È tutto pronto per il nuovo appuntamento con il Forum Nazionale, il convegno annuale di ANORC che si terrà il prossimo 28 novembre presso il Teatro dell’Università eCampus di Roma.

L’incontro, strettamente riservato agli Associati, rappresenta ormai da alcuni anni l’evento più prestigioso e partecipato da tutti i componenti dell’ANORC, in virtù delle personalità coinvolte e del privilegio di dialogare dal vivo con le maggiori istituzioni nazionali su tematiche attualissime in materia di gestione documentale, protezione dei dati e security, da sempre molto care all’Associazione.
Lo ha confermato anche il Dott. Alessandro Selam, Direttore di ANORC, il quale ricorda che “il Forum ANORC, in principio, è stato istituito in formato digitale come risposta all’allontanamento dagli incontri in presenza determinato dalla pandemia. Con il ritorno alla normalità, è poi divenuto un’occasione esclusiva di confronto finalizzata ad alimentare il networking all’interno di ANORC tra i rappresentanti delle due anime che la compongono, quella professionale e quella imprenditoriale. Oggi il Forum nazionale rappresenta il momento più importante del nostro anno associativo che riproduce quello che è lo spirito originario di ANORC: promuovere il dialogo tra i Soci, le maggiori istituzioni nazionali e gli esperti di digitalizzazione sul futuro del nostro patrimonio informativo, anche in presenza.”

Il Teatro dell’Università eCampus è pronto ad accogliere oltre 120 professionisti ed esponenti delle maggiori realtà pubbliche e private provenienti da tutta Italia e numerosi ospiti, tra i maggiori esperti del settore. Ma il Forum sarà anche l’occasione per presentare un progetto formativo e di ricerca inedito di grande rilevanza, il Dipartimento DigitaLaw presso il CUIRIF, che vedrà il coinvolgimento di alcuni rappresentanti di ANORC, della Pontificia Università Antonianum, partner dell’Associazione, e della stessa Università eCampus che quest’anno ha avuto il piacere di ospitare l’evento. “Il Forum ANORC del 28 novembre prossimo è indubbiamente un evento di elevato interesse – ha dichiarato il Prof. Marco Margarita, Presidente dell’Università eCampus e tra i relatori del convegno – e ritengo lo sia ancor di più in quanto simboleggia l’inizio delle attività del CUIRIF – Centro Universitario Internazionale di Ricerca e Innovazione Integral Intelligence, che nasce a valle della convenzione sottoscritta tra la Pontificia Università Antonianum e l’Università degli Studi eCampus; detto Centro andrà a operare attraverso una serie di dipartimenti che spazieranno dal digital law all’architettura urbana sostenibile, dall’ecologia integrale alla formazione professionale, abbracciando altresì processi culturali, interreligiosi e interdisciplinari. Ritengo che sia ancor più significativo che l’inaugurazione del Centro e del dipartimento DigitaLaw, ad esso collegato, avvenga durante il convegno nazionale dell’ANORC grazie al coinvolgimento di alcune delle sue personalità più rappresentative.”

Durante l’evento sarà distribuito gratuitamente a tutti i partecipanti una copia cartacea dell’ebook “Intelligenza Integrale: un ponte tra Cultura, Storia e Diritto nel mondo digitale”, un’opera di grande valore nata dalla sinergica collaborazione tra Studio Legale Lisi, la Pontificia Università Antonianum, ANORC e 4.Manager, e da oggi liberamente fruibile su DIGEAT+.

Maggiori dettagli su programma e relatori della giornata sono consultabili dalla pagina ufficiale.

L’intelligenza artificiale sta bussando insistentemente alle porte della PA, per entrare quale strumento chiave nella gestione del patrimonio informativo pubblico. Di fronte all’ennesima sfida che il Sistema Paese è chiamato ad affrontare, la formazione e l’ aggiornamento professionale restano le uniche vere riserve alle quali attingere.
Sulle pagine di Agendadigitale.eu l’Avv. Andrea Lisi e la dott.ssa Francesca Cafiero propongono una riflessione sulla sfida della custodia del patrimonio informativo pubblico, centrale anche per garantire un servizio efficiente ai cittadini.

