l'audizione

Migrazione della PA sul Cloud, i tre pilastri del Governo: ecco la roadmap

Agenzia per la Cybersicurezza Nazionale, Regolamento operativo e Polo Strategico Nazionale: sono i tre pilastri del processo di migrazione verso il Cloud della pubblica amministrazione. Il quadro di riferimento ricostruito nella audizione della sottosegretaria Messina

22 Dic 2021
Giuseppe Arcidiacono

Responsabile Sistema Informativo at ARCEA

La migrazione verso il cloud della grande macchina burocratica nazionale continua ad essere uno dei temi più dibattuti non solo tra gli addetti ai lavori ma anche all’interno dell’agone politico: particolarmente interessante, a tal proposito, è un’interrogazione parlamentare condotta nel contesto della IX Commissione permanente della Camera dei Deputati, dedicata a Trasporti, poste e telecomunicazioni, che ha permesso, tra le altre cose, di delineare con maggiore precisione il quadro di riferimento e le strategie che il Governo intende perseguire nei prossimi 5 anni.

Il cloud per trasformare l’Italia: ecco le opportunità del momento

Secondo quanto indicato dalla sottosegretaria Assuntela Messina, in particolare, “la realizzazione del Polo strategico nazionale, l’interoperabilità dei sistemi, la valorizzazione del patrimonio informativo pubblico e la cybersecurity sono, negli intendimenti del Governo, obiettivi fondamentali del Piano Nazionale di Ripresa e Resilienza (PNRR) e rappresentano le basi per lo sviluppo di una politica industriale ed economica incentrata sul cloud”.

Il PSN consentirà, invero, di far fronte ad una situazione attualmente grave sul piano della sicurezza delle attuali infrastrutture di archiviazione e gestione dei dati nella PA, divenute estremamente vulnerabili e soggette a diverse forme di attacco e minaccia cyber, come hanno purtroppo dimostrato gli ultimi incidenti come quello avvenuto nella Regione Lazio qualche mese fa, nel pieno del lockdown dovuto alla pandemia da Covid19.

L’implementazione della cosiddetta “Nuvola pubblica” deve essere analizzata anche alla luce di quanto indicato dalla Strategia “Italia 2026”, che punta a far operare sul Cloud l’intero apparato burocratico nazionale entro il prossimo quinquennio, superando l’attuale situazione che vede, al contrario, una forte propensione verso l’utilizzo di sistemi “on premise”.

Fonte

Il Cronoprogramma della migrazione

L’articolata risposta della sottosegretaria fornisce la possibilità di riannodare le fila di un processo estremamente complesso e tortuoso che, pur proseguendo ormai da diversi anni, è stato nel corso del tempo oggetto di rivisitazioni, modifiche e ripensamenti.

WHITEPAPER
Processi più snelli, più fluidi, più efficienti: i vantaggi dell’Industria 4.0
CIO
Cloud

L’inclusione delle attività connesse alla migrazione all’interno del Recovery Plan ha certamente fornito nuova linfa al progetto e, soprattutto, ha fissato l’orizzonte temporale di riferimento: per evitare un disimpegno dei fondi di derivazione comunitaria, infatti, l’Italia dovrà produrre inderogabilmente entro il 2026 risultati concreti e misurabili, in grado di attestare in maniera oggettiva il concreto raggiungimento degli obiettivi prefissati in partenza.

A tal riguardo la sottosegretaria ha indicato in maniera estremamente analitica i tempi, spiegando come “entro i primi giorni del 2022 prevediamo di poter pubblicare il bando di gara per l’assegnazione del Polo strategico nazionale. Entro la fine del 2022 prevediamo il collaudo della Infrastruttura. Tra la fine del 2022 e il 2025 prevediamo di completare la migrazione dei dati”.

Tale cronoprogramma è, di fatto, sovrapponibile a quanto illustrato sul sito istituzionale del Ministro per l’innovazione tecnologica e la transizione digitale.

