I punti salienti del nuovo regolamento cloud per la Pubblica Amministrazione

Due punti-chiave che muteranno il sistema dei servizi cloud per le pubbliche amministrazioni italiane. Due novità che entreranno in vigore dal prossimo 1° agosto, con l’avvio del regime ordinario che dovrà seguire i paletti e il perimetro scritto nero su bianco all’interno del nuovo regolamento cloud per le PA. Il nuovo quadro normativo per questo settore – strategico per l’Italia e facente parte di una delle missioni del Piano Nazionale di Ripresa e Resilienza (PNRR) – è frutto di un accordo tra la ACN (l’Agenzia per la Cybersicurezza Nazionale, guidata dal direttore generale Bruno Frattasi) e il Dipartimento per la trasformazione digitale (guidato dal Sottosegretario Alessio Butti).

LEGGI ANCHE > Sta per entrare in vigore il Regolamento Cloud per la Pubblica Amministrazione

Oltre alla nuova nomenclatura dei livelli di certificazione ottenuti, occorre sottolineare come ogni singola Pubblica Amministrazione potrà – come annunciato da ACN – accedere a un catalogo online per individuare quali servizi cloud qualificati abbiano ottenuto la certificazione e i rispettivi “livelli” di qualificazioni concessi (al termine di un processo di verifica operato proprio dalla suddetta Agenzia). Questo elemento rappresenta la forma più tangibile di queste novità, in quanto consente alle PA di verificare se un determinato servizio cloud risponda al livello di classificazione necessario (in termini di sicurezza, ma non solo, sono stati individuati tre livelli: Strategico, Critico, Ordinario) per essere conformi al regolamento.

Dunque, se una PA ha necessità di rispettare i requisiti individuati in un determinato livello, potrà consultare l’elenco e trovare quello conforme alla propria attività.

Regolamento cloud PA, quali sono i punti salienti

Questo, però, è solo uno dei punti salienti che emergono dal testo del nuovo regolamento cloud PA. Perché se da una parte si facilita la ricerca da parte della Pubblica Amministrazione, una grande novità è rappresentata anche nella digitalizzazione totale del processo di qualificazione dei servizi cloud: le aziende che offrono questi servizi/prodotti potranno avviare l’iter per ottenere la qualificazione direttamente online, passando attraverso il sito di ACN. Questo aspetto, in linea con la missione del PNRR, dovrebbe accelerare le pratiche e ridurre la burocrazia.

Ma non c’è solamente questo. Ci sono anche due novità che riguardano la differenziazione di due concetti che sono alla base della possibilità di ottenere una qualificazione per quel che riguarda i servizi cloud utilizzabili dalla Pubblica Amministrazione:

• la qualifica dei servizi cloud erogati da fornitori privati, che prevede una verifica di conformità ex-ante a cui fa seguito la pubblicazione della relativa scheda sul catalogo ACN;
• l’adeguamento delle infrastrutture (a prescindere dalla natura del soggetto responsabile) e dei servizi erogati da operatori pubblici, basata sulla dichiarazione di conformità inviata ad ACN rispetto ai requisiti previsti.

Ovviamente, non si tratta di verifiche una tantum, visto che il nuovo regolamento prevede una durata massima di 36 mesi, durante i quali l’ACN effettuerà un monitoraggio ex-post per verificare il mantenimento degli standard e dei requisiti necessari per poter operare all’interno del settore dei servizi cloud destinati alla Pubblica Amministrazione.