Cloud Nazionale, la strategia istruisce PA e fornitori: ecco come e le sfide - Agenda Digitale

l'annuncio

Cloud Nazionale, la strategia istruisce PA e fornitori: ecco come e le sfide

Ecco la Strategia Cloud Italia, le prime regole per andare verso un cloud nazionale per i dati della pubblica amministrazione. L’Italia è alla ricerca di un bilanciamento tra esigenze di velocità ed efficienza e autonomia nazionale, per crescere come Paese digitale. Non sarà facile, ma non ci sono alternative

07 Set 2021
Alessandro Longo

Direttore agendadigitale.eu

Matteo Taraborelli

analista Hermes Bay

Nuovo passo in avanti per il miglioramento della strategia di sicurezza nazionale italiana, verso un cloud nazionale per i dati della pubblica amministrazione.

La strategia cloud Italia

Il Ministro per l’innovazione tecnologica e la transizione digitale, Vittorio Colao, il Sottosegretario di Stato delegato alla Sicurezza, Franco Gabrielli, il Direttore generale dell’Agenzia per la cybersicurezza Nazionale, Roberto Baldoni, e il Chief Technology Officer del Dipartimento per la Trasformazione digitale, Paolo de Rosa, hanno annunciato oggi la Strategia Cloud Italia. Secondo il Ministro Colao, tale Strategia è funzionale alla creazione di “una casa moderna, sicura e flessibile per gli italiani”, un cloud nazionale per la Pubblica Amministrazione.

WEBINAR
18 Novembre 2021 - 15:00
PNRR: Cybersecurity e innovazione digitale (sicura).
Sicurezza
Cybersecurity

Cyber security, come va la strategia italiana: cosa abbiamo fatto e cosa resta da fare

In linea con il PNRR elaborato dal Governo, che prevede lo stanziamento di quasi 8 miliardi di euro per la digitalizzazione della Pubblica Amministrazione, tale documento approfondisce aspetti strategici per il percorso di migrazione verso il cloud di dati e servizi digitali di tutte le Pubbliche Amministrazioni e illustra in modo chiaro i criteri di classificazione e la composizione della infrastruttura ad alta affidabilità, il Polo Strategico Nazionale, che ospiterà i servizi strategici e critici. Lo scopo è quello di superare la frammentarietà degli asset infrastrutturali IT, mettere in sicurezza i data center di interesse strategico, e consentire alle Pubbliche Amministrazioni di muoversi verso l’erogazione di servizi digitali in una situazione di maggiore sicurezza e ad alta affidabilità.

In continuità con le norme di settore a livello europeo e nazionale, rispettivamente Direttiva NIS e Perimetro di sicurezza nazionale cibernetica, la Strategia Cloud Italia ha come obiettivo quello di migliorare il livello di sicurezza del sistema paese affrontando le sfide cloud secondo tre aspetti fondamentali:

  • la ricerca dell’autonomia tecnologica, funzionale al raggiungimento della sovranità digitale,
  • il controllo dei dati, fondamentale nell’epoca dei Big Data,
  • e la resilienza delle infrastrutture, di cruciale importanza per garantire la continuità nell’erogazione dei servizi IT.

A tale scopo è necessario mantenere la sovranità anche su quello che è definito il ciclo di vita dei dati.

Mediante l’approccio cloud first, la Strategia intende guidare e favorire l’adozione sicura, controllata e completa delle tecnologie cloud da parte del settore pubblico, in linea con i principi di tutela della privacy e con le raccomandazioni delle istituzioni europee e nazionali. In tal modo le infrastrutture digitali saranno più affidabili e sicure, e la Pubblica Amministrazione potrà rispondere in maniera organizzata agli attacchi informatici, garantendo continuità e qualità nella fruizione di dati e servizi.

Le tre direttrici

La strategia, infatti, si sviluppa secondo tre direttrici che guideranno gli enti nelle scelte da compiere rispetto alle diverse soluzioni di migrazione verso soluzioni cloud.