I tre pilastri della migrazione

Secondo quanto emerge dall’interrogazione parlamentare, la strategia del Governo, con l’obiettivo di guidare in maniera ordinata, efficace ed efficiente la complessa ed articolata migrazione verso il Cloud, poggerà le proprie fondamenta sui seguenti tre pilastri:

  • L’istituzione e l’avvio dell’operatività dell’Agenzia nazionale per la cybersicurezza, alla quale sono attribuite, oltre a tutte le competenze in materia di perimetro di sicurezza nazionale cibernetica, sicurezza e integrità delle comunicazioni elettroniche, delle reti e dei sistemi informativi, anche le competenze volte a regolare, d’intesa con il Dipartimento per la trasformazione digitale, i livelli minimi di sicurezza, capacità e affidabilità delle infrastrutture digitali per la pubblica amministrazione, ivi incluso il PSN, nonché le caratteristiche di qualità, sicurezza, performance e scalabilità, interoperabilità, portabilità dei servizi cloud per la pubblica amministrazione.
  • L’approvazione della strategia nazionale Cloud e del Regolamento per il Cloud, che dettano le regole di sicurezza, capacità e affidabilità delle infrastrutture digitali per la P.A., essenzialmente calibrate sulla classificazione dei dati in base al loro valore.
  • La costituzione del Polo Strategico Nazionale (PSN), ossia dell’infrastruttura ad alta affidabilità, localizzata sul territorio nazionale, che sarà adibita e potrà ospitare i dati ed i servizi critici e strategici di tutte le amministrazioni centrali (in tutto circa 200), delle Aziende Sanitarie Locali e delle principali amministrazioni locali (regioni, città metropolitane, comuni con più di 250 mila abitanti).

L’Agenzia nazionale per la cybersicurezza

Come anticipato in precedenza, la sottosegretaria Messina si è soffermata, nel corso dell’audizione, anche sulla neonata Agenzia per la cybersicurezza nazionale (ACN), che è destinata a diventare la struttura unica e centralizzata in grado di assorbire tutte le competenze finora distribuite in diversi Ministeri.

L’ACN, in particolare, sarà posta ai massimi livelli dell’apparato statale in quanto opererà sotto la diretta responsabilità del Presidente del Consiglio dei ministri e dell’“Autorità delegata per la sicurezza della Repubblica” e sarà chiamata a raccordarsi con il “Sistema di informazione per la sicurezza della Repubblica”, che, a sua volta, è costituito dal seguente complesso di organi e autorità che hanno il compito di assicurare le attività di informazione per la sicurezza, allo scopo di salvaguardare la Repubblica da ogni pericolo e minaccia proveniente sia dall’interno sia dall’esterno del Paese:

  • Presidente del Consiglio dei ministri;
  • Autorità delegata;
  • Comitato interministeriale per la sicurezza della Repubblica (CISR);
  • Dipartimento delle informazioni per la sicurezza (DIS);
  • Agenzia informazioni e sicurezza esterna (AISE);
  • Agenzia informazioni e sicurezza interna (AISI).

Il “Sistema di informazione per la sicurezza della Repubblica”,  Fonte

Il compito di nominare e revocare i vertici dell’ACN spetterà al Premier, che dovrà preventivamente informare il Copasir e le competenti Commissioni parlamentari.

Le funzioni affidate all’Agenzia per la Cybersicurezza nazionale

Il nuovo organismo dovrà svolgere compiti di primaria importanza ai fini del buon andamento dell’intera macchina statale, il cui funzionamento è sempre più strettamente legato a sistemi informatici ed architetture di tipo elettronico.

In particolare, l’ACN dovrà esercitare le funzioni di “Autorità nazionale in materia di cybersecurity”, a tutela degli interessi dell’Italia e della resilienza delle funzioni essenziali dello Stato, ma sarà anche chiamata a sviluppare capacità nazionali di prevenzione, monitoraggio, rilevamento e mitigazione, per far fronte agli incidenti e agli attacchi di natura informatica.