La gestione dei documenti digitali resta la vera sfida

La stiamo affrontando da quasi trenta anni, eppure oggi sembra quasi più semplice parlare di intelligenza artificiale, che di custodia documentale. Dimentichiamo che l’IA si nutre essenzialmente di dati e – se questi non sono affidabili – si crea un meccanismo distorto. Pensiamo a cosa potrebbe significare l’applicazione dell’IA nel contesto ancora confuso di molte PA italiane, magari con la convinzione – del tutto errata – che questo tipo di “intelligenza” possa essere la panacea in grado di risolvere una serie di problemi endemici del nostro sistema Paese.

Gestione e protezione dei dati personali: l’indagine di ANORC

Quanto è emerso dall’indagine realizzata da ANORC e presentata alla Camera dei deputati durante l’ultimo Forum del 7 dicembre è davvero sconfortante: neanche una pubblica amministrazione su dieci ha nominato un Responsabile della conservazione e solo l’8,5% ha pubblicato il Manuale della conservazione aggiornato alle Linee guida AgID. Eppure, in Italia i modelli di conservazione e protezione sono –sulla carta – tra i migliori in Europa: cosa manca davvero per applicarli? Evidentemente chi sia in grado di tradurre nella pratica queste architetture, magari monitorandone la qualità nel tempo.

L’articolo è consultabile da questa pagina

Il Direttore di ANORC, dott. Alessandro Selam, ha rilasciato per Diplanet.tech un’intervista incentrata sul tema della cyber sicurezza lato imprese. Si parla infatti del 2024 come “Anno della cybersecurity”, ma sembrano mancare ancora diversi tasselli per comporre il mosaico di competenze necessario per affrontare l’innovazione in piena sicurezza e nel rispetto della corretta gestione del patrimonio informativo.

D’altronde gli stessi risultati della seconda parte dell’indagine svolta da ANORC sugli obblighi normativi in materia di conservazione documentale da parte delle PA, presentati in occasione del Forum associativo dello scorso 7 dicembre ospitato la Camera dei deputati ci restituiscono un quadro sconfortante, cui il Direttore non manca di fare riferimento.

– Si parla del 2024 come “Anno della Cybersecurity”. Le imprese italiane sono preparate ad affrontare l’innovazione in merito alla corretta gestione dei dati?

La cybersicurezza è un argomento centrale quando si parla di corretta gestione del patrimonio informativo. Come ANORC, conosciamo lo stato dell’arte e possiamo affermare che il livello di conoscenza nei confronti di questo tema non sia sempre incoraggiante: in Italia manca una diffusa cultura del dato, sia in ambito pubblico, che privato ed è per questo che sempre più spesso assistiamo ad episodi di databreach, che mettono a nudo i limiti in termini di misure di sicurezza e procedure di gestione. Si avverte sempre più l’esigenza di ricorrere a professionisti preparati in grado di costruire modelli organizzativi che consentano un controllo (anche culturale) dei processi gestione dei dati e conseguente architettura dei servizi digitali.

D’altro canto, anche qualora si adottino tutti i presidi di sicurezza necessari, non ci si può mai sentire davvero al riparo: basti pensare al recente episodio che ha colpito proprio un’Associazione di Professionisti della privacy.

È possibile consultare l’intervista completa da questa pagina

Come tutelare con efficacia il patrimonio informativo e documentale del nostro Paese? La domanda torna a chiedere con urgenza una risposta a seguito dell’ultimo episodio: l’attacco hacker del gruppo russo Lockbit 3.0 contro la pubblica amministrazione. L’attacco, che risale alla prima mattina dell’8 dicembre, ha colpito Westpole, un cloud provider qualificato utilizzato da Pa Digitale SpA, software house che fornisce servizi a circa 1.300 enti della pubblica amministrazione. Ieri, l’Agenzia per la cybersicurezza nazionale ha fatto sapere che è avvenuto il ripristino di “tutti i servizi impattati, nonché il recupero dei dati oggetto dell’attacco per più di 700 dei soggetti pubblici nazionali e locali”.

COME EVITARE GLI ATTACCHI IN FUTURO?

