Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Cloud First

Poli strategici nazionali e datacenter, la Fase 3 di Agid: il punto

La circolare AGID del 14 giugno “censimento del patrimonio delle PA e classificazione delle infrastrutture idonee all’uso da parte dei Poli Strategici Nazionali” sancisce l’inizio della terza fase di rilevamento indicando che, le amministrazioni sono tenute a trasmettere il Questionario entro 45 giorni solari dal 15 luglio

23 Lug 2019

Cristiano Ornaghi

Chief Privacy Officer, DPO, ICT Manager


Sta procedendo il “processo di razionalizzazione dei data center pubblici e formazione dei Poli strategici nazionaliavviato da Agid nell’ottica di un profondo cambiamento e ottimizzazione delle infrastrutture, oltre che della spesa pubblica. L’Agenzia ha pubblicato sul suo sito nei giorni scorsi la “procedura per la verifica dell’idoneità di una infrastruttura all’utilizzo da parte di Poli Strategici Nazionali”, dando il via alla terza fase del censimento del patrimonio ICT delle Pubbliche Amministrazioni.

Le prime 2 fasi del censimento

Il processo di censimento è stato fin da subito caratterizzato da 2 fasi ben distinte che hanno avuto inizio nel 2017 con la pubblicazione da parte dell’Agenzia per l’Italia Digitale della circolare n 5 del 30 novembre 2017 – censimento del Patrimonio ICT delle Amministrazioni e qualificazione dei Poli Strategici Nazionali, volta ad effettuare una prima analisi e classificazione dei Data Center in uno scenario nazionale di elevata complessità dovuta all’estrema frammentazione delle infrastrutture fisiche, alla scarsità di centralizzazione delle informazioni e alla mancanza di iniziative similari di riferimento.

La finalità di questo censimento era l’individuazione delle infrastrutture candidate a ricoprire il ruolo di PSN (Poli Strategici Nazionali) o classificabili nelle categorie:

  • nel Gruppo A rientreranno le amministrazioni che dispongono di data center di qualità intermedia;
  • nel Gruppo B rientreranno le amministrazioni con infrastrutture carenti;
  • nella categoria candidabile a Polo strategico nazionale (PSN) saranno inseriti i soggetti con data center caratterizzati da elevati standard di qualità.

La prima Fase del censimento svoltasi nel periodo tra dicembre tra dicembre 2017 e febbraio 2018 era finalizzata al censimento delle infrastrutture ICT in dotazione alle Regioni, Città Metropolitane, Società in-house

Il 23 aprile 2018 è poi iniziata la seconda fase del Censimento del Patrimonio ICT della PA, il cui termine per completare il censimento era fissato per 6 giugno 2018; tale termine è stato poi differito e prorogato al 20 giugno 2018. A questa seconda fase sono “state chiamate” a censire le proprie infrastrutture fisiche – così come definite nella Circolare AgID n. 05/2017- tutte le Amministrazioni Pubbliche, con l’esclusione delle Amministrazioni già censite nella prima fase.

La seconda fase conclusasi il 20 giugno 2018, ha visto la partecipazione di:

  • 778 Amministrazioni,
  • 625 amministrazioni hanno dichiarato di possedere Data Center
  • 153 amministrazioni hanno dichiarato di non possedere oppure di avvalersi di servizi IT erogati da altri soggetti
  • 4154 applicazioni critiche

Per un totale di 927 Data Center censiti

Alla luce dell’analisi dei dati raccolti attraverso il Censimento “2017 – 2018” la nuova circolare n 1 del 14 giugno 2109, tra l’altro, dettaglia e precisa alcuni elementi della strategia di razionalizzazione dei Data Center sostituendo integralmente la Circolare n. 5 del 30 novembre 2017 – Censimento del Patrimonio ICT delle Amministrazioni e qualificazione dei Poli Strategici Nazionali, anche al fine di riunire in un unico provvedimento nell’ottica della razionalizzazione le disposizioni.

Per quanto concerne l’identificazione delle Amministrazioni tenute alla partecipazione del censimento e alla conseguente compilazione del questionario sono individuate dall’art. 2 comma 2 del Codice dell’Amministrazione Digitale (CAD D.Lgs 82/2005), che fa riferimento “alle Pubbliche Amministrazioni di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, nel rispetto del riparto di competenza di cui all’articolo 117 della Costituzione, nonché le società a controllo pubblico, come definite nel decreto legislativo adottato in attuazione dell’articolo 18 delle legge n. 124 del 2015, escluse le società quotate come definite dallo stesso decreto legislativo adottato in attuazione dell’articolo 18 delle legge n. 124 del 2015”.