L’Agenzia dovrà, inoltre, svolgere i seguenti delicati compiti istituzionali:

  • contribuire all’innalzamento della sicurezza dei sistemi ICT dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica, delle pubbliche amministrazioni, degli operatori di servizi essenziali e dei fornitori di servizi digitali;
  • supportare lo sviluppo di competenze industriali, tecnologiche e scientifiche, promuovendo progetti per l’innovazione e lo sviluppo e mirando a stimolare la crescita di una solida forza di lavoro nazionale nel campo della cybersecurity in un’ottica di autonomia strategica nazionale nel settore;
  • assumere le funzioni di interlocutore unico nazionale per i soggetti pubblici e privati in materia di misure di sicurezza e svolgere attività ispettive in tutto il settore di riferimento.

La strategia nazionale Cloud

Il secondo pilastro sul quale poggerà il processo di migrazione è rappresentato dalla “Strategia Cloud Italia”, che è stata elaborata dall’AgID e dal Dipartimento per la Transizione Digitale della Presidenza del Consiglio dei ministri con l’obiettivo di guidare e favorire l’adozione sicura, controllata e completa delle tecnologie Cloud per la PA.

Diagram Description automatically generated

Fonte: Strategia Cloud Italia

Le direttrici fondamentali della strategia

Ponendosi nel solco tracciato dal Piano per l’Informatica nella Pubblica Amministrazione 2020 – 2022 e dai progetti già avviati negli anni scorsi dall’Agenzia per l’Italia Digitale, la strategia si muove lungo tre direttrici fondamentali:

  • La creazione di un Polo Strategico Nazionale (PSN), ossia di un’infrastruttura interamente dedicata all’erogazione di servizi pubblici, gestita e controllata da fornitori residenti nel territorio dell’Unione Europea;
  • Un percorso di qualificazione dei fornitori e dei loro servizi, con il fine di garantire che le caratteristiche e i livelli di qualità dichiarati siano in linea con i requisiti necessari di sicurezza, affidabilità e rispetto delle principali normative nazionali e comunitarie;
  • Lo sviluppo di una metodologia di classificazione dei dati e dei servizi gestiti dalle pubbliche amministrazioni, con l’obiettivo di permettere una migrazione controllata del patrimonio informativo digitale pubblico verso le infrastrutture maggiormente adeguate.

Diagram Description automatically generated

Fonte: Strategia Cloud Italia

Il nodo dell’autonomia tecnologica

Il documento, invero, sottolinea con forza l’importanza strategica rivestita dal controllo e dalla gestione delle infrastrutture tecnologiche, partendo dalla constatazione che i principali fornitori specializzati si trovino al di fuori dell’Unione Europea e possano, pertanto, porre gli Stati Membri in una posizione di debolezza assolutamente non accettabile in considerazione del valore e della criticità dei dati trattati dalla pubblica amministrazione.

Si pensi, ad esempio, al rischio di modifiche unilaterali delle condizioni contrattuali, che potrebbero determinare improvvisi aumenti dei costi di erogazione o addirittura l’interruzione del servizio.

Per tali motivazioni, il raggiungimento di un’autonomia tecnologica deve rappresentare un obiettivo primario in quanto consentirà, secondo il Governo italiano, non solo di esercitare un diretto controllo sui dati e sui servizi, ma anche di promuovere l’implementazione di un ecosistema tecnologico indispensabile per lo sviluppo del Paese.

Diagram Description automatically generated

Fonte: Strategia Cloud Italia

La classificazione dei servizi della PA

Con l’obiettivo di mitigare i rischi sistemici intrinsecamente connessi all’adozione del Cloud su larga scala nella Pa italiana, la strategia, in particolare, propone di classificare i dati e i servizi erogati dalla macchina statale sulla base del danno che una loro compromissione, in termini di confidenzialità, integrità e disponibilità, provocherebbe all’intero sistema Paese.

