordinario con qualifiche valide per 36 mesi, laddove le qualifiche attuali, ottenute secondo le circolari AgID n.2 e n.3 del 2018, erano valide per 12 mesi e potevano essere prorogate mediante autodichiarazione.
Inoltre, con l’entrata in vigore del regime ordinario, le infrastrutture cloud qualificate saranno riclassificate con una nuova nomenclatura.
L’importanza del nuovo Regolamento per il Cloud della PA
Non si tratta di una mera formalità.
Gli obiettivi di Cloud Italia, la strategia che guiderà il percorso di migrazione verso il cloud dei dati e dei servizi digitali della Pubblica Amministrazione (PA), puntano ad assicurare l’autonomia tecnologica del Paese, garantendo il controllo sui dati e aumentando la resilienza dei servizi digitali.
Parliamo di una migrazione necessaria per la quale il PNRR ha messo a disposizione 6,4 miliardi di euro nel quadro della M1C1, al fine di permettere alle amministrazioni di stare al passo con il processo di trasformazione digitale della società, accelerato dalla pandemia.
Ma c’è di più. La migrazione della PA verso il Cloud servirà a rendere la PA stessa più efficiente, migliorare la qualità dei servizi erogati ai cittadini e aprire nuove opportunità di sviluppo per l’economia digitale del Paese.
Come funziona il processo di qualificazione
Il processo di qualificazione, interamente digitale, semplifica le procedure per i fornitori. Il regolamento disciplina anche l'uso delle infrastrutture in-house e dei servizi di edge computing, per supportare la PA anche con servizi a bassa latenza.
Il regolamento chiarisce le modalità per la classificazione, migrazione e qualificazione dei servizi cloud, definendo anche i requisiti di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la PA. Inoltre, specifica le caratteristiche di qualità, sicurezza, performance, scalabilità e portabilità dei servizi cloud per la PA.
Si chiarisce, inoltre, la differenza tra la qualifica dei servizi cloud forniti da privati, che richiede una verifica di conformità ex-ante con successiva pubblicazione nel catalogo ACN, e l'adeguamento delle infrastrutture e dei servizi forniti da operatori pubblici, basato su una dichiarazione di conformità inviata ad ACN. Entrambi i processi prevedono una fase di monitoraggio ex-post per verificare il mantenimento dei requisiti necessari durante i 36 mesi di validità della qualifica o dell'adeguamento.
Il Regolamento Cloud è dunque davvero di ampio respiro: di fatto, stabilisce un framework chiaro e strutturato per la qualificazione dei fornitori di servizi cloud per la Pubblica Amministrazione, puntando a garantire servizi digitali sicuri ed efficienti, supportando così la trasformazione digitale del settore pubblico italiano.
ReeVo e la qualificazione al nuovo Regolamento per il Cloud della PA
ReeVo ha intrapreso e quasi concluso, il percorso che la porterà a far parte delle sole tre aziende certificate in Italia con un LIV3 (su una scala da 1 a 4 dove nessuno ha un LIV4) direttamente sul portale Marketplace di ACN. Siamo sicuramente tra le soluzioni migliori che ogni singola PA possa adottare.
Siamo stati sempre molto attenti ai nuovi regolamenti che si sono presentati negli anni. Con queste ultime novità, dettate anche dal NIS2, stiamo adeguando le nostre piattaforme, per quanto a noi richiesto, con le modifiche dettate dal nuovo regolamento come, ad esempio, la parte dedicata alla Conservazione dei metadati della posta elettronica dei dipendenti.
È questo un punto specifico, che merita attenzione.
La nuova normativa permette al datore di lavoro di cancellare i metadati relativi alla posta elettronica che superano i 7 giorni.
Questo a dimostrazione di quanto ReeVo stia lavorando non solo per raggiungere le conformità richieste, ma per ottenere le qualificazioni al massimo livello.
È un livello di certificazione davvero elevato e ottenerlo è stato estremamente impegnativo. Attualmente siamo in fase di valutazione, cosa che potrebbe richiedere qualche mese. Siamo comunque già qualificati per il livello 2, che è comunque più elevato rispetto all'entry level e rispetto a quanto richiesto dalla “vecchia” AGID. Oggi, ACN ha stabilito dei criteri molto più stringenti che stiamo cercando di rispettare.
La gamma di servizi cloud e cyber security offerti da ReeVo rispecchiano in pieno sia il principio Cloud First, introdotto ormai da cinque anni per il settore pubblico, sia quelli di “sicurezza e privacy by design”, riconfermati anche nell’ultimo Piano Triennale per l’informatica.
L’esperienza che ReeVo ha accumulato in questi anni ci ha permesso di qualificarci, prima con AGID e oggi con ACN, come erogatore di servizi IaaS e come Cloud Service Provider (CSP) accreditato. Ad oggi disponiamo delle qualificazioni di livello 2 (QI2 e QC2) per l’infrastruttura cloud e per i servizi IaaS, Cloud Storage, Cloud Backup e Disaster Recovery sulla piattaforma Marketplace di ACN.
Soprattutto, ed è questo un punto ulteriore sul quale ReeVo pone forte l’accento, il Gruppo si configura come il Cloud & Cybersecurity provider che accelera la trasformazione digitale delle imprese e delle pubbliche amministrazioni proteggendo i loro dati nella sua cassaforte digitale, facendo di performance, sicurezza e resilienza i suoi tratti distintivi.
La protezione del dato è fondamentale in qualunque tipo di realtà. A problemi economici si riesce sempre a far fronte con magari l'intervento di istituti terzi, ma perdere il dato vuol dire bloccare operatività e business. Per noi, i dati sono la parte più importante di ogni singola realtà e per questo li proteggiamo in maniera proattiva, come se fossero nostri.