Il Regolamento per la cybersicurezza di infrastrutture digitali e servizi cloud per la PA in Gazzetta Ufficiale

Posted onAuthorDaniele Giordano

Tempo di lettura stimato:1 Minuti, 58 Secondi

Il Regolamento per le infrastrutture digitali e i servizi cloud per la pubblica amministrazione, emanato il 27 giugno 2024, è stato pubblicato nella Gazzetta Ufficiale n. 163 del 13 luglio 2024. Questo regolamento è stato redatto ai sensi dell’articolo 33-septies, comma 4, del Decreto Legge 18 ottobre 2012, n. 179, convertito con modificazioni dalla Legge 221/2012, e mira a stabilire standard minimi di sicurezza, efficienza energetica e affidabilità per le infrastrutture digitali e i servizi cloud delle PA.

Il Regolamento ha diversi obiettivi chiave:

  • definire i livelli minimi di sicurezza, capacità elaborativa e risparmio energetico per le infrastrutture digitali e i servizi cloud delle PP.AA.;
  • stabilire le caratteristiche di qualità, sicurezza, performance, scalabilità, interoperabilità e portabilità per i servizi cloud delle PP.AA.;
  • indicare i termini e le modalità per le migrazioni digitali delle PP.AA, incluso il processo di classificazione dei dati e dei servizi digitali;
  • delineare le modalità per la qualificazione dei servizi cloud e l’adeguamento delle infrastrutture digitali delle PP.AA.

Ogni pubblica amministrazione deve mantenere aggiornato un elenco dei propri dati e servizi, classificandoli in tre livelli di criticità: ordinari, critici e strategici. Questo elenco deve essere aggiornato e inviato all’Agenzia per la Cybersicurezza Nazionale (ACN) almeno ogni due anni.

L’ACN ha definito livelli minimi di cybersicurezza per le infrastrutture digitali delle PP.AA, che devono essere periodicamente aggiornati. Questi livelli devono essere garantiti dall’infrastruttura digitale o dai componenti forniti da terze parti. Le caratteristiche di base dei servizi cloud sono suddivise in tre classi di rilevanza: ordinari, critici e strategici.

Le pubbliche amministrazioni devono migrare i loro dati e servizi digitali verso infrastrutture che rispettino i livelli minimi di sicurezza e i requisiti del regolamento. Dopo la migrazione, le PP.AA. devono predisporre un piano di migrazione secondo il modello adottato dal Dipartimento per la Trasformazione Digitale (DTD) e l’ACN.

Per i fornitori di servizi cloud, sia pubblici che privati, è necessario adeguarsi ai requisiti definiti nel Regolamento. Le infrastrutture digitali e i servizi cloud conformi saranno pubblicati nel catalogo delle infrastrutture e dei servizi cloud per le PP.AA, gestito dall’ACN. Questo catalogo sarà aggiornato periodicamente per riflettere le conformità accertate.

I fornitori di servizi cloud privati devono qualificare i loro servizi secondo i livelli indicati nel Regolamento, inviando le domande di qualificazione all’ACN per la verifica della conformità entro 60 giorni dalla ricezione.