Entra nel vivo la Fase 3 del censimento

Entra ora nel vivo la Fase 3 del Censimento: le Amministrazioni, come previsto dalla circolare n 1 all’art 4 sono tenute a trasmettere il Questionario entro 45 giorni solari a far data del 15 luglio 2019, pertanto avranno tempo per la Compilazione del Censimento del patrimonio ICT fino al 29 Agosto 2019 alle ore 23:55

La Fase 3 del Censimento del Patrimonio ICT della PA si propone di rilevare i dati necessari per delineare il quadro informativo/statistico sulle principali installazioni informatiche a livello nazionale, regionale e locale, raccogliendo informazioni circa l’insieme delle principali componenti hardware e software in uso dalle amministrazioni pubbliche.

Come previsto dalla nuova Circolare AGID n. 1/2019 pubblicata in Gazzetta Ufficiale (GU Serie Generale n. 152 del 01 07 2019) e con riferimento ai requisiti riportati nella tabella dell’Allegato A della stessa Circolare, ogni singola infrastruttura quindi potrà essere classificata in una delle seguenti categorie:

  • Infrastrutture candidabili all’utilizzo da parte di un PSN, se soddisfa tutti i requisiti riportati nella colonna Candidabilità all’uso da PSN;
  • Gruppo A, se non soddisfa tutti i requisiti riportati nella colonna Candidabilità all’uso da PSN ma soddisfa tutti i requisiti riportati nella colonna Gruppo A;
  • Gruppo B, se non soddisfa i requisiti di cui alle categorie precedenti e nel caso di mancata partecipazione alla rilevazione.

Modalità d’esecuzione del censimento

Il ruolo del Responsabile per la transizione digitale

Come definito dal piano triennale per la pubblica amministrazione 2019 – 2021 che indica le linee di azione per promuovere la trasformazione digitale del settore pubblico e del Paese, tutto passa dalle mani del Responsabile per la transizione digitale il quale svolge il ruolo di punto di contatto sia all’interno che all’esterno dell’Amministrazione di appartenenza, relazionandosi e confrontandosi con vari soggetti.

Resta poi da definire, nel caso in cui non sia ancora stato identificato e nominato con atto formale, il Responsabile per la Transizione digitale chi dovrà procedere all’espletamento degli adempimenti previsti. La circolare in commento è ben consapevole e conscia sullo stato d’avanzamento delle nomine dei responsabili che vede circa il 50 % delle Amministrazioni adempienti.

Ogni amministrazione dovrà quindi affidare le attività connesse al censimento del proprio patrimonio ICT, garantendo la ricognizione dei dati richiesti, al “Responsabile per la Transizione Digitale (RTD)” o colui/lei che, tra il personale dell’Amministrazione, la stessa indichi come Responsabile del Censimento (ad esempio, nel caso in cui non sia stato ancora nominato il RTD).

La rilevazione del Censimento del Patrimonio ICT della PA sarà svolta, esclusivamente attraverso la procedura informatica assistita che guiderà il RTD o il Responsabile del Censimento indicato dall’Amministrazione nella compilazione del “questionario di rilevamento”.

Si ricorda infine che la mancata o parziale compilazione del “Questionario” entro i termini stabiliti, qualora non motivata, determina la classificazione d’ufficio dell’amministrazione nel “Gruppo B”.

Modalità di compilazione ed esecuzione del censimento

Le modalità di compilazione ed esecuzione del censimento introducono l’obbligo dell’utilizzo del sistema di autenticazione SPID; la compilazione potrà essere effettuata a partire dalla data di avvio della terza fase (15 luglio 2019), collegata al “Responsabile per la Transizione Digitale (RTD)” o colui/lei che, tra il personale dell’Amministrazione, la stessa indichi come Responsabile del Censimento.

Pertanto i Responsabili della Transizione Digitale o il personale dell’Amministrazione incaricato dovranno necessariamente, qualora non lo avessero ancora fatto, attivare la così detta identità SPID (Sistema pubblico identità digitale) che garantisce a tutti i cittadini e le imprese un accesso unico, sicuro e protetto ai servizi digitali della Pubblica Amministrazione. L’identità SPID è rilasciata dai Gestori di Identità Digitale (Identity Provider), soggetti privati accreditati da AgID che, nel rispetto delle regole emesse dall’Agenzia, forniscono le identità digitali e gestiscono l’autenticazione degli utenti.

Una volta effettuata l’autenticazione al sistema per la compilazione del questionario ci troveremo di fronte a due a due fasi distinte; nella prima sezione identificata come “Anagrafica” contiene la richiesta di informazioni relative all’anagrafica dell’Ente, del RTD o del Responsabile del Censimento indicato dall’Amministrazione e dell’indirizzo PEC al quale si intende ricevere il link per l’accesso alla seconda parte del questionario.

