800 561720
L'Agenzia per la Cibersicurezza Nazionale (ACN), con Decreto Direttoriale n. 21007/24 del 27 giugno 2024, ha formalmente adottato il nuovo Regolamento unico per le infrastrutture e i servizi cloud destinati alla Pubblica Amministrazione.
Il Regolamento, sostituendo il precedente dell’Agenzia per l’Italia Digitale (AgID), delinea regole più precise ed introduce misure tecnico-organizzative avanzate, inserendosi nel quadro più ampio della Strategia Cloud Italia, promossa dal Dipartimento per la Trasformazione Digitale (DTD), mirando a favorire l’adozione sicura e controllata delle tecnologie cloud (e non solo) da parte delle Pubbliche Amministrazioni, definendo in modo chiaro le modalità di qualificazione e adeguamento per i servizi e le infrastrutture cloud delle Pubbliche Amministrazioni ed assicurando al contempo la protezione dei dati personali e la sicurezza delle informazioni. L’ACN, così, assume un ruolo di primo piano nella qualificazione dei servizi cloud e nella gestione delle crisi cibernetiche, lavorando per garantire la sicurezza e la protezione dei dati sensibili.
Come indicato nell’articolo 27 del Regolamento, a partire dal 1° agosto 2024, dunque, entrerà in vigore il c.d. regime ordinario di qualificazione dei servizi cloud. Le novità del Regolamento sono tante e sostanziali, stabilendo rigorosi requisiti di sicurezza che i fornitori di servizi cloud devono soddisfare, definendo tempi e modalità più chiari e stringenti. Si va dall’adozione di tecnologie di sicurezza avanzate, come la crittografia avanzata, la gestione degli accessi basata sui ruoli (Role Based Access Control o RBAC) e i sistemi di prevenzione e di rilevamento delle intrusioni (IPS/IDS). Il Regolamento non impone solo misure tecniche e tecnologiche ma anche l’obbligo di conformità a standard internazionali di sicurezza, come ISO/IEC 27001 e ISO/IEC 27017, garantendo così che le infrastrutture cloud rispettino le best practice internazionali. Migliora anche il processo di qualificazione dei servizi cloud, offrendo tempi più chiari ed una maggiore trasparenza e certezza nell’intero ciclo, anche nella fase ex-post ove è previsto che l’ACN svolga verifiche e controlli per il mantenimento del livello di conformità dei servizi cloud offerti dagli operatori privati. Altro aspetto introdotto è quello relativo agli edge computing, al quale il nuovo Regolamento dedica particolare attenzione, riconoscendo la sua importanza per migliorare l’efficienza, la sicurezza e la resilienza dei servizi digitali pubblici di prossimità.
Il Regolamento fissa, inoltre, delle chiare regole mirate a migliorare l’efficienza energetica ed al green computing, promuovendo l’adozione di tecnologie e procedure che migliorino l’efficienza energetica delle infrastrutture cloud e dei data center della PA (includendo la riduzione del consumo energetico complessivo e l’uso di fonti di energia rinnovabile per alimentare queste infrastrutture).
Non è possibile, infine, non evidenziare le disposizioni specifiche introdotte per garantire l’allineamento con il Regolamento Generale sulla Protezione dei Dati UE 2016/679 (GDPR), fondamentale per assicurare che i dati personali trattati dalle PA siano protetti secondo i più alti standard di privacy e sicurezza.
Come per il periodo transitorio, l’elemento centrale è il catalogo Marketplace ACN, denominato “Catalogo delle Infrastrutture Digitali e dei Servizi Cloud”. Strumento fondamentale che consente alle PA di consultare un elenco sempre aggiornato dei servizi cloud qualificati e delle infrastrutture disponibili, verificando il livello di qualificazione concesso a ciascun servizio.
I componenti del Gruppo di Lavoro Cybersecurity del Comitato Tecnico Scientifico di ASSO DPO: Marco Armoni, coordinatore, Dany Elie Aronovitch, Stefano Aterno, Manuela Bianchi, Salvatore Mele e Francesco Nesta hanno steso un contributo e creato delle linee guida che aiutino tutti gli operatori a navigare all’interno dell’articolato testo, evidenziandone non solo gli argomenti e le novità rilevanti, ma anche le intersezioni con altri dettati normativi, nazionali ed europei, non ultimo il Regolamento UE 679/21016 in materia di trattamento dei dati personali.
Scopri l’intero elaborato nell’area riservata per gli associati.
