Dopo la Strategia Cloud Italia arrivano le indicazioni mirate dell'Agenzia per la cybersicurezza nazionale: i requisiti che fornitori e servizi cloud devono soddisfare
Autore: Redazione ImpresaCity
Nell'ambito del PNRR, la PA italiana ha deciso di darsi regole chiare e definite per quanto riguarda la sicurezza e i livelli di servizio dei servizi cloud che i suoi organismi possono adottare. Queste regole sono una parte fondamentale della Strategia Cloud Italia, pubblicata qualche tempo fa. Vi si delineano i criteri di classificazione di dati e servizi che gli enti pubblici possono - e soprattutto non possono - migrare in cloud. E le caratteristiche della infrastruttura ad alta affidabilità - il Polo Strategico Nazionale - che ospiterà i servizi strategici e critici del cloud della PA.
Mancava però ancora una classificazione ben dettagliata di questi criteri, in modo che gli enti pubblici ora possano avere una idea più chiara del loro possibile raggio d'azione in cloud. Serviva anche definire i modi in cui le varie amministrazioni locali possono indicare allo Stato quali dati intendono portare nella "nuvola" e quali servizi intendono erogare online sempre basandosi sul cloud.
A colmare queste ed altre lacune ci hanno pensato due atti specifici dell'Agenzia per la cybersicurezza nazionale. Uno è relativo alla predisposizione, da parte di un qualsiasi ente della PA nazionale, dell'elenco e della classificazione di dati e di servizi pubblici da portare in cloud. Le amministrazioni potranno compilare un questionario on-line e, una volta completato, inviarlo all'Agenzia per la cybersicurezza nazionale per la validazione di quanto intendono fare.
Il documento più importante, lato implementazione, è l'allegato al secondo atto. Un ricco documento di una sessantina di pagine che delinea le caratteristiche di operatività e sicurezza dei servizi cloud e delle infrastrutture offerte alla PA italiana. Generalmente non si tratta di requisiti "estremi" - il polo chiave della PA digitale sarà il PSN, non il cloud generico - ma combinati insieme richiedono che un fornitore della PA abbia una visione e una gestione del cloud e delle infrastrutture evolute a tutto tondo. Spaziando dalla cifratura alle policy di sicurezza e recovery, sino a una trasversale gestione del rischio.