Ma cosa è andato storto? E come poter evitare attacchi simili in futuro? Anorc, l’Associazione Nazionale Operatori e Responsabili della Custodia di contenuti digitali, sottolinea che Westpole è un “cloud provider qualificato, quindi astrattamente in regola con gli standard di sicurezza definiti per il nostro Sistema Paese”. Il danno è consistito in una “chiusura a chiave” di database e sistemi informativi, ma per la natura dell’attacco non dovrebbe aver determinato esfiltrazione di dati. Resta però un grave databreach “perché il danno si è propagato a dismisura, investendo sistemi informativi e documentali di tantissime PA, centrali e locali, le quali facevano affidamento su servizi di fornitori che utilizzavano Westpole, proprio perché è nell’elenco dei cloud provider migliori”, sottolinea Andrea Lisi, avvocato, esperto di digitalizzazione, privacy e diritto dell’informatica e presidente di Anorc Professioni.

Chi si è affidato a Westpole, quindi, non ha sbagliato. “PA digitale, uno dei fornitori che si è servito di questo provider qualificato, è conservatore iscritto ad Anorc. E son sicuro che il sistema di conservazione, strutturato secondo le Linee Guida AgID, abbia retto all’impatto del databreach- aggiunge Lisi- Per carità, nulla può essere sicuro al 100%, ma dalle caratteristiche che ho letto in merito alla tipologia di attacco informatico posso essere ragionevolmente convinto che un presidio di security, affidato a un robusto sistema archivistico digitale poggiato su un sistema di endo conservazione a norma, avrebbe retto”.
Il problema, dunque, non è PA digitale, ma resta la domanda di cosa fare per tutelare con efficacia il patrimonio informativo e documentale del nostro Sistema Paese. “Le regole della conservazione dei documenti informatici ci sono e vanno applicate e fatte applicare. E, se il sistema Paese si poggia interamente e inevitabilmente sul Cloud, allora la security deve essere affidata a misure elevatissime e monitorate costantemente (e non affidata a semplici autodichiarazioni)” conclude Lisi.

Per l’avvocato Luigi Foglia, segretario generale Anorc, “ormai attacchi alle PA sono praticamente quotidiani. Quello che ci fa preoccupare in questo caso è che sia stato colpito un fornitore qualificato come Westpole che dovrebbe avere tutte le carte in regola. Delle due, l’una: o il fornitore non ha rispettato tutte le regole oppure le stesse non sono in grado di assicurare la piena protezione del nostro patrimonio informativo. Probabilmente è arrivato il momento di avviare una profonda riflessione sull’efficacia delle regole che dovrebbero assicurare la tenuta dei sistemi anche alla luce delle numerose forme di attacco sulla scena e sull’attività di vigilanza, per fare i n modo che le qualifiche non si trasformino in mere dichiarazioni”.

[Comunicato stampa a cura di Agenzia DiRE]

Anche quest’anno ANORC ha deciso di sostenere Sicurezza 2023, l’evento internazionale che si svolgerà a Fiera Milano dal 15 al 17 novembre dedicato alla security, all’innovazione tecnologica e alle soluzioni integrate al servizio di imprese, associazioni e di tutte le realtà coinvolte nei settori di riferimento.

L’Associazione, che sarà presente con uno stand dedicato, ha confermato la volontà di contribuire alla cultura del settore in termini di sicurezza del dato e dei sistemi di gestione documentale, temi ormai strategici per il mercato e i suoi professionisti, alla luce della crescente diffusione di soluzioni digitali sempre più interconnesse. Lo ha confermato anche il Direttore generale di ANORC, Dott. Alessandro Selam, in un’intervista rilasciata sulla pagina ufficiale dell’evento.

La sicurezza digitale per ANORC

[Intervista apparsa originariamente su Sicurezza 2023]

Uno dei passaggi più rilevanti del Data Act– il regolamento Ue sul quale la Presidenza del Consiglio europeo e l’europarlamento hanno appena trovato un accordo- riguarda “gli obblighi di trasparenza e interoperabilità sui preziosissimi dati acquisiti per i fornitori di dispositivi digitali e servizi connessi. Tali fornitori potrebbero di fatto essere obbligati, in certi casi, a condividere sia con l’utente (in base al diritto di accesso e portabilità già garantiti dal GDPR), ma anche con altri soggetti, tra cui soggetti pubblici o altri operatori economici privati, l’ingente volume di dati generati dai prodotti connessi“. E’ quanto spiega alla Dire Sarah Ungaro, Vice presidente di Anorc Professioni.

