Qualificazione di servizi e infrastrutture cloud della PA: le novità da gennaio

Dal prossimo 19 gennaio le imprese e le amministrazioni che vorranno qualificare i propri servizi e le proprie infrastrutture cloud destinate alle PA dovranno rivolgersi all’Agenzia per la Cybersicurezza Nazionale e non più ad AgID (al quale resterà la sola gestione del Marketplace dei Conservatori).

Si avvia, quindi, a pieno compimento il passaggio di consegne stabilito con decreto del Presidente del Consiglio dei ministri 1° settembre 2022, pubblicato nella Gazzetta Ufficiale della Repubblica italiana il 20 ottobre 2022, n. 246, recante “Modalità e termini per assicurare il trasferimento delle funzioni, dei beni strumentali e della documentazione dall’Agenzia per l’Italia Digitale e dal Dipartimento per la trasformazione digitale all’Agenzia per la cybersicurezza nazionale”.

In vista di tale passaggio, con Decreto direttoriale n. 29 del 2 gennaio 2023, il Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale d’intesa con il Dipartimento della Trasformazione Digitale della Presidenza del Consiglio dei ministri, ha individuato le modalità con le quali le imprese, a partire dal 19 gennaio, potranno mantenere le qualificazioni già ottenute o richiederne di nuove.

Periodo transitorio

Il Decreto 29/2023 mira principalmente a regolare la qualificazione Cloud in un periodo transitorio che partendo dal 19 gennaio dovrebbe concludersi il prossimo 31 luglio.

Con un successivo Decreto saranno poi individuate le nuove modalità e le procedure di qualificazione che disciplineranno il regime ordinario a partire dal 1° agosto 2023.

Riconoscimento della qualificazione precedentemente ottenuta

Durante il periodo transitorio le infrastrutture dei Cloud Service Provider e i servizi Cloud qualificati da AgID entro il 18 gennaio 2023 saranno qualificati di diritto secondo i riferimenti della Determina ACN n. 307 del 18 gennaio 2022 con le seguenti specifiche:

– le infrastrutture dei Cloud Service Provider qualificate da AgID come tipo A, B o C ai sensi della circolare 2 del 9 aprile 2018 saranno considerate come Infrastrutture dei servizi Cloud di livelli 1 (“QI1”);

– i servizi qualificati da AgID come IaaS, PaaS o SaaS ai sensi della circolare 2 del 9 aprile 2018 saranno considerati Servizi Cloud qualificati di livello 1 (“QC1”) e tipologia di servizio, rispettivamente, IaaS, PaaS o SaaS.

Tali qualificazioni QI1 e QC1 saranno automaticamente inserite nel Marketplace Cloud e saranno valide fino al 18 gennaio 2024.

In deroga a quanto previsto dalla Determina ACN n. 307 del 18 gennaio 2022, le qualificazioni QI1 e QC1, riconosciute secondo il regime transitorio, consentiranno di trattare non solo i dati definiti dalla stessa Determina come ordinari ma anche quelli critici e quelli strategici che richiederebbero qualifiche di livello superiore: tale deroga avrà però efficacia solo fino al 30 aprile 2023.

Richieste per livello superiore e nuove richieste di qualificazione

Dal 19 gennaio 2023 potranno essere presentate ad ACN anche nuove richieste di qualificazione per Servizi o Infrastrutture Cloud non qualificati ovvero richieste di riconoscimento di un livello superiore a quello base automaticamente riconosciuto per Servizi o Infrastrutture Cloud già qualificati da AgID. Le richieste dovranno essere effettuate attraverso la compilazione di un apposito modello (allegato al Decreto direttoriale n. 29/2023) nel quale dovrà essere dichiarato il possesso dei requisiti e delle caratteristiche previste, ai sensi della Determina ACN n. 307 del 18 gennaio 2022, per il livello di qualificazione richiesto. La dichiarazione, debitamente compilata, dovrà essere inviata a mezzo PEC all’indirizzo acn@pec.acn.gov.it.

Le nuove qualificazioni ovvero il riconoscimento di un livello di qualificazione superiore al primo saranno validi per 12 mesi a decorrere dalla data di concessione.

