Lo scorso 19 aprile 2022 il Ministero dell’Innovazione e Transizione digitale ha pubblicato il bando 1.2 Abilitazione al Cloud per le PA Locali Comuni Cloud. In particolare, l’Avviso Investimento 1.2 “Abilitazione al cloud per le PA Locali” Comuni Aprile 2022 ha come data ultima il prossimo 22 luglio 2022 per la presentazione della domanda di classificazione dati e partecipazione.
Entro tale data è necessario, per partecipare:
- classificare i propri servizi e dati secondo il nuovo Regolamento Cloud di AgID;
- fare un piano di migrazione al cloud dei propri servizi/dati/carichi da attuare nei mesi successivi.
PNRR, come abilitare il cloud per la PA locale: i dettagli del bando pubblicato il 19 aprile
Indice degli argomenti
Servizi cloud: la classificazione col nuovo regolamento
In particolare, il Regolamento Cloud ha come obiettivi:
- predisporre il modello per la classificazione dei dati e dei servizi digitali (art.4);
- aggiornare i livelli minimi di sicurezza delle infrastrutture digitali per la PA destinate a trattare le 3 diverse tipologie di dati: strategici, critici e ordinari (art. 7);
- aggiornare le caratteristiche di qualità dei servizi cloud destinati a trattare le 3 diverse tipologie di dati e servizi delle PA (art. 8);
- definire i criteri di qualificazione dei servizi cloud per la PA secondo i 4 livelli individuati (art. 11).
Essendo il regolamento del 21 dicembre 2021, la domanda rimasta aperta è: la classificazione AgID precedente vale ancora (Cloud Service Provider – CSP, marketplace AgID) o viene soppiantata da quella realizzata con il Regolamento (pur non essendo una certificazione ma una qualificazione)?
A tal proposito, AgID ha risposto con una comunicazione del 3 marzo 2022 come segue:
“In considerazione del carattere innovativo di detto aggiornamento regolamentare, si è ritenuto opportuno emanare la presente Circolare esplicativa che non sostituisce le precedenti Circolari AgID n. 2 e n. 3 del 2018, relativamente ai requisiti ivi statuiti, ma intende fornire agli operatori del settore, sia pubblici che privati, opportuni chiarimenti, indicazioni ed elementi informativi per una più agevole ed univoca applicazione delle norme del Regolamento sul “Cloud della PA”.
Infatti, pur essendo state apportate numerose e significative modifiche rispetto ai requisiti contenuti negli allegati alle precedenti Circolari AgID, nelle more dei decreti del Presidente del Consiglio dei Ministri di cui all’art. 14 del Regolamento sul “Cloud della PA” e del necessario perfezionamento del trasferimento di competenza ed attribuzioni all’Agenzia per la Cybersicurezza Nazionale (ACN), restano ferme le attività per la qualificazione dei Cloud Service Provider (CSP) e dei servizi cloud IaaS, PaaS e dei servizi SaaS svolte da AgID.
Il soggetto pubblico e/o privato che intende conseguire la qualificazione dell’infrastruttura digitale e la qualificazione dei servizi IaaS e PaaS di cui è titolare, trasmette ad AgID la relativa istanza, ai sensi dell’art. 4 della Circolare AgID n. 2 del 2018. Il soggetto che intende erogare servizi SaaS cloud ad altre amministrazioni su una o più infrastrutture digitali qualificate da AgID, procede alla presentazione della richiesta di qualificazione, ai sensi dell’art. 5 della Circolare AgID n. 3 del 2018”.
Successivamente, è stato pubblicato il seguente approfondimento sul quadro regolatorio in data 29 marzo 2022:
“A partire dal 18 gennaio 2023, tutti i fornitori che intendono erogare servizi cloud alle amministrazioni pubbliche dovranno aver qualificato questi servizi in conformità ai nuovi requisiti indicati nel Regolamento per il Cloud della PA, pubblicato da AGID il 15 dicembre 2021, e dagli atti successivi al regolamento emanati da ACN. Il regolamento definisce i requisiti minimi per le infrastrutture digitali, le caratteristiche e le modalità di qualificazione e migrazione dei servizi cloud”.
Lo spartiacque tra vecchia e nuova classificazione
Quindi, riassumendo le date principali per la classificazione dei servizi cloud:
- 15 dicembre2021: Adozione Regolamento Cloud (che aveva deadline 18.01.2022 di presentazione);
- fino al 18 gennaio2023: la classificazione di riferimento è quella AgID, circolari 2 e 3 AgID 2018;
- dopo il 18 gennaio2023: la classificazione di riferimento è quella AgID, Regolamento Cloud.
Nei bandi PAdigitale2026, viene richiesta classificazione dei dati secondo quanto indicato da AgID, quindi al momento circolari 2 e 3 AgID 2018 a cui sommare i principi DNSH per il cloud.
Questo è stato confermato anche in un webinar con il Dipartimento per la Trasformazione Digitale (DTD): alla domanda “quale classificazione va utilizzata?” la risposta è stata “quella del marketplace AgID fino all’entrata in vigore della nuova”.
Se tutto quanto sopra è assodato secondo ricostruzione delle varie comunicazioni, rimane da capire per la partecipazioni all’avviso Abilitazione al Cloud e all’avviso Esperienze del Cittadino se la classificazione del Cloud Service Provider (CSP) va considerata alla data di partecipazione (al 22 luglio 2022 posso probabilmente solo considerare CSP secondo circolari 2,3 AgID 2018), alla data di erogazione (dopo il 15 ottobre 2022) o alla data di verifica (a completamento lavori) per la compliance delle caratteristiche del CSP stesso.
È inoltre fondamentale per tutti i CSP tenere ben presente la data del 18 gennaio 2023 come spartiacque tra le due classificazioni, la “vecchia del 2018” e la “nuova del 2021 del Regolamento” e tenere monitorati i siti di AgID, Cloud Italia e ACN per eventuali nuove comunicazioni.