IL NUOVO DATA ACT

“Il nuovo Data Act- continua l’esperta in diritto dell’informatica e privacy- costringerà a rileggere in tale prospettiva anche alcuni aspetti che finora sono stati disciplinati dalla Direttiva 96/9/CE, relativa alla tutela giuridica delle banche di dati e l’applicazione del c.d. diritto ‘sui generis’. In effetti, l’obiettivo dichiarato del Data Act è introdurre un quadro normativo che favorisca nell’ambito UE lo sviluppo di un’economia dei dati equa, garantendo l’accesso e l’uso dei dati, anche nei rapporti B2B tra le imprese e B2G tra imprese e amministrazioni pubbliche (basti pensare che molti prodotti e dispositivi connessi, ad esempio nei settori delle infrastrutture civili, della produzione di energia o dei trasporti, registrano dati sull’ambiente circostante o sull’interazione con altri elementi dell’infrastruttura, senza alcuna azione da parte dell’utente o di terzi).

Tali obiettivi sono perseguiti attraverso l’introduzione nel Data Act di specifici obblighi di trasparenza per i fornitori di dispositivi e servizi connessi, imponendo a tali operatori di fornire agli utenti – commerciali e non solo – una descrizione dei dati generati dalla fornitura del servizio. In sintesi- continua Ungaro- il Data Act introdurrà una nuova regolamentazione per un trattamento economicamente più equo e trasparente – e, dunque, maggiormente responsabile – dei dati, anche nei casi in cui i set di dati comprendano una combinazione di dati personali e non personali”.

Tra l’altro il regolamento è in linea con gli obiettivi perseguiti dal Sottosegretario di Stato con delega all’innovazione tecnologica, Alessio Butti, il cui lavoro viene costantemente affiancato da un Comitato di esperti composto da alcuni esponenti di spicco di ANORC, specialisti dei settori privacy, digitalizzazione ed archivistica. Lo stesso senatore Butti, ad oggi, si ritiene soddisfatto dei lavori portati avanti e dei risultati raggiunti che stanno contribuendo a sviluppare un mercato sempre più competitivo e attento al valore strategico dei dati.

[Articolo a cura di Agenzia Stampa DiRE]

“Procedura con la quale si realizza una copia di sicurezza di un certo insieme di dati”. E’ la definizione della Treccani di backup. Proprio il 31 marzo di ogni anno è la Giornata mondiale dedicata a sensibilizzare le persone sulla sicurezza e la cura dei propri dati: sono milioni e milioni quelli che vanno persi ogni anno a causa di blocchi di computer o delle migliaia di cellulari persi o rubati. Senza contare l’aumento di questi anni dei cyberattacchi, anche a importanti infrastrutture informatiche del nostro Paese.

“Questa ricorrenza è utile a ricordare l’importanza di adottare e rivalutare periodicamente le adeguate misure di sicurezza per custodire e proteggere i documenti, le informazioni e i dati, tra cui quelli personali – ricorda appunto l’avvocato Sarah Ungaro, Vice presidente di Anorc professioni, esperto in Diritto dell’informatica e protezione dei dati – Ciò non solo in adempimento a quanto indicato dal Gdpr, ma anche per assicurare tempestive azioni di disaster recovery in ottica di continuità operativa e business continuity in caso di anomalia, incidenti o data breach”.

