Torna alla HomePage

Pronti i requisiti chiave della PA digitale

Dopo la Strategia Cloud Italia arrivano le indicazioni mirate dell'Agenzia per la cybersicurezza nazionale: i requisiti che fornitori e servizi cloud devono soddisfare

Autore: Redazione ImpresaCity

Nell'ambito del PNRR, la PA italiana ha deciso di darsi regole chiare e definite per quanto riguarda la sicurezza e i livelli di servizio dei servizi cloud che i suoi organismi possono adottare. Queste regole sono una parte fondamentale della Strategia Cloud Italia, pubblicata qualche tempo fa. Vi si delineano i criteri di classificazione di dati e servizi che gli enti pubblici possono - e soprattutto non possono - migrare in cloud. E le caratteristiche della infrastruttura ad alta affidabilità - il Polo Strategico Nazionale - che ospiterà i servizi strategici e critici del cloud della PA.

Mancava però ancora una classificazione ben dettagliata di questi criteri, in modo che gli enti pubblici ora possano avere una idea più chiara del loro possibile raggio d'azione in cloud. Serviva anche definire i modi in cui le varie amministrazioni locali possono indicare allo Stato quali dati intendono portare nella "nuvola" e quali servizi intendono erogare online sempre basandosi sul cloud.

A colmare queste ed altre lacune ci hanno pensato due atti specifici dell'Agenzia per la cybersicurezza nazionale. Uno è relativo alla predisposizione, da parte di un qualsiasi ente della PA nazionale, dell'elenco e della classificazione di dati e di servizi pubblici da portare in cloud. Le amministrazioni potranno compilare un questionario on-line e, una volta completato, inviarlo all'Agenzia per la cybersicurezza nazionale per la validazione di quanto intendono fare.

Un secondo atto, anche più importante, definisce con precisione i requisiti aggiuntivi di qualità, sicurezza, performance e scalabilità che i servizi cloud devono soddisfare per aderire alle quattro classificazioni di criticità indicate nella Strategia Cloud Italia. I requisiti sono "aggiuntivi" rispetto a quelli minimi per le infrastrutture digitali della PA, definiti lo scorso dicembre da AgID.

Il documento più importante, lato implementazione, è l'allegato al secondo atto. Un ricco documento di una sessantina di pagine che delinea le caratteristiche di operatività e sicurezza dei servizi cloud e delle infrastrutture offerte alla PA italiana. Generalmente non si tratta di requisiti "estremi" - il polo chiave della PA digitale sarà il PSN, non il cloud generico - ma combinati insieme richiedono che un fornitore della PA abbia una visione e una gestione del cloud e delle infrastrutture evolute a tutto tondo. Spaziando dalla cifratura alle policy di sicurezza e recovery, sino a una trasversale gestione del rischio.

Torna alla HomePage