Il 2023 è iniziato con una grande novità per il mondo del Cloud.
Dal 19 gennaio 2023 la qualificazione dei servizi cloud per la Pubblica Amministrazione diventa di competenza dell’Agenzia per la Cybersicurezza Nazionale (di seguito ACN), che subentra all’Agenzia per l’Italia Digitale (AgID).
Una domanda sorge spontanea, che fine fanno le vecchie qualificazioni AgID?
Per le Organizzazioni in possesso di qualifica AgID a partire dal 19 gennaio 2023 il servizio o l’infrastruttura è automaticamente qualificato ACN, senza necessità di istanza aggiuntiva; tale qualifica sarà valida fino al 18 gennaio 2024.
Con la determina ACN n. 307 del 18 gennaio 2022, nello specifico nell’allegato 1, vengono definiti i quattro livelli e i criteri di qualificazione per i servizi cloud della PA, partendo da QC1 per i Servizi Cloud (SaaS, PaaS e IaaS) e QI1 per le Infrastrutture dei Servizi Cloud ( link al file 1642694346-det_307_all1_20220118 (innovazione.gov.it))
I fornitori già in possesso della qualifica rientreranno rispettivamente, nelle nuove qualifiche di livello QC1 e Ql1.
Fino all’entrata in vigore del regime ordinario che avverrà il 1 agosto 2023, è possibile richiedere la qualificazione per i fornitori privi di qualifica mediante la presentazione del modello di autodichiarazione. In caso di verifica positiva da parte dell’Agenzia, la qualificazione transitoria sarà valida un anno dalla data di concessione durante il quale l’ACN, nell’ambito del processo di vigilanza, controllerà la conformità delle infrastrutture e dei servizi cloud
Al termine di tale periodo transitorio, cambieranno le modalità per l’invio delle richieste di qualificazione per un servizio cloud o per un’infrastruttura dei servizi cloud. La nuova procedura guidata per l’accreditamento di un nuovo fornitore cloud e per la richiesta di qualificazione dei relativi servizi o infrastrutture, sarà disponibile attraverso una piattaforma web ACN dedicata.
Per coloro che vorranno qualificarsi presso l’ACN, oltre ai nuovi criteri stabiliti dall’allegato 1 della determina ACN 307 del 18 gennaio, dovranno sottostare ai termini definiti nel Regolamento Cloud “ Regolamento recante i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la PA e le caratteristiche di qualità, sicurezza, performance e scalabilità, portabilità dei servizi cloud per la pubblica amministrazione, le modalità di migrazione nonché le modalità di qualificazione dei servizi cloud per la pubblica amministrazione” .
Tale Regolamento stabilisce all’articolo 13 comma 5 che la qualificazione del servizio cloud avrà una durata massima di due anni.
Tante sono le novità, certo è che non basterà più con una sorta di autocertificazione dei requisiti di sicurezza e degli standard tecnici da parte dei fornitori dei servizi cloud per essere qualificati. L’ACN svolgerà un ruolo proattivo nel rilascio delle qualificazioni effettuando delle verifiche periodiche per accertare il possesso e mantenimento dei requisiti, laddove dovessero emergere criticità o mancanza dei requisiti l’ACN potrà diffidare il fornitore fino alla revoca della qualifica stessa.