La seconda sezione del questionario contiene le seguenti ulteriori 5 sezioni (che si aggiungono alla prima):

  • Sezione 2 – Organizzazione Ente: contiene la richiesta di informazioni relative all’organizzazione interna dell’ICT dell’Ente, quali ad esempio, numero di sedi, numero di addetti ICT, modalità di gestione (interno/in cooperazione /full outsourcing);
  • Sezione 3 – Dotazione tecnologica dell’Ente: contiene la richiesta di informazioni relative alla connettività e al patrimonio applicativo con indicazione di tecnologie di riferimento, servizi supportati, licenze, ecc.;
  • Sezione 4 – Dotazione tecnologica del Data Center: contiene la richiesta di informazioni relative ai DC e sale server dell’Ente, quali: caratteristiche del DC e dei Server, quantità, caratteristiche sulla sicurezza, compliance alle norme, ecc.;
  • Sezione 5 – Cloud Computing: contiene la richiesta di informazioni relative all’eventuale utilizzo dei servizi Cloud e sul livello di virtualizzazione;
  • Sezione 6 – Voci di Spesa: contiene la richiesta di informazioni sui dati di spesa ICT relativi ai Data Center dell’Ente.

I canali di supporto attivati da Agid

Qualora il Responsabile per la transizione digitale o il Responsabile del Censimento indicato dall’Amministrazione dovesse trovare difficoltà nella compilazione del questionario, l’Agenzia per l’Italia digitale ha attivato due canali di supporto:

  1. Redazione e messa a disposizione di una breve “Guida alla compilazione”, che l’Amministrazione può consultare accedendo direttamente al questionario.
  2. Attivazione di un canale di “trouble-ticketing” raggiungibile all’indirizzo utilizzabile per:
    1. comunicare eventuali variazioni riguardanti il nominativo del Responsabile del Censimento / per la Transizione Digitale,
    2. ricevere assistenza, qualsiasi chiarimento o informazione sulla compilazione del Questionario,
    3. segnalare eventuali malfunzionamenti del Sistema

Per conoscere i risultati dovremo attendere 180 giorni dalla pubblicazione ella circolare n 01/2019. I dati saranno verificati, controllati ed infine rielaborati da AGID che renderà disponibili i risultati in un’apposita sezione del sul sito riportando in forma aggregata una sintesi dei dati più significativi risultanti dal Censimento.

La fase finale del procedimento di accreditamento si concluderà con la Procedura per la verifica dell’idoneità di una infrastruttura all’utilizzo da parte di PSN.

Verranno attivati da parte dell’AgID i cosiddetti Gruppi di Verifica (GdV) che avranno il compito di valutare l’idoneità dell’infrastruttura all’utilizzo da parte di PSN; i Gruppi di verifica saranno così strutturati:

  • numero variabile di membri
  • i membri potranno anche essere scelti tra personale esterno all’AGID
  • avranno diverse competenze specialistiche

Le procedure di Audit, finalizzate alla valutazione dell’idoneità all’utilizzo da parte dei PSN, da effettuarsi direttamente nelle sedi delle infrastrutture classificate idonee in seguito alle 3 fasi di censimento, saranno svolte secondo la metodologia della norma UNI EN ISO 19011:2018 “Linee guida per audit di sistemi di gestione” che sostituisce, dal 10 luglio 2018, la precedente versione del 2012. La norma, basata sulla cosiddetta HLS (High Level Structure), fornisce una guida sull’audit di sistemi di gestione, compresi i principi dell’attività di audit, la gestione dei programmi di audit e la conduzione degli audit di sistemi di gestione, così come una guida per la valutazione delle competenze delle persone coinvolte nel processo di audit. Come indicato precedentemente i GdV (Gruppi di Verifica) saranno composti da più persone e alcune di loro dovranno quindi gestire il programma di audit e altri ricoprire la funzione gli auditor.

Nell’Allegato della procedura di audit sono inoltre contenuti:

  • i requisiti infrastrutturali complementari che saranno oggetto di verifica;
  • i contenuti minimi per la conformità alle procedure, relativi alle certificazioni ISO 20000, ISO 22301, ISO 27001,

Qualora la PA non dovesse essere in possesso delle certificazioni richieste, dovranno comunque essere ottenute previa presentazione di un piano di adeguamento.

Le verifiche del GdV

In fase d’ispezione da parte del GdV verrà quindi verificata la presenza della certificazione ISO/IEC 20000 che è il primo standard internazionale sviluppato specificatamente per la gestione dei servizi IT (IT Service Management).

Tale certificazione rappresenta uno strumento di riferimento per l’organizzazione dei servizi informatici che mira al miglioramento dell’erogazione/fruizione dei servizi IT, ponendosi come obiettivo il raggiungimento della massima qualità dei servizi erogati e un massimo contenimento di costi.

