Strategia Cloud Italia: è questo il nome del documento che approfondisce aspetti strategici per il percorso di migrazione verso il cloud di dati e servizi digitali delle amministrazioni pubbliche italiane.
Il testo illustra in modo chiaro i criteri di classificazione e la composizione della infrastruttura ad alta affidabilità (Polo Strategico Nazionale) che ospiterà i servizi strategici e critici.
Ad illustrarne i contenuti sono intervenuti il Ministro per l’innovazione tecnologica e la transizione digitale, Vittorio Colao, il Sottosegretario di Stato delegato alla Sicurezza, Franco Gabrielli, il Direttore generale dell’Agenzia per la Cybersicurezza Nazionale, Roberto Baldoni, e il Chief Technology Officer del Dipartimento per la Trasformazione digitale, Paolo de Rosa.
La digitalizzazione della Pubblica Amministrazione si impone come obiettivo prioritario del Piano Nazionale di Ripresa e Resilienza per garantire ai cittadini e alle imprese servizi pubblici di maggiore qualità, efficienza ed efficacia, oltre che per creare nuove opportunità di sviluppo per l’economia digitale del Paese.
In questo processo di trasformazione digitale, la Strategia Cloud Italia riveste un ruolo centrale e, in continuità con le iniziative previste nel piano nazionale, introduce importanti novità al fine di semplificare il lavoro delle amministrazioni.
Mediante l’approccio cloud first, la strategia intende guidare e favorire l’adozione sicura, controllata e completa delle tecnologie cloud da parte del settore pubblico, in linea con i principi di tutela della privacy e con le raccomandazioni delle istituzioni europee e nazionali.
In tal modo le infrastrutture digitali saranno più affidabili e sicure, e la Pubblica Amministrazione potrà rispondere in maniera organizzata agli attacchi informatici, garantendo continuità e qualità nella fruizione di dati e servizi.
La qualificazione dei servizi cloud
L’acquisizione di servizi Cloud da parte delle Pubbliche Amministrazioni avviene mediante procedure di acquisto la cui scarsa flessibilità difficilmente permette di tenere il passo del mercato e, soprattutto, di valutare gli effettivi rischi tecnici e organizzativi connessi all’adozione di uno specifico servizio.
Nella prospettiva di facilitare e guidare l’implementazione della policy “Cloud-First” per la PA, risulta dirimente offrire un servizio di qualificazione ex-ante dei servizi Cloud acquistabili dalla PA.
Tale qualificazione, partendo dall’esperienza maturata da AgID, si pone l’obiettivo di semplificare e regolamentare, sia dal punto di vista tecnico che amministrativo, l’adozione di servizi Cloud.
Sulla base dell’analisi delle soluzioni tecnologiche e organizzative disponibili sul mercato, i tre aspetti di analisi permettono di individuare a priori la qualificazione dei servizi cloud secondo quattro tipi di cloud.
I quattro cloud per l’Italia
I servizi di Cloud Pubblico qualificato (UE) compatibili con legislazioni rilevanti in materia (es. GDPR e NIS) che consento la localizzazione dei dati in UE e il rispetto di requisiti di sicurezza tecnico organizzativi, tipicamente sulla base di sistemi di cifratura granulare gestiti dal fornitore CSP.
I servizi di Cloud pubblico con controllo on-premise dei meccanismi di sicurezza, definito Cloud Pubblico Criptato (IT), che consentono di incrementare significativamente il livello di controllo sui dati e servizi, introducendo un maggior livello di autonomia dai CSP extra-UE nella gestione operativa e il controllo delle infrastrutture tecnologiche.
Le soluzioni di Cloud privato e ibrido, permettono la localizzazione dei dati in Italia e maggior isolamento dalle region pubbliche dei principali CSP. Tali garanzie di autonomia sono ottenute mediante la gestione operativa da parte di un fornitore soggetto a vigilanza e monitoraggio pubblico.
I servizi di Cloud privato, che verrano qualificati attraverso scrutinio tecnologico
Infine, i servizi di Cloud Pubblico non qualificato (extra UE/UE). Si tratta di quei servizi che non rispondono ai criteri tecnico-organizzativi e normativi individuati in precedenza, e di conseguenza esclusi dal piano illustrato.
Gli ambiti di utilizzo dei servizi cloud
I servizi Cloud qualificati potranno essere utilizzati, in accordo alla classificazione dei dati, con vincoli ben delineati.
Le offerte di Cloud Pubblico Qualificato e Pubblico Criptato, potranno ospitare dati e servizi ordinari.
Le offerte di Cloud Pubblico Criptato, Privato/Ibrido “su licenza“ e Privato Qualificato potranno ospitare dati e servizi critici.
Le offerte di Cloud Privato/Ibrido “su licenza“ e Privato Qualificato potranno ospitare dati e servizi strategici.