In particolare, il documento individua le seguenti classi:

  • Strategico: dati e servizi la cui compromissione può avere un impatto sulla sicurezza nazionale;
  • Critico: dati e servizi la cui mancata tutela potrebbe determinare un pregiudizio al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza e il benessere economico e sociale del Paese;
  • Ordinario: dati e servizi dai quali non possa derivare l’interruzione di funzioni fondamentali dello Stato o, comunque, non abbia effetti rilevanti sulla popolazione.

La qualificazione dei servizi Cloud

Secondo il documento strategico, inoltre, l’acquisizione di servizi Cloud da parte delle pubbliche amministrazioni avviene mediante procedure di acquisto eccessivamente rigide, che non consentono di tenere il passo del mercato e, soprattutto, di valutare gli effettivi rischi tecnici e organizzativi connessi all’adozione di uno specifico servizio.

Nella prospettiva di facilitare e guidare l’implementazione dell’ormai celebre principio “Cloud-First” (secondo il quale gli enti centrali e periferici devono preferire sempre soluzioni di tipo cloud per i propri sistemi), gli autori della strategia ritengono, pertanto, imprescindibile prevedere un sistema di qualificazione ex-ante dei servizi acquistabili dalla PA, con l’obiettivo di semplificare e regolamentare, sia dal punto di vista tecnico che a livello amministrativo, la migrazione verso la “Nuvola Pubblica”.

Il Regolamento Cloud

Una prima declinazione operativa degli obiettivi di alto livello contenuti nella strategia è arrivata con l’adozione del “Regolamento recante i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la pa e le caratteristiche di qualità, sicurezza, performance e scalabilità, portabilità dei servizi cloud per la pubblica amministrazione, le modalità di migrazione nonché le modalità di qualificazione dei servizi cloud per la pubblica amministrazione”.

In particolare, il documento, dovendo confrontarsi con una tecnologia “disruptive” ed estremamente trasversale come il Cloud, affronta argomenti che trascendono dai confini prettamente tecnici per abbracciare aspetti di carattere strategico, organizzativo, procedurale ed operativo, ponendosi i seguenti obiettivi di fondamentale importanza:

  • stabilire i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la pubblica amministrazione;
  • definire le caratteristiche di qualità, di sicurezza, di performance e scalabilità, interoperabilità, portabilità dei servizi cloud per la pubblica amministrazione;
  • individuare i termini e le modalità con cui le amministrazioni devono effettuare le migrazioni, anche stabilendo il processo e le modalità per la classificazione dei dati e dei servizi digitali delle pubbliche amministrazioni;
  • individuare le modalità del procedimento di qualificazione dei servizi cloud per la pubblica amministrazione.

Secondo quanto indicato dall’AgID nella nota di presentazione, “il Regolamento costituisce il tassello abilitante della strategia cloud italiana per l’evoluzione tecnologica delle infrastrutture digitali della Pubblica Amministrazione e per l’adozione del modello cloud per i servizi pubblici”.

I compiti affidati all’Agenzia nazionale per la cybersicurezza

In linea con quanto previsto dalla legge istitutiva (ossia dal D.L. 82/2021), un ruolo di primo piano è affidato all’Agenzia nazionale per la cybersicurezza che, entro il prossimo 22 febbraio 2022, d’intesa con il Dipartimento per la Trasformazione Digitale, sarà chiamata a:

  • predisporre il modello per la classificazione dei dati e dei servizi digitali;
  • aggiornare i livelli minimi di sicurezza delle infrastrutture destinate a trattare i dati strategici, critici e ordinari;
  • aggiornare le caratteristiche di qualità che devono essere rispettate dagli enti centrali e periferici;
  • definire i criteri di qualificazione dei servizi cloud per la pubblica amministrazione, secondo livelli predefiniti;

Il Polo Strategico Nazionale

La sottosegretaria Messina ha illustrato anche i principali passaggi sottesi allo sviluppo di una nuova infrastruttura informatica a servizio della PA, denominata Polo Strategico Nazionale (PSN), che avrà l’obiettivo di dotare l’apparato burocratico italiano di tecnologie e infrastrutture Cloud che possano beneficiare delle più alte garanzie di affidabilità, resilienza e indipendenza.