La seconda verifica riguarda l’adozione degli standard volti a garantire la Business Continuity così come richiesto dalla norma ISO 22301; è una norma internazionale che definisce i requisiti necessari a pianificare, stabilire, attuare, rendere funzionante un sistema di gestione documentato, e per monitorare, mantenere attivo e migliorare in continuo il sistema di gestione finalizzato a proteggere, ridurre le possibilità di accadimento, preparare, dare risposte ed a ripristinare eventi destabilizzanti per un’organizzazione, quando questi abbiano a manifestarsi.

Infine il terzo e ultimo requisito che verrà controllato, verificato ed analizzato è il rispetto dello standard ISO 27001 (Tecnologia delle informazioni – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni – Requisiti) che definisce i requisiti per impostare e gestire un sistema di gestione della sicurezza delle informazioni ed include aspetti relativi alla sicurezza logica, fisica ed organizzativa.

In un’ottica di protezione dei dati, anche alla luce dei dettami del Regolamento europeo sulla protezione dei dati (Gdpr), in considerazione anche degli obiettivi prefissati di fornire servizi in cloud per la PA, mi sarei aspetto che tra i vari requisiti minimi di certificazione ci fosse stata anche la ISO 27017.

Lo standard ISO/IEC 27017, rientrante tra gli standard della serie ISO/IEC 27001, e definisce controlli avanzati sia per fornitori di servizi cloud sia per i clienti degli stessi servizi. A differenza di molti altri standard legati alla tecnologia, chiarisce ruoli e responsabilità dei diversi attori con l’obiettivo di garantire che i dati conservati in cloud siano sicuri e protetti come se fossero in un sistema di gestione delle informazioni certificato.

Oltre che alla ISO 27017 sarebbe stato opportuno richiedere e introdurre i controlli sulla presenza dell’addendum alla ISO 27018 che è di fatto il primo Standard a livello Internazionale che garantisce il rispetto dei principi e a delle norme privacy, da parte dei Providers di public Cloud che se ne dotano: la norma, infatti, è specificamente indirizzata ai Service providers di public Cloud, che elaborano dati personali (PII – Personally Identifiable Information) e che agiscano in qualità di Data (PII) Processor.

Il processo organizzativo di valutazione d’idoneità e la relativa visita in loco sarà strutturato in 5 macro attività, la quinta ed ultima fase a sua volta sarà organizzata in 3 specifiche attività; nel dettaglio la fase ispettiva sarà così organizzata:

  1. AgID, contestualmente alla comunicazione finale dell’esito del censimento, chiede all’Amministrazione di una infrastruttura ritenuta candidabile a essere utilizzata da PSN, la manifestazione della volontà di sottoporre alla verifica tale infrastruttura. In caso negativo, l’infrastruttura è classificata come Gruppo A.
  2. AgID costituisce uno o più specifici Gruppi di Verifica (GdV), composti da diverse competenze specialistiche, che hanno il compito di attuare la procedura e verificare i requisiti dell’idoneità delle infrastrutture. Ai GdV potranno anche essere affidate funzioni di controllo del mantenimento delle caratteristiche abilitanti delle stesse infrastrutture.
  3. AgID comunica alla PA referente, con un preavviso di 15 giorni, la data della verifica d’idoneità. La comunicazione contiene:
  • la composizione del GdV;
  • documenti e strutture da rendere disponibili a cura dell’Amministrazione per la verifica;
  • data di inizio delle attività di verifica e modalità di svolgimento;
  • – stima del tempo e della durata delle attività.

4. La PA comunica ad AgID, entro 7 giorni dal ricevimento della comunicazione, il proprio referente per la verifica e i nominativi e le qualifiche del personale partecipante alla verifica. Se la PA non fornisce le informazioni necessarie entro i tempi previsti, la verifica d’idoneità è annullata e l’infrastruttura è classificata come Gruppo A.

5. La visita in loco per la verifica di idoneità è organizzata in tre fasi:

  • verifica dell’effettiva conformità ai requisiti preliminari di cui all’allegato A della circolare 1/2019 di AgID;
  • verifica dei riscontri documentali;
  • verifica dei requisiti infrastrutturali complementari;

Al termine della verifica è redatto un verbale, firmato dal GdV e dalla PA, contenente le attività svolte e, puntualmente, l’esito dei riscontri effettuati. In caso di conclusione positiva di tutte le fasi della verifica, il GdV produce una relazione complessiva con la proposta di iscrizione dell’infrastruttura nell’elenco di quelle idonee a essere utilizzate da PSN.

Dopo essere stata valutata da AgID, se approvata, l’infrastruttura esaminata è iscritta dall’Agenzia nell’elenco delle infrastrutture idonee a essere utilizzate da PSN che verrà messo a disposizione della Presidenza del Consiglio dei Ministri.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4