Introduzione
Il 1° agosto 2024 è entrato in vigore il nuovo Regolamento unico per le infrastrutture e i servizi cloud nella Pubblica Amministrazione (PA), adottato dall'Agenzia per la Cybersicurezza Nazionale (ACN) in collaborazione con il Dipartimento per la Trasformazione Digitale.
Questo regolamento stabilisce le misure minime di sicurezza, capacità elaborativa, risparmio energetico e affidabilità che le infrastrutture digitali devono rispettare per supportare i servizi pubblici.
In questo contesto, la scelta di un Ambiente di Condivisione Dati (ACDat) deve essere valutata dalla Pubblica Amministrazione alla luce delle nuove normative, al fine di garantire la conformità, la sicurezza e l'efficacia nella gestione dei dati e dei servizi digitali.
Classificazione dei dati e dei servizi digitali
Il Regolamento ACN introduce una classificazione dei dati e dei servizi digitali in tre categorie:
- Ordinari: dati e servizi la cui compromissione non determina pregiudizi significativi per la società, la salute, la sicurezza pubblica e il benessere economico e sociale del Paese.
- Critici: dati e servizi la cui compromissione può causare danni rilevanti per l'esercizio delle funzioni pubbliche.
- Strategici: dati e servizi la cui compromissione può rappresentare un rischio elevato alla sicurezza nazionale.
L’Ambiente di Condivisione dei Dati, come luogo digitale dell’esecuzione del contratto pubblico, deve essere in grado di supportare questa classificazione, garantendo livelli di sicurezza e protezione adeguati a ciascuna categoria.
Requisiti tecnici e organizzativi
Il Regolamento stabilisce i requisiti minimi per le infrastrutture digitali, tra cui:
- Sicurezza: adozione di tecnologie di sicurezza avanzate, come crittografia, gestione degli accessi basata sui ruoli (RBAC) e sistemi di prevenzione e rilevamento delle intrusioni (IPS/IDS).
- Qualità e performance: caratteristiche di qualità, sicurezza, performance, scalabilità e portabilità dei servizi cloud.
- Efficienza energetica: adozione di tecnologie e procedure che migliorino l'efficienza energetica delle infrastrutture cloud e dei data center della PA.
L’Ambiente di Condivisione dei Dati deve essere progettato e implementato in conformità con questi requisiti, assicurando che le soluzioni di condivisione dati siano sicure, performanti e sostenibili.
Processo di qualificazione e monitoraggio
Il Regolamento introduce un processo di qualificazione digitale per i fornitori di servizi cloud, con qualifiche valide per 36 mesi e soggette a monitoraggio continuo da parte di ACN per verificare il rispetto dei requisiti.
L’ACDat, come soluzione di condivisione dati, deve essere in grado di soddisfare questi requisiti di qualificazione e sottoporsi a monitoraggio regolare per garantire la conformità e l'affidabilità nel tempo.
Conclusioni
Il Regolamento ACN rappresenta un passo fondamentale verso un quadro normativo armonizzato per le infrastrutture e i servizi cloud nella PA. La scelta di un ACDat come ambiente di condivisione dati deve essere valutata attentamente, assicurando che rispetti i requisiti di classificazione, sicurezza, qualità, performance, efficienza energetica e monitoraggio stabiliti dal Regolamento. Solo in questo modo si potrà garantire una gestione efficace, sicura e sostenibile dei dati e dei servizi digitali nella Pubblica Amministrazione.
Per chi cerca risposte concrete, questo articolo è un ottimo punto di partenza. https://blog.blumatica.it/wp-content/uploads/2025/05/bim-e-cybersicurezza-la-piattaforma-digitale-collaborativa-acdat-rientra-tra-i-servizi-cloud-regolati-dallacn.pdf