L’Agenzia Cyber impegnata anche sul fronte dell’autonomia strategica.
Infatti, lo sviluppo di tecnologie proprie, in collaborazione con il settore privato, la presenza di una forza lavoro adeguatamente formata e una diffusa consapevolezza sui rischi cyber, consentono di rafforzare significativamente lo scudo protettivo del Paese in relazione a possibili attacchi e minacce cyber.
È quanto ha sottolineato l’Agenzia per la cybersicurezza nazionale (Acn) nella relazione annuale presentata oggi al Parlamento.
“Nell’ambito delle misure volte a rafforzare la postura di cybersicurezza della Pubblica Amministrazione e del Paese è certamente ricompresa l’attuazione della Strategia Cloud Italia, volta a promuovere la sovranità e l’autonomia tecnologica del nostro Paese e dell’Unione europea nella gestione dei dati dei cittadini e delle aziende europee, a partire dal settore pubblico” sottolinea l’autorità guidata dal prefetto Bruno Frattasi.
Difatti, con il DPCM 1° settembre 2022, l’ACN è subentrata ad AgID nella qualificazione dei servizi cloud per la Pubblica Amministrazione secondo il processo definito dal Regolamento “Cloud per la PA”.
Il documento di indirizzo delinea tre obiettivi che pilotano un percorso di trasformazione digitale sicuro: incentivare l’adozione del modello Cloud della Pa, nell’ottica di proporre un’offerta di servizi digitali e infrastrutture tecnologiche sicure, efficienti, affidabili e autonome, in linea con i principi di tutela della privacy e le raccomandazioni destinate all’intero mercato digitale europeo; costituire il Polo Strategico Nazionale, quale infrastruttura a garanzia della sicurezza degli asset strategici per il Paese e valorizzare le Amministrazioni e la loro capacità di offrire servizi digitali.
Tutti i dettagli.
LE DETERMINAZIONI ADOTTATE DEL REGOLAMENTO CLOUD
Nel 2022 l’Agenzia Cyber ha adottato due Determinazioni implementative del Regolamento cloud.
La prima (Determinazione n. 306/2022), spiega la Relazione, definisce il modello per la predisposizione dell’elenco e della classificazione dei dati e dei servizi pubblici. La classificazione costituisce il passo abilitante per individuare un compromesso bilanciato tra costi e sicurezza.
In tale contesto, in base ai possibili effetti di una loro compromissione in termini di disponibilità, confidenzialità e integrità, i dati e i servizi della P.A. sono classificati su tre livelli: strategici, la cui compromissione può avere impatto sulla sicurezza nazionale, che includono quelli ricompresi nel D.L. n. 105/2019, i servizi essenziali ai sensi del D.Lgs. n. 65/2018 erogati a livello nazionale e le banche dati a carattere nazionale; critici, la cui compromissione potrebbe determinare un pregiudizio per il mantenimento di funzioni rilevanti per la società, la salute, la sicurezza e il benessere economico e sociale del Paese, che includono i servizi essenziali ai sensi del D.Lgs. n. 65/2018 erogati a livello locale, nonché quelli che trattano grandi moli di dati personali; ordinari, i rimanenti dati e servizi.
I SERVIZI CLASSIFICATI
Dall’avvio del processo di classificazione, avvenuto ad aprile, l’Agenzia fa sapere che nel corso dell’anno ha evaso, tramite la piattaforma PAdigitale2026, le pratiche di classificazione per circa gli 80% degli enti.
Di seguito la percentuale dei servizi classificati come ordinari, critici e strategici per le diverse categorie della PA.
Inoltre, quale elemento complementare alla classificazione, la seconda Determinazione n. 307/2022 ha stabilito: i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali; le caratteristiche di qualità, di sicurezza, di performance e scalabilità, interoperabilità, portabilità dei servizi cloud; le modalità del procedimento di qualificazione dei servizi cloud.
IL PROCESSO DI QUALIFICAZIONE DEI SERVIZI CLOUD
Il processo di qualificazione, invece, è lo strumento che consente all’Agenzia di svolgere le verifiche preventive sull’adeguatezza dei servizi cloud offerti da operatori privati dei quali si possono avvalere le Pubbliche Amministrazioni. I requisiti di qualificazione, precisa la Relazione dell’Acn, sono organizzati in 4 livelli crescenti, tesi a promuovere un maggior controllo sui dati da parte degli enti pubblici, che si basano sui livelli minimi per le infrastrutture e sulle caratteristiche dei servizi cloud di cui sopra.
Infine, l’Agenzia rende noto di aver avviato un processo di supporto a beneficio di tutti gli attori interessati, svolgendo nel corso dell’anno oltre 50 incontri a favore di numerosi enti pubblici e privati, ciò unitamente ad interventi pubblici e alla concertazione con associazioni di settore.