Vai al contenuto principaleVai al footer

La qualificazione dei servizi cloud per la PA

Come qualificare i servizi cloud dedicati alla Pubblica Amministrazione.

Il processo di qualificazione cloud, una delle linee di indirizzo principali della Strategia Cloud Italia, semplifica e regolamenta, dal punto di vista tecnico e amministrativo, l’acquisizione di servizi cloud da parte delle pubbliche amministrazioni.

I fornitori cloud che intendono erogare servizi Infrastructure as a Service (IaaS), Platform as a Service (PaaS) e Software as a Service (SaaS) destinati alle pubbliche amministrazioni devono ottenere, per questi servizi, la qualificazione rilasciata dall’Agenzia per la Cybersicurezza Nazionale.

Composizione con nuvola simbolo cloud, schermo di un cellulare e circuiti elettronici

Il percorso attuale di qualificazione

Dal 19 gennaio 2023 la qualificazione dei servizi cloud per la PA è di competenza dell’Agenzia per la Cybersicurezza Nazionale (ACN), che è subentrata all’Agenzia per l’Italia digitale (AGID).

ACN ha previsto un regime transitorio fino a giugno 2024 o fino all’adozione del nuovo regolamento che disciplinerà il regime ordinario. Il nuovo percorso di qualificazione consentirà di inviare i documenti richiesti tramite la nuova piattaforma web di ACN.

Modalità di qualificazione

La qualifica rilasciata da ACN ha una validità di un anno per il regime transitorio e due anni per il regime ordinario. Per i fornitori è possibile distinguere due casistiche:

  • fornitori che hanno già una qualificazione attiva e che intendono rinnovare la qualifica devono inviare specifica istanza secondo le indicazioni presenti sul sito dell’Agenzia;
  • fornitori privi di una qualificazione valida o che intendano promuovere un servizio o una infrastruttura già qualificati.

I contenuti della determina 307/2022 di ACN

Per garantire opportuna protezione ai dati e ai servizi strategici, critici e ordinari, il 18 gennaio 2022 l’Agenzia per la cybersicurezza nazionale, d’intesa con il Dipartimento per la trasformazione digitale, ha adottato la determina n. 307/2022 su:

  • i relativi requisiti minimi e le caratteristiche che devono assicurare le infrastrutture digitali e i servizi cloud di cui si avvalgono le pubbliche amministrazioni;
  • il nuovo processo di qualificazione dei servizi cloud per la PA.
  • la gestione operativa dei servizi, in particolare gli standard tecnico-organizzativi applicativi e le misure di controllo sui dati;
  • i requisiti di sicurezza per la gestione dei dati, l’erogazione di servizi e le condizioni contrattuali relative alla rendicontazione.

In particolare, l’impianto si basa su un elenco di misure ispirate alle migliori pratiche e agli standard nazionali (ad esempio, il Framework Nazionale per la Cyber Security e Data Protection) e internazionali, in piena coerenza con le più recenti evoluzioni normative in relazione al rischio e all’evoluzione della minaccia di natura cibernetica.

La Determina è stata aggiornata con atti successivi di ACN.

Abilitarsi come fornitori per Comuni e scuole

Per abilitarsi come fornitori per l’avviso “Abilitazione al cloud per le PA Locali” del PNRR rivolto a Comuni e scuole, è possibile accreditarsi al Mercato elettronico della PA (MEPA), seguendo il percorso guidato sul sito.

MEPA è il catalogo fornitori che agevola le PA nell’individuare potenziali fornitori per diversi servizi, fra cui la migrazione al cloud qualificato. I fornitori abilitati alla categoria merceologica “Servizi per l’Information & Communication Technology” possono caricare a catalogo le proprie offerte, seguendo la documentazione relativa al cloud computing (Capitolato d’Oneri e Capitolato tecnico), e renderle acquistabili dalle PA tramite ordine diretto.