Dal 1° agosto 2024 entra in vigore il nuovo Regolamento per le infrastrutture digitali e i servizi cloud per la Pubblica Amministrazione.
Il Decreto Direttoriale n. 21007/24 del 27 giugno 2024 è stato adottato dall’Agenzia per la cybersicurezza nazionale insieme al Dipartimento per la trasformazione digitale.
Questo segna la fine del periodo transitorio, permettendo alle PA di adattarsi alle novità.

I servizi digitali sono di fatto fondamentali per le Pubbliche Amministrazioni nel fornire prestazioni ai cittadini. La transizione al cloud garantisce affidabilità, sicurezza e sostenibilità nel tempo dei servizi pubblici.

Il regolamento rappresenta un passo fondamentale verso un quadro normativo armonizzato, che definisce le misure minime che le infrastrutture, come i data center e i servizi cloud, devono rispettare per supportare i servizi pubblici.”(…)”In questo modo stiamo promuovendo un approccio innovativo e rigoroso per la trasformazione digitale del Paese, in linea con gli standard più elevati di sicurezza e efficienza”.

Sottosegretario alla Presidenza del Consiglio dei ministri, con delega all’Innovazione, Alessio Butti

Finalità del nuovo regolamento

Il Regolamento fornisce una guida per le PA per individuare soluzioni cloud, attraverso la caratterizzazione e classificazione dei dati e dei servizi digitali. Gli obiettivi principali sono:

  • stabilire misure e requisiti per garantire sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali;
  • definire le caratteristiche di qualità, sicurezza, performance, scalabilità e portabilità dei servizi cloud;
  • stabilire termini e modalità per le migrazioni, compresa la classificazione dei dati e dei servizi digitali;
  • regolare il procedimento di qualificazione dei servizi cloud disponibili sul libero mercato per le PA.
classificazione dati e servizi per l aPA
Image courtesy of ACN

Classificazione di dati e servizi digitali

Le PA devono creare e aggiornare un elenco dei dati e servizi digitali classificati in tre categorie:

  • ordinari: la compromissione non causa pregiudizi significativi a funzioni sociali, sanitarie, di sicurezza pubblica e benessere economico;
  • critici: la compromissione può causare danni rilevanti per le funzioni sopra menzionate;
  • strategici: la compromissione può rappresentare un rischio elevato per la sicurezza nazionale.

Piani di migrazione e convalida

Le PA dovranno ora redigere un piano di migrazione dei dati e servizi cloud secondo un modello del Dipartimento per la trasformazione digitale e l’ACN. Il Dipartimento verificherà la conformità entro sessanta giorni, con possibile estensione di altri sessanta giorni se necessarie ulteriori verifiche. Alla fine del processo, il Dipartimento comunicherà la convalida, la convalida con prescrizioni o la non convalida.

classificazione dati e servizi per sensibilità
Image courtesy of ACN

Impatti futuri del regolamento

Il Regolamento fornisce stabilità e chiarezza nel processo di individuazione dei servizi cloud. Questo supporta le PA nella transizione digitale in un periodo di crescenti minacce cibernetiche, offrendo una guida sicura e affidabile. L’uso di tecnologie avanzate nel cloud, come l’IA, migliorerà la protezione dalle minacce cibernetiche e la qualità dei servizi pubblici.

Voglio ricordare che la migrazione al cloud è di per sé una misura organizzativa e tecnica che favorisce una maggiore protezione e sicurezza dei dati. E ci potrà offrire, con l’utilizzo delle tecnologie più avanzate, quali ad esempio l’Intelligenza artificiale, opportunità straordinarie per lo sviluppo digitale del paese”.

Direttore Generale dell’Agenzia per la cybersicurezza nazionale, Bruno Frattasi