Acronis ha annunciato di aver ottenuto il livello di qualificazione QI2/QC2, come definito dall’Agenzia Nazionale per la Sicurezza Informatica (ACN) nella Determinazione n. 307/2022. La qualificazione, relativa ad Acronis Cyber Infrastructure e Acronis Cyber Cloud, certifica il possesso dei requisiti per la gestione dei dati e dei workload critici per i clienti della Pubblica Amministrazione italiana.
La certificazione consente ai clienti e ai Partner responsabili della gestione di workload critici di avvalersi dell’accreditamento ottenuto da Acronis per fornire più servizi, nel rispetto dei criteri stabiliti dalla Determinazione 307/2022 di ACN.
“Le procedure di qualificazione della Strategia Cloud Italia, gestite da ACN, svolgono un ruolo fondamentale nel garantire la sicurezza e l’affidabilità dei servizi cloud offerti al settore pubblico italiano. Avendo superato con successo il processo di qualificazione, Acronis può imporre ai fornitori criteri rigorosi, come la conformità alle normative sulla protezione dei dati e agli standard di Cyber Security. Il pieno rispetto di questi requisiti ci permette di contribuire alla resilienza delle pubbliche amministrazioni locali, delle infrastrutture digitali e dei servizi essenziali”, commenta Denis Cassinerio, Senior Sales Director e General Manager South EMEA di Acronis.
Acronis ha ottenuto la qualificazione QI2/QC2 di ACN per la gestione di dati e workload critici perché soddisfa 366 requisiti in ambito di sicurezza, capacità di elaborazione, affidabilità dell’infrastruttura e scalabilità dei servizi cloud, comprese anche le certificazioni relative agli standard di sicurezza e conformità quali ISO 9001, ISO/IEC 27001 e le relative estensioni per la sicurezza del cloud ISO/IEC 27017 e ISO/IEC 27018.
La Strategia Cloud Italia, realizzata dal Dipartimento per la trasformazione digitale e da ACN, indica i criteri di classificazione di dati e servizi e di composizione dell’infrastruttura cloud e contiene gli indirizzi strategici per il percorso di migrazione verso il cloud di dati e servizi digitali della Pubblica Amministrazione italiana.
L’iniziativa parte dal principio che le pubbliche amministrazioni gestiscono dati e workload che operano a diversi livelli di criticità. Nel percorso di migrazione da una soluzione locale a una soluzione cloud, gli enti pubblici sono tenuti a identificare la classe di rischio a cui appartengono i workload e i dati che gestiscono.
La qualificazione QI2/QC2 ottenuta da Acronis in Italia consente ai clienti e partner di commercializzare per primi servizi cloud innovativi, progettati per gestire i workload critici della Pubblica Amministrazione italiana e ospitati sull’infrastruttura cloud di Acronis sfruttando il centro dati di Acilia (RM) e concentrandosi sui principi del National Cybersecurity Framework e del NIST per fornire una migliore resilienza alle istituzioni governative italiane.
La qualificazione di Acronis, che sarà disponibile sul Cloud Marketplace di ACN nelle prossime settimane, mette in evidenza l’impegno continuo di Acronis nel soddisfare gli elevati standard di sicurezza richiesti da ACN ai fornitori di servizi cloud e consentirà all’azienda di vendere il suo servizio cloud (ACPC) direttamente alla pubblica amministrazione italiana o ai suoi fornitori e di partecipare a gare d’appalto pubbliche.
I livelli di classificazione di dati e servizi pubblici
La classificazione è stata definita all’interno della Strategia Cloud Italia pubblicata a settembre 2021 dall’Agenzia per la Cybersicurezza Nazionale e il Dipartimento per la trasformazione digitale ed è indispensabile per realizzare il necessario salto di qualità in materia di cybersicurezza della PA. La Strategia, la cui attuazione è affidata al quadro normativo del Regolamento per il Cloud della PA e dei suoi atti successivi, è volta a rafforzare la sicurezza dei dati e dei servizi della Pubblica Amministrazione.
La classificazione consente di raggruppare dati e servizi pubblici in tre livelli:
- strategico: servizi la cui compromissione può avere un impatto sulla sicurezza nazionale;
- critico: servizi la cui compromissione può determinare un pregiudizio al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza e il benessere economico e sociale del Paese;
- ordinario: servizi la cui compromissione non provochi un pregiudizio per il benessere economico e sociale del Paese.
I requisiti per la qualificazione
Ai fini della qualificazione di livello QC2 è richiesto il rispetto dei requisiti per il livello di qualificazione QC1. È richiesto inoltre il rispetto delle caratteristiche di qualità, di sicurezza, di performance e di scalabilità, di interoperabilità, di portabilità di cui all’allegato B2 dell’Atto per i servizi cloud per la PA che possono trattare dati e servizi classificati quali critici, ai sensi dell’articolo 3 del Regolamento. Sono richieste un’autocertificazione che attesti la conformità allo standard ISO 22301 – Business Continuity Management System (Gestione della continuità operativa) per il servizio cloud oggetto di qualifica e un’autocertificazione che attesti la conformità allo standard ISO 20000 – Service Management System per il servizio cloud oggetto di qualifica.
Ai fini della qualificazione di livello QI2 è richiesto il rispetto dei requisiti per il livello di qualificazione QI1. È richiesto inoltre il rispetto dei livelli minimi di cui all’allegato A2 dell’Atto per le infrastrutture per la pubblica amministrazione che possono trattare dati e servizi classificati quali critici, ai sensi dell’articolo 3 del Regolamento. Sono richieste un’autocertificazione che attesti la conformità allo standard ISO 22301 – Business Continuity Management System (Gestione della continuità operativa) per l’infrastruttura digitale oggetto di qualifica e la certificazione ISO/IEC 27001:2013 – Sistema di gestione per la sicurezza delle Informazioni per l’infrastruttura digitale oggetto di qualifica.
