La qualificazione dei servizi cloud per la PA

Il processo di qualificazione cloud, una delle linee di indirizzo principali della Strategia Cloud Italia, semplifica e regolamenta, dal punto di vista tecnico e amministrativo, l’acquisizione di servizi cloud da parte delle pubbliche amministrazioni.

I fornitori cloud che intendono erogare servizi Infrastructure as a Service (IaaS), Platform as a Service (PaaS) e Software as a Service (SaaS) destinati alle pubbliche amministrazioni devono ottenere, per questi servizi, la qualificazione rilasciata dall’Agenzia per la Cybersicurezza Nazionale.

Il percorso attuale di qualificazione

Dal 19 gennaio 2023 la qualificazione dei servizi cloud per la PA è di competenza dell’Agenzia per la Cybersicurezza Nazionale (ACN), che è subentrata all’Agenzia per l’Italia digitale (AGID).

ACN ha previsto un regime transitorio fino a giugno 2024 o fino all’adozione del nuovo regolamento che disciplinerà il regime ordinario. Il nuovo percorso di qualificazione consentirà di inviare i documenti richiesti tramite la nuova piattaforma web di ACN.

Modalità di qualificazione

La qualifica rilasciata da ACN ha una validità di un anno per il regime transitorio e due anni per il regime ordinario. Per i fornitori è possibile distinguere due casistiche:

• fornitori che hanno già una qualificazione attiva e che intendono rinnovare la qualifica devono inviare specifica istanza secondo le indicazioni presenti sul sito dell’Agenzia;
• fornitori privi di una qualificazione valida o che intendano promuovere un servizio o una infrastruttura già qualificati.

I contenuti della determina 307/2022 di ACN

Per garantire opportuna protezione ai dati e ai servizi strategici, critici e ordinari, il 18 gennaio 2022 l’Agenzia per la cybersicurezza nazionale, d’intesa con il Dipartimento per la trasformazione digitale, ha adottato la determina n. 307/2022 su:

• i relativi requisiti minimi e le caratteristiche che devono assicurare le infrastrutture digitali e i servizi cloud di cui si avvalgono le pubbliche amministrazioni;
• il nuovo processo di qualificazione dei servizi cloud per la PA.
• la gestione operativa dei servizi, in particolare gli standard tecnico-organizzativi applicativi e le misure di controllo sui dati;
• i requisiti di sicurezza per la gestione dei dati, l’erogazione di servizi e le condizioni contrattuali relative alla rendicontazione.

In particolare, l’impianto si basa su un elenco di misure ispirate alle migliori pratiche e agli standard nazionali (ad esempio, il Framework Nazionale per la Cyber Security e Data Protection) e internazionali, in piena coerenza con le più recenti evoluzioni normative in relazione al rischio e all’evoluzione della minaccia di natura cibernetica.

La Determina è stata aggiornata con atti successivi di ACN.

Abilitarsi come fornitori per Comuni e scuole

Per abilitarsi come fornitori per l’avviso “Abilitazione al cloud per le PA Locali” del PNRR rivolto a Comuni e scuole, è possibile accreditarsi al Mercato elettronico della PA (MEPA), seguendo il percorso guidato sul sito.

MEPA è il catalogo fornitori che agevola le PA nell’individuare potenziali fornitori per diversi servizi, fra cui la migrazione al cloud qualificato. I fornitori abilitati alla categoria merceologica “Servizi per l’Information & Communication Technology” possono caricare a catalogo le proprie offerte, seguendo la documentazione relativa al cloud computing (Capitolato d’Oneri e Capitolato tecnico), e renderle acquistabili dalle PA tramite ordine diretto.