Vai al contenuto principaleVai al footer

Quadro regolatorio

Il percorso attuale indicato da Agenzia per l'Italia digitale e i futuri sviluppi normativi col passaggio all'Agenzia Nazionale per la Cybersicurezza

La qualificazione dei servizi cloud rappresenta una delle linee di indirizzo della Strategia Cloud Italia, e ha l’obiettivo di semplificare e regolamentare, dal punto di vista tecnico e amministrativo, l’acquisizione di servizi cloud da parte della PA. Da un punto di vista generale, la Strategia Cloud Italia guida e favorisce l’adozione sicura, controllata e completa delle tecnologie cloud da parte del settore pubblico, in linea con i principi di tutela della privacy e con le raccomandazioni delle istituzioni europee e nazionali.

Il percorso attuale indicato dalle circolari Agenzia per l'Italia digitale (AGID)

Tutti i soggetti pubblici e privati che intendono ottenere la qualificazione per:

  • erogare i servizi IaaS e PaaS di cui sono titolari qualificando anche la propria infrastruttura cloud, dovranno attenersi alle indicazioni contenute nella Circolare AGID n. 2 del 2018;
  • erogare servizi SaaS cloud ad altre amministrazioni su una o più infrastrutture digitali qualificate da AGID, dovranno seguire le indicazioni contenute nella Circolare AGID n. 3 del 2018. Per avviare il percorso di qualificazione è necessario utilizzare la piattaforma dedicata alla qualificazione dei cloud service provider e dei servizi cloud. Queste indicazioni saranno valide fino al passaggio di competenze da AGID all’Agenzia per la Cybersicurezza Nazionale (ACN).

L'evoluzione del quadro normativo: il Regolamento Cloud di AGID

A partire dal 18 gennaio 2023, tutti i fornitori che intendono erogare servizi cloud alle amministrazioni pubbliche dovranno aver qualificato questi servizi in conformità ai nuovi requisiti indicati nel Regolamento per il Cloud della PA (PDF, 758 KB), pubblicato da AGID il 15 dicembre 2021, e dagli atti successivi al regolamento emanati da ACN. Il regolamento definisce i requisiti minimi per le infrastrutture digitali, le caratteristiche e le modalità di qualificazione e migrazione dei servizi cloud.

Inoltre, il regolamento:

  • stabilisce i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la pubblica amministrazione;
  • definisce le caratteristiche di qualità, di sicurezza, di performance e scalabilità, interoperabilità, portabilità dei servizi cloud per la pubblica amministrazione;
  • individua i termini e le modalità con cui le amministrazioni devono effettuare le migrazioni, anche stabilendo il processo e le modalità per la classificazione dei dati e dei servizi digitali delle pubbliche amministrazioni;
  • indica le modalità del procedimento di qualificazione dei servizi cloud per la PA.

Gli atti successivi al Regolamento Cloud

A gennaio 2022 e seguendo le disposizioni del Regolamento AGID, l’Agenzia nazionale per la cybersicurezza ha predisposto, con determina n. 307 (PDF, 1.3 MB e allegato (PDF, 2.3 MB), i livelli minimi e le caratteristiche che devono assicurare le infrastrutture digitali e i servizi cloud di cui si avvalgono le amministrazioni ulteriori rispetto a quelli definiti dal Regolamento Cloud. ACN fornirà le indicazioni relativamente al nuovo percorso di qualificazione dei servizi cloud per la PA che i fornitori dovranno adottare entro il 18 gennaio 2023 per poter qualificare i propri servizi cloud ed erogarli alle amministrazioni.

Contestualmente, con determina n. 306 (PDF, 1.4 MB) e allegato (PDF, 39 KB), ACN ha diffuso il modello che definisce un processo sistematico di classificazione dei dati e dei servizi gestiti dalle PA.