La qualificazione dei servizi cloud per la PA
Il processo di qualificazione cloud, una delle linee di indirizzo principali della Strategia Cloud Italia, semplifica e regolamenta, dal punto di vista tecnico e amministrativo, l’acquisizione di servizi cloud da parte delle pubbliche amministrazioni.
I fornitori cloud che intendono erogare servizi Infrastructure as a Service (IaaS), Platform as a Service (PaaS) e Software as a Service (SaaS) destinati alle pubbliche amministrazioni devono ottenere, per questi servizi, la qualificazione rilasciata dall’Agenzia per la Cybersicurezza Nazionale.
Il percorso attuale di qualificazione
Dal 19 gennaio 2023 la qualificazione dei servizi cloud per la PA è di competenza dell’Agenzia per la Cybersicurezza Nazionale (ACN), che è subentrata all’Agenzia per l’Italia digitale (AGID).
ACN ha previsto un regime transitorio fino a giugno 2024 o fino all’adozione del nuovo regolamento che disciplinerà il regime ordinario. Il nuovo percorso di qualificazione consentirà di inviare i documenti richiesti tramite la nuova piattaforma web di ACN.
Modalità di qualificazione
La qualifica rilasciata da ACN ha una validità di un anno per il regime transitorio e due anni per il regime ordinario. Per i fornitori è possibile distinguere due casistiche:
- fornitori che hanno già una qualificazione attiva e che intendono rinnovare la qualifica devono inviare specifica istanza secondo le indicazioni presenti sul sito dell’Agenzia;
- fornitori privi di una qualificazione valida o che intendano promuovere un servizio o una infrastruttura già qualificati.
I contenuti della determina 307/2022 di ACN
Per garantire opportuna protezione ai dati e ai servizi strategici, critici e ordinari, il 18 gennaio 2022 l’Agenzia per la cybersicurezza nazionale, d’intesa con il Dipartimento per la trasformazione digitale, ha adottato la determina n. 307/2022 su:
- i relativi requisiti minimi e le caratteristiche che devono assicurare le infrastrutture digitali e i servizi cloud di cui si avvalgono le pubbliche amministrazioni;
- il nuovo processo di qualificazione dei servizi cloud per la PA.
- la gestione operativa dei servizi, in particolare gli standard tecnico-organizzativi applicativi e le misure di controllo sui dati;
- i requisiti di sicurezza per la gestione dei dati, l’erogazione di servizi e le condizioni contrattuali relative alla rendicontazione.
In particolare, l’impianto si basa su un elenco di misure ispirate alle migliori pratiche e agli standard nazionali (ad esempio, il Framework Nazionale per la Cyber Security e Data Protection) e internazionali, in piena coerenza con le più recenti evoluzioni normative in relazione al rischio e all’evoluzione della minaccia di natura cibernetica.
La Determina è stata aggiornata con atti successivi di ACN.
Abilitarsi come fornitori per Comuni e scuole
Per abilitarsi come fornitori per l’avviso “Abilitazione al cloud per le PA Locali” del PNRR rivolto a Comuni e scuole, è possibile accreditarsi al Mercato elettronico della PA (MEPA), seguendo il percorso guidato sul sito.
MEPA è il catalogo fornitori che agevola le PA nell’individuare potenziali fornitori per diversi servizi, fra cui la migrazione al cloud qualificato. I fornitori abilitati alla categoria merceologica “Servizi per l’Information & Communication Technology” possono caricare a catalogo le proprie offerte, seguendo la documentazione relativa al cloud computing (Capitolato d’Oneri e Capitolato tecnico), e renderle acquistabili dalle PA tramite ordine diretto.
Risorse utili
Documenti
- Decreto direttoriale prot. N. 20610 del 28/07/2023
- Decreto direttoriale Prot. N. 5489 del 08/02/2023
- Decreto direttoriale n. 29 del 2 gennaio 2023
- Regolamento per il Cloud della PA
- Come ottenere le qualificazioni cloud
- Il catalogo dei servizi qualificati
- Determina ACN n. 307 del 18 gennaio 2022
- Circolare AGID n. 2 del 9 aprile 2018Qualificazione dei Cloud Service Provider
- Circolare AGID n. 3 del 9 aprile 2018Qualificazione dei servizi SaaS