A tal fine, il PSN sarà distribuito geograficamente sul territorio nazionale presso siti opportunamente identificati, al fine di garantire adeguati livelli di continuità operativa e tolleranza ai guasti.

Secondo quanto si è appreso nell’audizione la gestione tecnica del PSN “sarà affidata, sulla base di opportuni requisiti tecnico-organizzativi, a un fornitore qualificato, che dovrà garantire il controllo sui dati in conformità con la normativa di riferimento nonché rafforzare la possibilità della PA di negoziare adeguate condizioni contrattuali con i fornitori di servizi Cloud”.

Diagram Description automatically generated

Fonte: Strategia Cloud Italia

Nei mesi scorsi, invero, sono pervenute al Ministro per l’Innovazione Tecnologica e la Transizione Digitale, Vittorio Colao, le proposte di partenariato pubblico privato finalizzate alla creazione del Polo Strategico Nazionale avanzate da tre prestigiose cordate che vedono rispettivamente impegnate:

  • Cassa Depositi e Prestiti, Leonardo, Sogei e TIM;
  • Almaviva ed Aruba;
  • Fastweb e Telecom.

Si tratta di veri e propri colossi dell’economia italiana che puntano a gestire uno degli asset più importanti e centrali nel processo di digitalizzazione dalla pa italiana.

È stato, inoltre, definito un primo “piano di transizione” verso il Polo Strategico Nazionale che prevede l’approdo nei nuovi quartieri generali informatici per 281 enti suddivisi in tre fasce di priorità:

  • In prima linea sono state collocate 95 Pubbliche Amministrazioni centrali e 80 Aziende Sanitarie Locali che devono effettuare immediatamente la migrazione in quanto in possesso di infrastrutture non adeguate all’importanza dei dati trattati nell’ambito delle proprie funzioni istituzionali;
  • Nel gruppo intermedio, invece, si ritrovano 13 Enti centrali, tra cui ministeri, Inps, Inail, in possesso di datacenter sicuri e, pertanto, autorizzati ad utilizzare il PSN in via residuale, in caso di necessità;
  • Chiudono la lista, infine, 93 Pa centrali, che non hanno necessità, al momento, di fruire di servizi Cloud, e, pertanto, continueranno ad operare secondo le modalità già adottate in precedenza.

Conclusioni

Grazie soprattutto alle nuove ed ingenti risorse previste nel PNRR ed ai tempi estremamente stringenti del Programma comunitario Next Generation UE, che richiede agli Stati Membri di fornire risultati tangibili entro il 2026, nel processo di migrazione verso il Cloud della pubblica amministrazione si stanno susseguendo a ritmo frenetico numerose novità di carattere normativo, operativo, procedurale ed organizzativo.

L’audizione della sottosegretaria Messina ha dato la possibilità di ricostruire il quadro di riferimento che si basa essenzialmente su tre pilastri, ossia sulla neonata Agenzia per la Cybersicurezza Nazionale, su 2 documenti di fondamentale importanza quali la Strategia “Cloud Italia 2026” ed il Regolamento operativo, e sull’implementazione del Polo Strategico Nazionale.

Su tutti i fronti, i Dipartimenti interessati della Presidenza del Consiglio dei ministri e l’AgID stanno lavorando praticamente senza soluzione di continuità con l’obiettivo di centrare l’ambizioso traguardo. Nel 2022 è prevista, in particolare, la partenza della gara per l’assegnazione della nuova infrastruttura fisica che potrebbe, secondo i Piani del Governo, essere collaudata nel giro di un anno così da consentire l’avvio della migrazione delle prime pubbliche amministrazioni verso il PSN.

WHITEPAPER
Smart Logistic: semplificare, velocizzare e aumentare l'efficienza della logistica
IoT
Logistica/Trasporti
@RIPRODUZIONE RISERVATA

Articolo 1 di 3