skip to Main Content

CLASSIFICAZIONE DI DATI E QUALIFICAZIONE DI SERVIZI CLOUD NELLA P.A. LE NUOVE DETERMINE DELLA AGENZIA PER LA CYBERSICUREZZA NAZIONALE

La neocostituita Agenzia per la Cybersicurezza Nazionale (sulla costituzione dell’ACN si veda la relativa news) ha pubblicato lo scorso 18 gennaio due atti di notevole importanza per la transizione digitale della P.A.

La prima determina (n. 306 disponibile al seguente link) contiene il modello per la predisposizione dell’elenco e della classificazione dei dati e dei servizi della pubblica amministrazione. La delibera è stata adottata sulla base del Regolamento sulle infrastrutture digitali e i servizi cloud della PA, pubblicato dall’Agenzia per l’Italia Digitale (AgID) il 15 dicembre 2021 con Determinazione AgID 628/2021.

Il modello è basato sulla compilazione di un questionario elaborato dall’ACN, d’intesa con il Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei ministri, al fine di agevolare le pubbliche amministrazioni nell’analisi guidata e semplificata dell’impatto dell’eventuale compromissione dei propri dati e dei servizi sotto il profilo della confidenzialità, integrità e disponibilità.

Le amministrazioni dovranno trasmettere all’Agenzia, entro il 18 luglio 2022 mediante la piattaforma digitale dedicata, il questionario compilato in ogni sua parte per ogni dato e servizio trattato, unitamente alla classificazione che scaturisce dalla sua compilazione. A quel punto l’ACN fornirà riscontro circa la conformità dell’elenco e della classificazione dei dati e dei servizi entro novanta giorni dalla sua ricezione.

La seconda determina (n. 307 disponibile al seguente link) disciplina la qualificazione dell’offerta dei servizi cloud, con l’obiettivo di semplificare e regolamentare, dal punto di vista tecnico e amministrativo, l’acquisizione di servizi cloud da parte delle amministrazioni. Anzitutto, la qualificazione consiste in un «processo di verifica formale per garantire che i servizi cloud, e l’infrastruttura sottostante, di cui si avvalgono le amministrazioni, siano in possesso delle caratteristiche necessarie per trattare dati e servizi classificati quali ordinari, critici e strategici, assicurando, in particolare, opportuni livelli di qualità, di performance, di scalabilità, di portabilità, nonché di sicurezza».

Nel dettaglio, sono regolati i seguenti profili: la gestione operativa dei servizi, in particolare gli standard tecnico-organizzativi applicativi e le misure di controllo sui dati, i requisiti di sicurezza per la gestione dei dati, l’erogazione di servizi e le condizioni contrattuali relative alla rendicontazione.

La delibera rinvia all’appendice tecnica di cui agli allegati del citato Regolamento AgID 628/2021, il quale descrive le caratteristiche di affidabilità e sicurezza richiamando le pertinenti disposizioni del Framework Nazionale per la Cybersecurity e la Data Protection.

Le delibere in commento rappresentano un ulteriore tassello nel complesso quadro di governance della cybersicurezza, che ruota attorno alle misure di sicurezza previste dal Framework Nazionale. Ne va comunque rimarcata l’importanza per assicurare che l’attuazione del principio del cloud first, ribadito dal Piano Triennale per la digitalizzazione della P.A., possa essere condotta con le dovute garanzie di affidabilità e sicurezza.

Le amministrazioni dovranno pertanto assicurare il rispetto dello standard fissato dall’ACN, dando tempestivo adempimento agli obblighi che discendono dalle citate normative.

 

 

Back To Top
Cerca