Ungaro è anche la coordinatrice della terza classroom del ‘Training’, il nuovo segmento ‘pratico’ del Mastercourse Executive di Anorc, percorso d’eccellenza dedicato alla formazione dei Responsabili della conservazione di oggetti digitali, una figura sempre più richiesta nel mercato del lavoro per le sue competenze interdisciplinari e per la sua estrema attualità. Il ‘Training’ si compone di 4 classroom, pensate come dei veri e propri gruppi di lavoro verticalizzati su: le Linee Guida di AgID, le criticità contrattuali legate al trasferimento di dati personali in Paesi extra Ue, la gestione degli archivi in ambito sanitario e le prossime novità del regolamento eIDAS. Il percorso verrà trasmesso esclusivamente in streaming in 4 date: 5, 12, 19 e 27 aprile (che corrispondono alle 4 classroom) e ogni incontro verrà coordinato rispettivamente dall’avvocato Luigi Foglia, consulente senior, esperto in Diritto dell’informatica e Archivi digitali, dall’avvocato Andrea Lisi, direttore scientifico del Mastercourse, esperto in Diritto applicato all’informatica e Protezione dei dati, appunto l’avvocato Sarah Ungaro, e infine dall’ingegner Giovanni Manca, esperto di Trasformazione digitale e presidente di Anorc.

Il ‘Training’ si caratterizza per il suo approccio pratico e per il confronto diretto con i docenti. Il percorso completo del Mastercourse si completerà poi con il ‘Meddle’, due giorni di full immersion in un campus esclusivo a Milano il 17 e 18 maggio, evento a numero chiuso che offrirà ai partecipanti una nuova esperienza diretta con case study, workshop e business game, e la possibilità di networking sempre con i migliori professionisti del settore.

Il Mastercourse ha ricevuto il patrocinio di Agenzia per l’Italia digitale (AgID), Agi, Aipsi, Andip, Aisis, Clusit, IbiMI, Iip, Procedamus, Sit, S.G.I., Themis, Trust&Wealth Management Journal.

Per consultare la pagina dedicata all’intero percorso:

Comunicato stampa a cura di Agenzia DiRE

“Il tema più importante è quello della consapevolezza. Occorre far percepire a bambini e ragazzi le potenziali implicazioni e i rischi di alcune azioni online, soprattutto legate alla condivisione di immagini, video o altri contenuti relativi a dati personali in chat o sui social network”.

In occasione della Giornata mondiale contro il bullismo e cyberbullismo l‘avvocato Sarah Ungaro, consulente senior dello Studio legale Lisi, vice presidente di Anorc Professioni, interviene su Agenzia DiRE.

“Purtroppo gli adulti di oggi non sono quasi mai abbastanza preparati nel fornire le giuste indicazioni o raccomandazioni ai loro figli o ai loro studenti – continua l’esperta- perché si tratta di fenomeni le cui dinamiche risultano nuove e in relazione alle quali gli adulti non hanno un bagaglio di esperienza da trasmettere, rispetto a quanto vissuto da ragazzini. Senza contare che i servizi offerti dalle piattaforme non si limitano al mero scambio di contenuti, ma in alcuni casi diventano ‘parte attiva’ nell’acquisizione di dati e informazioni personali anche da parte di minori, come ci dimostra il recentissimo caso di Replika, un servizio di chatbot basato su intelligenza artificiale, che – presentandosi agli utenti come una sorta ‘Amico virtuale’ – avrebbe acquisito anche dati e immagini di minori, forniti da questi ultimi alla piattaforma nell’interazione con la stessa. Tale piattaforma, infatti, è stata oggetto di un apposito provvedimento del nostro Garante per la protezione dei dati personali, che ha disposto la limitazione provvisoria del trattamento dei dati personali degli utenti stabiliti nel territorio italiano”.

“Tuttavia– prosegue l’avvocato Ungaro- ciò deve farci riflettere, poiché – se tutti, almeno una volta da bambini ci siamo sentiti dire di ‘non dare confidenza agli sconosciuti’ – nessuno, purtroppo, raccomanda ai ragazzini di oggi di ‘”non condividere i propri dati personali online”. Ovviamente, in tale scenario, è importante sensibilizzare i minori al tema della protezione dei propri dati personali e renderli consapevoli, da un lato, che proteggerli significa tutelare se stessi e i propri diritti, dall’altro, che alcune azioni compiute in chat e sulle piattaforme online, non solo possono essere lesive dei diritti altrui, ma possono configurare degli illeciti penalmente rilevanti” conclude.

