servizi pubblici

Il Regolamento Cloud visto dai piccoli Comuni: obiettivi, strategie, scadenze

La sfida del cloud si prospetta molto interessante nel 2022. Proviamo a incrociare Regolamento Cloud e Strategia Cloud Italia guardandole dal punto di vista degli enti locali (comuni medio piccoli)

18 Gen 2022
Andrea Tironi

Project Manager - Digital Transformation

Dando seguito all’articolo sulla Strategia Cloud e all’articolo su come fare per bene il passaggio al Cloud negli enti di piccole dimensioni, analizziamo ora il Regolamento Cloud, pubblicato il 15 dicembre 2021 mediante provvedimento: 628 DT DG 628 – 15 dic 2021 – Regolamento servizi cloud.

Pur non avendo la pretesa di essere esaustivi, cerchiamo di incrociare Regolamento Cloud e Strategia Cloud Italia guardandole dal punto di vista degli enti locali (comuni medio piccoli).

Fig. 1 – Schematizzazione Strategia Cloud della PA

Strategia Cloud Italia, tutte le regole per applicarla in modo corretto

Il Regolamento Cloud

Il regolamento è composto da 14 articoli.

In particolare, il documento (nell’articolo 2) indica i suoi obiettivi:

  • stabilire i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la pubblica amministrazione;
  • definire le caratteristiche di qualità, di sicurezza, di performance e scalabilità, interoperabilità, portabilità dei servizi cloud per la pubblica amministrazione;
  • individuare i termini e le modalità con cui le amministrazioni devono effettuare le migrazioni. A tal fine stabilisce il processo e le modalità per la classificazione dei dati e dei servizi digitali;
  • individuare le modalità del procedimento di qualificazione dei servizi cloud per la pubblica amministrazione.

Ci concentreremo sul terzo punto sopra elencato.

I tre tipi di dati della PA e i servizi indicati nella Strategia

Il documento (regolamento) definisce i prossimi passaggi sulla roadmap cloud, che partendo dalla Strategia Cloud Italia, delinea 3 tipi di classi in cui verranno suddivisi i dati della pubblica amministrazione (PA), ribaditi nell’articolo 3:

WHITEPAPER
Processi più snelli, più fluidi, più efficienti: i vantaggi dell’Industria 4.0
CIO
Cloud
  1. strategici, se la loro compromissione può determinare un pregiudizio alla sicurezza nazionale;
  2. critici, se la loro compromissione può determinare un pregiudizio al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza pubblica e il benessere economico e sociale del Paese;
  3. ordinari, qualora la loro compromissione non determini i pregiudizi di cui alle lettere a) e b).

Prima di parlare delle azioni associate vanno indicati i servizi indicati nella Strategia:

  • I servizi di Cloud Pubblico non qualificato (extra UE/UE), ovvero quei servizi che non rispondono ai criteri tecnico-organizzativi e normativi individuati in precedenza.
  • I servizi di Cloud Pubblico qualificato (UE) compatibili con legislazioni rilevanti in materia (es. GDPR e NIS) che consento la localizzazione dei dati in UE e il rispetto di requisiti di sicurezza tecnicoorganizzativi, tipicamente sulla base di sistemi di cifratura granulare gestiti dal fornitore CSP10 .
  • I servizi di Cloud pubblico con controllo on-premise dei meccanismi di sicurezza, c.d. Cloud Criptato (IT), che consentono di incrementare significativamente il livello di controllo sui dati e servizi, introducendo un maggior livello di autonomia dai CSP extra-UE nella gestione operativa e il controllo delle infrastrutture tecnologiche11 .
  • Soluzioni di Cloud privato e ibrido, infine, permettono la localizzazione dei dati in Italia e maggior isolamento dalle regioni pubbliche dei principali CSP. Tali garanzie di autonomia sono ottenute mediante la gestione operativa da parte di un fornitore soggetto a vigilanza e monitoraggio pubblico. Queste implementazioni si possono distinguere tra:
    • soluzioni basate su tecnologia hyper scaler licenziata da uno o più CSP, c.d. Cloud privato/ibrido “su licenza” (IT), oppure
    • soluzioni basate su tecnologie commerciali qualificate mediante procedure di scrutinio e certificazione tecnologica, c.d. Cloud Privato Qualificato (IT).

Abbiamo quindi definito i due assi di lavoro: dati e servizi.

