A un anno dall’entrata in vigore, il Regolamento Cloud per la Pubblica Amministrazione, pubblicato il 27 giugno 2024, è ormai una realtà operativa per tutte le amministrazioni. La transizione dal precedente regime transitorio al regime ordinario richiede oggi una piena conformità da parte degli enti pubblici, chiamati a garantire che i propri servizi digitali, le proprie infrastrutture e la gestione dei dati rispettino i nuovi requisiti di sicurezza, sovranità e affidabilità.
Questo articolo approfondisce il significato e gli impatti concreti del Regolamento. In particolare, chiariremo:
- cosa prevede il Regolamento,
- quali sono gli obblighi in capo agli enti,
- come avviene il processo di qualificazione dei fornitori,
- come possono essere adottate strategie efficaci per rispettarlo.
Infine, chiariremo anche il corretto ruolo del Piano Triennale per l’Informatica nella PA: uno strumento di supporto operativo, non un documento normativo sovrapposto al Regolamento.
Il Regolamento Cloud per la PA: cosa stabilisce
Il Regolamento Cloud per la PA stabilisce un insieme chiaro e vincolante di obblighi e procedure che ogni ente pubblico deve rispettare per la gestione dei servizi digitali e dei dati. Si applica a tutte le amministrazioni centrali e locali.
Il cuore del Regolamento riguarda:
- Classificazione dei dati e dei servizi
- Infrastrutture e qualificazione dei servizi Cloud
- Ruolo dell’ACN
- Standard di riferimento
1. Classificazione dei dati e dei servizi
Ogni amministrazione è obbligata a eseguire una classificazione dei dati e dei servizi che gestisce, con una particolare attenzione per quelli che:
- sono considerati strategici, se la loro compromissione può determinare un pregiudizio alla sicurezza nazionale,
- afferiscono a settori critici, come quelli gestiti dal Dipartimento per la salute, la sicurezza pubblica e il benessere economico e sociale del Paese.
2. Infrastrutture e qualificazione dei servizi Cloud
In base alla classificazione:
- i servizi ordinari possono essere erogati su infrastrutture qualificate di livello standard,
- i servizi strategici devono essere erogati su infrastrutture digitali che abbiano superato un rigoroso processo di qualificazione e che rispettino requisiti di sicurezza avanzata.
Inoltre, per i servizi strategici è previsto l’utilizzo di un ambiente unico per le infrastrutture, separato da ambienti non conformi.
3. Ruolo dell’ACN
Viene stabilito che l’Agenzia per la Cybersicurezza Nazionale (ACN) ha un ruolo di controllo, monitoraggio e validazione dei fornitori Cloud. L’ACN gestisce il registro dei servizi Cloud qualificati, che le PA possono consultare per selezionare fornitori conformi.
4. Standard di riferimento
Il Regolamento impone l’adozione di soluzioni conformi a:
- standard nazionali, europei e internazionali,
- best practice in ambito di sicurezza, interoperabilità e continuità operativa.
Strategie per la piena conformità
Oggi, tutte le PA dovrebbero ormai essere allineate al regime ordinario. Ecco alcune strategie concrete che possono essere adottate o rafforzate:
1. Mappatura e classificazione continua
- Verificare e aggiornare regolarmente la classificazione dei dati e dei servizi.
- Mantenere un inventario aggiornato e documentato.
2. Scelta di infrastrutture qualificate
- Selezionare fornitori che abbiano superato il processo di qualificazione.
- Evitare soluzioni non conformi, anche se di ampia diffusione commerciale.
3. Rafforzamento della governance Cloud
- Definire un modello interno di governance del Cloud.
- Stabilire processi di monitoraggio continuo delle prestazioni e della sicurezza.
4. Collaborazione con ACN e comunità PA
- Partecipare a tavoli di confronto con l’ACN e con altre amministrazioni.
- Condividere buone pratiche e approcci comuni.
5. Formazione continua del personale
- Investire sulla formazione tecnica e normativa.
- Promuovere una cultura della sicurezza digitale.
Il ruolo del Piano Triennale per l’Informatica nella PA
È importante chiarire che il Piano Triennale per l’Informatica nella PA non è un regolamento sovrapposto a quello sul Cloud. Si tratta di un documento di indirizzo strategico e operativo, che fornisce linee guida di supporto alle amministrazioni nel percorso di innovazione tecnologica, tra cui anche il Cloud.
Il Piano può essere utile per:
- orientare la scelta delle infrastrutture e dei servizi più innovativi,
- integrare il percorso di conformità al Regolamento Cloud in una più ampia strategia di trasformazione digitale,
- armonizzare l’adozione di nuovi standard di interoperabilità e sicurezza.
Conclusioni
Il Regolamento Cloud per la PA rappresenta oggi il quadro normativo di riferimento per ogni pubblica amministrazione che voglia adottare soluzioni Cloud in modo sicuro, trasparente e conforme. Essere pienamente allineati al Regolamento non è solo un obbligo legale, ma un passo essenziale per garantire ai cittadini servizi moderni e affidabili.
Le amministrazioni che vogliono valutare soluzioni Cloud già qualificate e in linea con il nuovo Regolamento possono richiedere una demo gratuita di Docsuite Next.