Comunicato stampa a cura di Agenzia DiRE

All’indomani dell’ennesimo attacco hacker che ha colpito l’Italia e l’Europa, risulta sempre più evidente come il nostro Paese riversi in una significativa insicurezza digitale, specchio non solo di una forte arretratezza tecnologica, ma anche di una gravissima carenza culturale.

Ne parla l’avvocato ed esperto di diritto dell’informatica Andrea Lisi, presidente di Anorc Professioni, ad Agenzia DiRE:

“Il rischio, se non si inverte la situazione, è quello di avere un Paese infarcito di innovazione digitale, ma che è un colabrodo a livello di security“. È l’allarme lanciato dall’avvocato ed esperto di diritto dell’innovazione Andrea Lisi, presidente di Anorc Professioni, all’indomani dell’ennesimo attacco hacker che ha creato importanti disagi in Europa e in Italia. “A quanto si legge- spiega parlando con l’agenzia Dire- gli attacchi dipendono da un ‘ransomware già in circolazione’ e che ha già ‘compromesso’ diversi sistemi nazionali. L’attacco ha preso di mira i server VMware ESXi, sfruttando una vulnerabilità che era stata già individuata e risolta nel febbraio 2021 da Vmware, ma molti non hanno applicato la correzione indicata dall’azienda attraverso i necessari aggiornamenti, lasciando i propri sistemi facilmente hackerabili. Si stanno cercando di contenere i continui attacchi attraverso un’azione corretta di comunicazione degli esperti di Acn, i quali hanno cercato di allertare in queste ore diversi soggetti – istituzioni, aziende pubbliche e private – i cui sistemi risultano ancora oggi esposti e, quindi, vulnerabili”.

PER APPROFONDIRE | Libero mail e Virgilio in blackout: senza misure di sicurezza indispensabili, il Paese rischia la paralisi

Comunicato stampa a cura di Agenzia DiRE

Dal prossimo 19 gennaio le imprese e le amministrazioni che vorranno qualificare i propri servizi e le proprie infrastrutture cloud destinate alle PA dovranno rivolgersi all’Agenzia per la Cybersicurezza Nazionale e non più ad AgID (al quale resterà la sola gestione del Marketplace dei Conservatori).

Si avvia, quindi, a pieno compimento il passaggio di consegne stabilito con decreto del Presidente del Consiglio dei ministri 1° settembre 2022, pubblicato nella Gazzetta Ufficiale della Repubblica italiana il 20 ottobre 2022, n. 246, recante “Modalità e termini per assicurare il trasferimento delle funzioni, dei beni strumentali e della documentazione dall’Agenzia per l’Italia Digitale e dal Dipartimento per la trasformazione digitale all’Agenzia per la cybersicurezza nazionale”.

In vista di tale passaggio, con Decreto direttoriale n. 29 del 2 gennaio 2023, il Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale d’intesa con il Dipartimento della Trasformazione Digitale della Presidenza del Consiglio dei ministri, ha individuato le modalità con le quali le imprese, a partire dal 19 gennaio, potranno mantenere le qualificazioni già ottenute o richiederne di nuove.

Periodo transitorio

Il Decreto 29/2023 mira principalmente a regolare la qualificazione Cloud in un periodo transitorio che partendo dal 19 gennaio dovrebbe concludersi il prossimo 31 luglio.

Con un successivo Decreto saranno poi individuate le nuove modalità e le procedure di qualificazione che disciplineranno il regime ordinario a partire dal 1° agosto 2023.

Riconoscimento della qualificazione precedentemente ottenuta

Durante il periodo transitorio le infrastrutture dei Cloud Service Provider e i servizi Cloud qualificati da AgID entro il 18 gennaio 2023 saranno qualificati di diritto secondo i riferimenti della Determina ACN n. 307 del 18 gennaio 2022 con le seguenti specifiche:

– le infrastrutture dei Cloud Service Provider qualificate da AgID come tipo A, B o C ai sensi della circolare 2 del 9 aprile 2018 saranno considerate come Infrastrutture dei servizi Cloud di livelli 1 (“QI1”);

– i servizi qualificati da AgID come IaaS, PaaS o SaaS ai sensi della circolare 2 del 9 aprile 2018 saranno considerati Servizi Cloud qualificati di livello 1 (“QC1”) e tipologia di servizio, rispettivamente, IaaS, PaaS o SaaS.