Azioni e date di riferimento

Le azioni associate (articolo 4) e le date di riferimento sono:

  1. Entro il 18 gennaio 2022, l’ACN (l’Agenzia per la cybersicurezza nazionale, di cui al decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109) adotta, d’intesa con il DTD (Dipartimento della Trasformazione Digitale), un modello per la predisposizione e l’aggiornamento dell’elenco e della classificazione dei dati e dei servizi digitali di cui all’articolo 3 nonché le modalità di trasmissione.
    1. Il modello è elaborato:
      1. in relazione al rischio e all’evoluzione della minaccia di natura cibernetica;
      2. tenuto conto della normativa e degli standard nazionali, europei e internazionali.
    2. Il modello è reso disponibile tramite i canali di comunicazione dell’ACN ed è aggiornato su base periodica, almeno una volta ogni due anni, secondo le modalità di cui al medesimo comma.
  2. Entro il 18 luglio 2022, le amministrazioni trasmettono all’ACN l’elenco e la classificazione dei dati e dei servizi digitali di cui all’articolo 3 secondo il modello di cui all’articolo 4. che comprende:
    1. tra i dati e i servizi digitali dell’amministrazione;
    2. tra i dati e i servizi digitali dell’amministrazione e i dati e servizi di terzi.
  3. Entro il 18 Ottobre 2022 (come data massima) L’ACN fornisce riscontro circa la conformità dell’elenco e della classificazione dei dati e dei servizi di cui all’articolo 3 rispetto al modello di cui all’articolo 4 entro novanta giorni dalla sua ricezione (se consegnato prima del 18.07). Il predetto termine può essere prorogato dall’ACN, per una sola volta e fino ad un massimo di ulteriori trenta giorni, qualora sia necessario svolgere degli approfondimenti riguardanti il processo di conferimento dell’elenco e della classificazione dei dati e dei servizi della pubblica amministrazione.
  4. Al termine della verifica di conformità, l’ACN (articolo 5):
    1. convalida la conformità dell’elenco e della classificazione dei dati e dei servizi di cui all’articolo 3;
    2. convalida, con prescrizioni, la conformità dell’elenco e della classificazione dei dati e dei servizi di cui all’articolo 3;
    3. non convalida, fornendone le motivazioni, la conformità dell’elenco e della classificazione dei dati e dei servizi di cui all’articolo 3.
  5. Quindi le amministrazioni si occupano dei piani di migrazione e li trasmettono al DTD e all’AgID, mediante una piattaforma dedicata messa a disposizione dallo stesso DTD, entro il 28 febbraio 2023.
  6. Infine, le amministrazioni completano le attività previste dal piano di migrazione, trasmesso ai sensi del comma 3, entro il 30 giugno 2026

Ma perché di quanto indicato se ne occupano l’Agenzia per la cybersicurezza nazionale e il dipartimento della Trasformazione Digitale e non Agid?

Perché questo era indicato nel documento di Strategia Cloud Italia di settembre 2021 e perché la governance del tema cloud è passata da Agid a DTD con il nuovo governo Draghi, quindi è sotto il controllo del Ministro Vittorio Colao.

Fig. 2 – Modello Cloud preso dal documento Strategia Cloud Italia

Come faranno gli enti locali a compilare il modulo creato dall’ACN?

Come faranno gli enti locali a compilare il modulo creato dall’ACN? Bella domanda. Si potrà rispondere dopo che si potrà vedere il modulo preparato da ACN. Del resto, molto probabilmente avranno bisogno di:

  • affidarsi al proprio reparto ICT interno (presente in poche PA medio-grandi);
  • affidarsi ai fornitori;
  • affidarsi alle in-house locali;
  • affidarsi all’ACN, se verrà costituito un servizio di supporto, che potrebbe essere il supporto di “migrazione as a service” definito nel PNRR, recuperando il modello del Fondo Innovazione;
  • forse altre opzioni?

Il documento prosegue con il CAPO III (il secondo è quello di cui parlato fino ad ora, e il CAPO I contiene solo l’articolo 1 che è una sorta di glossario dei termini utilizzati nel documento) cercando di spiegare come classificare i data center in base ai dati che possono ospitare.

Sempre entro il 18 gennaio 2022, con atti successivi, l’ACN definisce, d’intesa con il DTD, i criteri per la qualificazione dei servizi cloud per la pubblica amministrazione per le seguenti quattro tipologie:

  1. qualificazione cloud di livello 1 (QC1)
  2. qualificazione cloud di livello 2 (QC2);
  3. qualificazione cloud di livello 3 (QC3);
  4. qualificazione cloud di livello 4 (QC4).