Collaborazione delle PPAA che trattano dati “critici” o “strategici”

Le pubbliche amministrazioni che precedentemente al 19 gennaio 2023 hanno affidato a fornitori di Servizi Cloud dati e servizi classificati come “critici” o “strategici” dall’art. 3 del Regolamento “Cloud della PA”, sono tenute obbligatoriamente ad informare i fornitori stessi entro il 28 febbraio della necessità di ottenere il livello di qualifica richiesto per la tipologia dei dati o servizi trattati entro la data del 30 aprile 2023.
Entro il 28 febbraio 2023, inoltre, le pubbliche amministrazioni, che precedentemente al 19 gennaio 2023 hanno affidato a fornitori di Servizi Cloud dati e servizi classificati come “critici” o “strategici”, sono tenute a comunicare all’ACN a mezzo PEC (acn@pec.acn.gov.it):
• le informazioni relative al fornitore e al servizio utilizzato,
• il riferimento “ID Scheda”, che identifica univocamente il Cloud Service Provider o il Servizio Cloud all’interno del Marketplace Cloud di AgID,
• l’identificazione dei dati e/o dei servizi dell’amministrazione classificati come “critici” o “strategici” dall’art. 3 del Regolamento “Cloud della PA” affidati a ciascun fornitore.

Verifiche in costanza di regime transitorio

In seguito al riconoscimento delle qualificazioni accertate da AgID precedentemente al 18 gennaio 2023 e al rilascio di nuove qualificazioni da parte di ACN, a partire dal 19 gennaio 2023 la stessa Agenzia per la Cybersicurezza Nazionale potrà procedere a verifiche per accertare il possesso e il mantenimento dei requisiti previsti per i fornitori di servizi o infrastrutture Cloud alla PA dall’allegato 1 della Determina ACN n. 307 del 18 gennaio 2022 con riferimento alla tipologia e al livello di qualificazione ottenuto.

Qualora in seguito alle verifiche dovessero emergere elementi che determineranno il mancato rispetto dei requisiti previsti dalla normativa, ACN potrà diffidare il fornitore affinché adempia al rispetto dei requisiti prescritti fino ad arrivare alla sospensione della qualifica o alla sua revoca.

Per maggiori informazioni, ti invitiamo a consultare il portale dell’Agenzia per la Cybersicurezza Nazionale

Foto di copertina: Pexels.com

25° Mastercourse ANORC

In partenza a gennaio in versione executive

Riparte a gennaio il Mastercourse di ANORC per la formazione dei Responsabili della conservazione e conservatori di oggetti digitali. Un percorso storico per il settore, giunto alla sua 25esima edizione, che per l’occasione evolve in versione executive proponendo tre segmenti formativi in altrettante diverse modalità:

“Lecture“ 18 ore in e-learning | disponibile da gennaio
“Training“ 16 ore in streaming | online ad aprile
“Meddle“ 2 giorni di full immersion in un campus a Milano | 17 e 18 maggio

SCOPRI SUBITO LA NOVITA'

Cookie	Durata	Descrizione
ApplicationGatewayAffinity	session	This cookie is set by the Laravel Framework. This cookie is used for managing browsing sessions. It enables keeping the web browser traffic assigned to single server.
ARRAffinity	session	ARRAffinity cookie is set by Azure app service, and allows the service to choose the right instance established by a user to deliver subsequent requests made by that user.
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
ApplicationGatewayAffinityCORS	session	No description available.
ARRAffinitySameSite	session	No description available.
BIGipServerfront_contenuti_statici	session	No description
captcha-cookie	1 day	No description
cookielawinfo-checkbox-pubblicita-e-marketing	1 year	No description

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92775180_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months 8 hours	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Qualificazione di servizi e infrastrutture cloud della PA: le novità da gennaio

Periodo transitorio

Riconoscimento della qualificazione precedentemente ottenuta

Richieste per livello superiore e nuove richieste di qualificazione

Collaborazione delle PPAA che trattano dati “critici” o “strategici”

Verifiche in costanza di regime transitorio

Cerchi altre informazioni?

Sei nel posto giusto!

+39 0832 256065

Segreteria

Direzione

PEC

Ufficio Comunicazione

Ufficio Stampa

Le nostre sedi

Lecce

Sede principale

Milano

Sede secondaria

Roma

Sede secondaria

Biella

Sede secondaria

Newsletter "La Voce digital(e)"