Tali qualificazioni QI1 e QC1 saranno automaticamente inserite nel Marketplace Cloud e saranno valide fino al 18 gennaio 2024.

In deroga a quanto previsto dalla Determina ACN n. 307 del 18 gennaio 2022, le qualificazioni QI1 e QC1, riconosciute secondo il regime transitorio, consentiranno di trattare non solo i dati definiti dalla stessa Determina come ordinari ma anche quelli critici e quelli strategici  che richiederebbero qualifiche di livello superiore: tale deroga avrà però efficacia solo fino al 30 aprile 2023.

Richieste per livello superiore e nuove richieste di qualificazione

Dal 19 gennaio 2023 potranno essere presentate ad ACN anche nuove richieste di qualificazione per Servizi o Infrastrutture Cloud non qualificati ovvero richieste di riconoscimento di un livello superiore a quello base automaticamente riconosciuto per Servizi o Infrastrutture Cloud già qualificati da AgID. Le richieste dovranno essere effettuate attraverso la compilazione di un apposito modello (allegato al Decreto direttoriale n. 29/2023) nel quale dovrà essere dichiarato il possesso dei requisiti e delle caratteristiche previste, ai sensi della Determina ACN n. 307 del 18 gennaio 2022, per il livello di qualificazione richiesto. La dichiarazione, debitamente compilata, dovrà essere inviata a mezzo PEC all’indirizzo acn@pec.acn.gov.it.

Le nuove qualificazioni ovvero il riconoscimento di un livello di qualificazione superiore al primo saranno validi per 12 mesi a decorrere dalla data di concessione.

Collaborazione delle PPAA che trattano dati “critici” o “strategici”

Le pubbliche amministrazioni che precedentemente al 19 gennaio 2023 hanno affidato a fornitori di Servizi Cloud dati e servizi classificati come “critici” o “strategici” dall’art. 3 del Regolamento “Cloud della PA”, sono tenute obbligatoriamente ad informare i fornitori stessi entro il 28 febbraio della necessità di ottenere il livello di qualifica richiesto per la tipologia dei dati o servizi trattati entro la data del 30 aprile 2023.
Entro il 28 febbraio 2023, inoltre, le pubbliche amministrazioni, che precedentemente al 19 gennaio 2023 hanno affidato a fornitori di Servizi Cloud dati e servizi classificati come “critici” o “strategici”, sono tenute a comunicare all’ACN a mezzo PEC (acn@pec.acn.gov.it):
• le informazioni relative al fornitore e al servizio utilizzato,
• il riferimento “ID Scheda”, che identifica univocamente il Cloud Service Provider o il Servizio Cloud all’interno del Marketplace Cloud di AgID,
• l’identificazione dei dati e/o dei servizi dell’amministrazione classificati come “critici” o “strategici” dall’art. 3 del Regolamento “Cloud della PA” affidati a ciascun fornitore.

Verifiche in costanza di regime transitorio

In seguito al riconoscimento delle qualificazioni accertate da AgID precedentemente al 18 gennaio 2023 e al rilascio di nuove qualificazioni da parte di ACN, a partire dal 19 gennaio 2023 la stessa Agenzia per la Cybersicurezza Nazionale potrà procedere a verifiche per accertare il possesso e il mantenimento dei requisiti previsti per i fornitori di servizi o infrastrutture Cloud alla PA dall’allegato 1 della Determina ACN n. 307 del 18 gennaio 2022 con riferimento alla tipologia e al livello di qualificazione ottenuto.

Qualora in seguito alle verifiche dovessero emergere elementi che determineranno il mancato rispetto dei requisiti previsti dalla normativa, ACN potrà diffidare il fornitore affinché adempia al rispetto dei requisiti prescritti fino ad arrivare alla sospensione della qualifica o alla sua revoca.

Per maggiori informazioni, ti invitiamo a consultare il portale dell’Agenzia per la Cybersicurezza Nazionale

Foto di copertina: Pexels.com