Questo processo di adozione dei servizi Cloud nella PA, dovrà culminare con la realizzazione di un mercato elettronico dei servizi Cloud qualificati.
Questo mercato dovrà rappresentare il mezzo mediante il quale le amministrazioni saranno guidate, in accordo al processo di classificazione dei dati e dei servizi, nella scelta dei servizi Cloud per loro più idonei e all’acquisto diretto con strumenti amministrativi semplificati e pre-negoziati.
Tre le sfide che la Strategia Cloud Italia intende affrontare, assicurare l’autonomia tecnologica del Paese, garantire il controllo sui dati e aumentare la resilienza dei servizi digitali.
La strategia, infatti, si sviluppa secondo tre direttrici che guideranno gli enti nelle scelte da compiere rispetto alle diverse soluzioni di migrazione al cloud.
Le tre direttrici che saranno seguite dalla PA
Classificare dati e servizi della PA per guidare e supportare la migrazione al cloud.
Regolamentare l’ampia offerta di servizi cloud disponibili sul mercato consente di mitigare i rischi sistemici di sicurezza e affidabilità. In quest’ottica la classificazione di dati e servizi, introdotta dalla strategia, li cataloga in base al danno che una loro compromissione potrebbe provocare al sistema Paese (strategici, critici e ordinari).
Qualificare i servizi cloud attraverso un processo di scrutinio tecnologico.
La qualificazione dell’offerta dei servizi cloud si pone l’obiettivo di semplificare e regolamentare, dal punto di vista tecnico e amministrativo, l’acquisizione di servizi cloud da parte delle amministrazioni. Gli aspetti presi in considerazione sono: la gestione operativa dei servizi, in particolare gli standard tecnico-organizzativi applicativi e le misure di controllo sui dati; i requisiti di sicurezza per la gestione dei dati, l’erogazione di servizi e le condizioni contrattuali relative all’erogazione e alla rendicontazione del servizio.
Realizzare il PSN dedicato ai servizi strategici, sotto controllo e indirizzo pubblico.
Il Polo Strategico Nazionale ha l’obiettivo di dotare la Pubblica Amministrazione di tecnologie e infrastrutture cloud che possano beneficiare delle più alte garanzie di affidabilità, resilienza e indipendenza. Il Polo sarà distribuito geograficamente sul territorio nazionale presso siti opportunamente identificati, per garantire adeguati livelli di continuità operativa e tolleranza ai guasti. Il controllo e le linee di indirizzo del PSN saranno pubbliche e indipendenti da soggetti terzi. La gestione operativa sarà affidata a un fornitore qualificato sulla base di requisiti tecnico-organizzativi.
Il Polo Strategico Nazionale
Il PSN ha l’obiettivo di dotare la PA di tecnologie e infrastrutture Cloud che possano beneficiare delle più alte garanzie di affidabilità, resilienza e indipendenza. A tal fine, si prevede che il PSN sia distribuito geograficamente sul territorio nazionale presso siti opportunamente identificati14, al fine di garantire adeguati livelli di continuità operativa e tolleranza ai guasti.
La gestione operativa del PSN, sarà affidata a un fornitore qualificato sulla base di opportuni requisiti tecnico-organizzativi. Il fornitore dovrà garantire il controllo sui dati in conformità con la normativa in materia, nonché rafforzare la possibilità della PA di negoziare adeguate condizioni contrattuali con i fornitori di servizi Cloud.
Il PSN dovrà permettere alla PA di garantire, sin dalla progettazione (by-design), il rispetto dei requisiti in materia di sicurezza, ad esempio PSNC e NIS, e di abilitare la migrazione, almeno inizialmente con un processo lift-and-shift, verso tipologie di servizi Cloud IaaS e PaaS.
In accordo alla classificazione fornita nella sezione precedente, il PSN offrirà servizi di Cloud Pubblico Criptato (IT), ovvero permetterà di gestire, ad esempio, strumenti di cifratura on-premise integrati su Cloud pubblico per la PA, e offrirà lo spettro di servizi Cloud privato/ibrido, ovvero il Cloud Privato/Ibrido “su licenza” (IT), il Cloud Privato Qualificato (IT).
Le tre fasi della Strategia Cloud Italia
Sono tre gli step previsti dal Governo per l’attuazione della nuova strategia.
La prima fase prevede la pubblicazione del bando di gara per la realizzazione del PSN: al più tardi entro la fine del 2021 si procederà a pubblicare il bando di gara per la realizzazione del Polo Strategico Nazionale.
La seconda fase, da portare a termine entro la fine del 2022, riguarda l’aggiudicazione del bando di gara per la realizzazione del PSN.
La terza fase, quella conclusiva, vedrà a partire dal 2022 la migrazione delle PA verso il PSN. Operazione che, secondo il piano, dovrà concludersi entro il 2025.
