Cloud per PA. La qualificazione passa da AgID all’ACN. Ecco perché avremo più sicurezza

Basta più con una sorta di autocertificazione dei requisiti di sicurezza, delle certificazioni e degli standard tecnici da parte dei fornitori dei servizi cloud che dal 2018 hanno ricevuto il “bollino” per essere presenti nel marketplace di AgID dal quale le Pubbliche Amministrazioni scelgono, a pagamento, i servizi IaaS, PaaS e SaaS. Dal 19 gennaio prossimo si cambia. La qualificazione del cloud della PA passerà dall’Agenzia per l’Italia Digitale all’Agenzia per la Cybersicurezza Nazionale (ACN).

Ecco perché i dati e i servizi delle nostre PA saranno più al sicuro

L’ACN potrà:

• successivamente al rilascio delle qualificazioni, effettuare verifiche per accertare il possesso e il mantenimento dei requisiti, in relazione alla tipologia e al livello di qualificazione.

Nell’ambito delle verifiche, l’Agenzia cyber nazionale, guidata da Roberto Baldoni, può:

1. formulare quesiti e richiedere informazioni;
2. richiedere la produzione di documentazione, ulteriori integrazioni e chiarimenti;
3. svolgere accertamenti di carattere tecnico, anche mediante accesso all’infrastruttura fisica e logica del servizio cloud;
4. audire il soggetto richiedente.

Ad oggi AgID per i SaaS chiede la Cloud Security Alliance, in pratica una autovalutazione, mentre le altre certificazioni richieste ai Cloud Service Provider sono la ISO 9001 e ISO 27001, ma non sono, in generale, obbligatorie.

Chi non rispetta i nuovi requisiti va in incontro alla sospensione o alla revoca della qualifica posseduta

Laddove, successivamente alle verifiche effettuate, dovessero emergere profili relativi al mancato rispetto dei requisiti prescritti, anche a seguito degli eventuali supplementi istruttori condotti con i soggetti interessati, l’ACN può diffidare il fornitore affinché lo stesso provveda al rispetto degli stessi, fino ad arrivare alla sospensione o alla revoca della qualifica posseduta.

Questo passaggio da AgID all’ACN è una milestone importante per avere maggiore sicurezza nei cloud nelle PA. Allo Stato si chiede oggi la capacità di valutare servizi cloud nella loro globalità, quindi non soltanto dal punto di vista della cybersecurity, ma in termini di tutti quei parametri (livelli di servizio, interoperabilità, resilienza, scalabilità, mitigazione del rischio di lock-in, etc) che ormai costituiscono il terreno di confronto tra fornitori e PA, peraltro in uno scenario politico di rinnovata sensibilità sui temi dell’autonomia tecnologica.

I vantaggi della qualificazione di ACN

La qualificazione di ACN semplifica, regolamenta e rende più sicura l’acquisizione dei servizi cloud da parte delle amministrazioni, in linea con le indicazioni della Strategia Nazionale di Cybersicurezza. Garantisce adeguati livelli di sicurezza per i servizi e i dati della PA, innalzando progressivamente la qualità e l’affidabilità dei fornitori di servizi cloud. Il nuovo percorso abilita una migrazione verso il cloud, coerente con la classificazione dei dati e dei servizi e con i requisiti di sicurezza e qualificazione predisposti da ACN, favorendo una riduzione progressiva degli attacchi informatici. Rientra, inoltre, tra le azioni chiave per accompagnare circa il 75% delle PA italiane nella migrazione verso il cloud, così come previsto dal Piano Nazionale di Ripresa e Resilienza (PNRR).

Il regime ordinario partirà il 1^ agosto assieme al nuovo regolamento ACN e alla procedura di qualificazione online

L’Agenzia ha previsto un periodo transitorio fino al 31 luglio, per garantire la continuità dei servizi qualificati già in uso alle amministrazioni e assicurare, così, un graduale passaggio verso un nuovo sistema coerente con le misure della Strategia Nazionale di Cybersicurezza e le indicazioni della Strategia Cloud Italia. Il regime ordinario partirà il 1^ agosto assieme al nuovo regolamento ACN e alla procedura di qualificazione online.

Occorre acquisire una nuova qualificazione che sarà valida 1 anno con verifiche anche in itinere da parte di ACN

Per avviare una nuova qualificazione durante il regime transitorio, ovvero entro il 31 luglio, le aziende possono comunicare ad ACN – via PEC – l’avvenuta attuazione delle misure previste dalla stessa Agenzia cyber. In caso di verifica positiva da parte dell’Agenzia, la qualificazione transitoria sarà valida un anno dalla data di concessione durante il quale ACN, nell’ambito del processo di vigilanza, controllerà la conformità delle infrastrutture e dei servizi cloud ai livelli di sicurezza autocertificati, in particolare a seguito di incidenti significativi. Entro la scadenza della qualifica transitoria, per poter continuare il trattamento dei dati, l’azienda dovrà acquisire – a partire dal 1° agosto 2023 – la qualifica ACN adeguata alla tipologia di dati che intende trattare.