  1. Classificare dati e servizi della PA per guidare e supportare la migrazione al cloud: regolamentare l’ampia offerta di servizi cloud disponibili sul mercato consente di mitigare i rischi sistemici di sicurezza e affidabilità. In quest’ottica la classificazione di dati e servizi, introdotta dalla strategia, li cataloga in base al danno che una loro compromissione potrebbe provocare al sistema Paese: strategici, che riguardano la sicurezza nazionale; critici, come ad esempio quelli sanitari; ordinari. In base alla tipologia di dati e servizi offerti, sarà la Pubblica Amministrazione a valutare la tipologia di servizio cloud di cui ha bisogno e richiedere la tipologia di servizi necessari alle proprie esigenze.
  2. Qualificare i servizi cloud attraverso un processo di scrutinio tecnologico: la qualificazione dell’offerta dei servizi cloud si pone l’obiettivo di semplificare e regolamentare, dal punto di vista tecnico e amministrativo, l’acquisizione di servizi cloud da parte delle amministrazioni. Gli aspetti presi in considerazione sono: la gestione operativa dei servizi, in particolare gli standard tecnico-organizzativi applicativi e le misure di controllo sui dati; i requisiti di sicurezza per la gestione dei dati, l’erogazione di servizi e le condizioni contrattuali relative all’erogazione e alla rendicontazione del servizio.

Le quattro soluzioni cloud

La Strategia prevede 4 differenti soluzioni cloud:

  • Pubblico qualificato nel rispetto delle normative UE;
  • Pubblico con criptazione dei dati. Le chiavi di criptazione sono gestite nel territorio nazionale;
  • Privato/ibrido concesso con licenza. Le chiavi di criptazione sono gestite nel territorio nazionale;
  • Privato qualificato mediante scrutinio tecnologico. Tutta la filiera è gestita dal fornitore e consente il massimo controllo sui dati.

Per le PA che trattano dati ed erogano servizi ordinari è sufficiente la prima tipologia di cloud. Per le Amministrazioni che trattano dati ed erogano servizi critici è necessario adottare almeno un cloud appartenente alla seconda categoria.  Per quanto riguarda le Amministrazioni centrali, quindi quelle che trattano dati strategici, è necessario adottare una soluzione cloud a partire dalla terza tipologia, anche alla luce del fatto che la localizzazione fisica dei dati strategici è fondamentale ai fini della sicurezza nazionale.

Realizzare il Polo Strategico Nazionale (PSN) dedicato ai servizi strategici, sotto controllo e indirizzo pubblico

Il Polo Strategico Nazionale ha l’obiettivo di dotare la Pubblica Amministrazione di tecnologie e infrastrutture cloud che possano beneficiare delle più alte garanzie di affidabilità, resilienza e indipendenza. Il Polo sarà distribuito geograficamente sul territorio nazionale presso siti opportunamente identificati, per garantire adeguati livelli di continuità operativa e tolleranza ai guasti. Il controllo e le linee di indirizzo del PSN saranno pubbliche e indipendenti da soggetti terzi. La gestione operativa sarà affidata a un fornitore qualificato sulla base di requisiti tecnico-organizzativi. Secondo quanto dichiarato da Roberto Baldoni, Direttore dell’Agenzia per la Cybersicurezza Nazionale, sarà una “casa sicura” per i dati degli italiani.

In particolare, il PSN sarà un Soggetto a controllo, vigilanza e monitoraggio pubblico, rispetterà tutti i requisiti di sicurezza definiti dal Perimetro e dalla Direttiva NIS. Il Polo sarà realizzato entro la fine del 2022 e, a partire da dalla sua creazione, le Pubbliche Amministrazioni avvieranno l’adozione di soluzioni cloud con l’obiettivo, ambizioso ma realizzabile, di completare la migrazione del 75% di Amministrazioni entro la fine di 2025.

A tale riguardo il CTO del Dipartimento per la Trasformazione digitale, Paolo de Rosa, ha dichiarato che il paese si trova “all’inizio di un viaggio ma che ora bisogna iniziare a costruire la nostra casa sicura”.

Prossimi passi

Proprio la “casa sicura” è stato quindi il tema ricorrente durante la presentazione della Strategia. Una metafora semplice, importante ma soprattutto corretta. È infatti di fondamentale importanza fornire al sistema paese una casa sicura che possa garantire la continuità nei servizi erogati dallo Stato. A tale scopo sarà importante anche completare il rafforzamento del Perimetro di Sicurezza Nazionale Cibernetica attraverso la promulgazione dell’ultimo decreto attuativo, attendere l’entrata a regime dell’Agenzia guidata da Baldoni, funzionale anche al miglioramento dell’educazione e delle skill del personale pubblico, e soprattutto porre in essere quanto definito dalla Strategia Cloud Italia.

Prossimo passo l’arrivo, entro settembre, delle prime offerte di partnership pubblico-privato. In attesa in particolare una di Tim-Sogei-Leonardo-CDP.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 3