I dati e i servizi digitali classificati, ai sensi dell’articolo 3, quali:

  1. ordinari possono essere erogati tramite servizi cloud qualificati nell’ambito delle tipologie QC1 e QC2;
  2. critici possono essere erogati tramite servizi cloud qualificati nell’ambito delle tipologie QC2, QC3, QC4;
  3. strategici possono essere erogati tramite servizi cloud qualificati nell’ambito delle tipologie QC3, QC4;

L’unione delle classificazioni di dati, servizi e qualificazione porta a realizzare il seguente schema logico:

Fig. 3 – Modello QC di datancenter associato al tipo di dato

Negli articoli del regolamento successivi al 5 vengono:

  • stabiliti i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la pubblica amministrazione;
  • definite le caratteristiche di qualità, di sicurezza, di performance e scalabilità, interoperabilità, portabilità dei servizi cloud per la pubblica amministrazione;

Al che viene una domanda, associata alla definizione di nuovi standard rispetto al marketplace AGID, che nella strategia viene nominato nel pezzo che segue “Tale qualificazione, partendo dall’esperienza maturata da AgID, si pone l’obiettivo di semplificare e regolamentare, sia dal punto di vista tecnico che amministrativo, l’adozione di servizi Cloud.

A cosa servono i vecchi requisiti CSP?

Se vengono specificate nuove indicazioni per identificarsi come QC1, QC2, QC3, QC4, i “vecchi requisiti” CSP a cosa servono? Bella domanda, la sigla CSP nel regolamento non è presente. Del resto, è presente nella Strategia Cloud Italia, per diverse volte e spiegata nella seguente immagine.

Fig. 3 – CSP associati al modello dati

Quindi parrebbe che i CSP attuali possano ospitare dati ordinari e cifrati (fino a livello Q2), ma non strategici. Del resto, CSP è un termine piuttosto ampio che identifica un Cloud Service Provider generico e non necessariamente in ottica della classificazione Agid. Quindi non si capisce con chiarezza se le classificazioni Agid verrà utilizzata oppure no.

Questo va valutato anche alla luce del seguente paragrafo della Strategia Cloud Italia che dice: “Questo processo di adozione dei servizi Cloud nella PA, dovrà culminare con la realizzazione di un mercato elettronico dei servizi Cloud qualificati” (secondo modello UK)”. Tale mercato dovrà rappresentare il mezzo mediante il quale le amministrazioni saranno guidate, in accordo al processo di classificazione dei dati e dei servizi, nella scelta dei servizi Cloud per loro più idonei e all’acquisto diretto con strumenti amministrativi semplificati e pre-negoziati.”

Il marketplace Agid sarà quindi un sottoinsieme del mercato di cui si parla o quest’ultimo sarà un oggetto nuovo in base ai parametri presentati nel regolamento?

La domanda rimane al momento aperta.

Proseguiamo il ragionamento parlando dell’ultimo aspetto: sarà infatti il PSN (Polo Strategico Nazionale) a ospitare i dati strategici (e dati critici selezionati).

Il Ministro Colao e il Dipartimento per la Trasformazione Digitale hanno espresso di recente la loro posizione sui 3 progetti presentati, mediante partenariato pubblico-privato, per la realizzazione e la gestione del PSN da parte di tre cordate:

  • Tim-Leonardo-Sogei-CDP Equity
  • Almaviva-Aruba
  • Fastweb-Engineering.

Il partner scelto è: Tim-Leonardo-Sogei-CDP Equity, con Sogei come base pubblica tecnologica, TIM e Leonardo come base privata tecnologica e CDP come ente finanziatore.

Le date seguenti sono serrate:

  • entro i primi giorni del 2022 dovrebbe uscire il bando di gara (come indicato nella Strategia Cloud Italia, indicando come al più tardi fine 2022)
  • per fine 2022 il collaudo (dipende molto dal punto precedente)
  • tra fine 2022 inizio 2023 e fine 2026 si avrà la migrazione delle PA al cloud (come indicato nella strategia cloud italia). Nella fase di migrazione verrà data precedenza alle PAC che attualmente operano con data center propri classificati, secondo il censimento AgID del patrimonio ICT della PA, in Categoria B (con carenze strutturali e/o organizzative o che non garantiscono la continuità dei servizi).

Conclusioni

Concludendo, la sfida sul cloud si prospetta molto interessante nel 2022. Aspettiamo anche i prossimi documenti e decreti per capire meglio quali saranno gli attori in gioco, come si definiranno meglio ruoli e complementarietà, e infine come verrà valutato l’esistente marketplace Agid in merito a quanto verrà realizzato.

WHITEPAPER
IoT Platform: trasforma le promesse del 4.0 in realtà
IoT
Manifatturiero/Produzione
@RIPRODUZIONE RISERVATA

Articolo 1 di 3