L’Agenzia per la sicurezza nazionale subentra ad Agid e verifica i fornitori. Opportunità in vista del PNRR.
Qualificazione dei fornitori cloud per la Pubblica Amministrazione: ecco le ultime novità.
Fino a poche settimane addietro, l’Agenzia per l’Italia Digitale (AgID) per i fornitori di servizi cloud (i cosiddetti Cloud Service Provider), chiedeva la Cloud Security Alliance (una sorta di autovalutazione), mentre le certificazioni ISO 9001 e ISO 27001 non erano, in generale, obbligatorie.
Dal 19 gennaio 2023, la qualificazione dei servizi cloud per la Pubblica Amministrazione è passata sotto la competenza dell’Agenzia per la Cybersicurezza Nazionale (ACN), che subentra ad AgID.
La novità rilevante è che per i Cloud Service Provider, scelti dalle Pubbliche Amministrazioni, si passerà da un’autocertificazione dei requisiti a una verifica, anche periodica, da parte dell’Agenzia per la Cybersicurezza Nazionale.
L’ACN potrà svolgere accertamenti di carattere tecnico, anche mediante accesso all’infrastruttura fisica e logica del servizio cloud.
Cosa succede se non si rispettano i nuovi requisiti
Chi non rispetta i nuovi requisiti va incontro alla sospensione o alla revoca della qualifica posseduta.
La qualificazione di ACN sarà molto più stringente per rendere più sicura l’acquisizione dei servizi cloud da parte delle amministrazioni (in linea con le indicazioni della Strategia Nazionale di Cybersicurezza).
Inizialmente ci sarà un regime transitorio, dal 19 Gennaio 2023 al 31 Luglio 2023, durante il quale tutti i fornitori di Servizi Cloud e di Infrastrutture dei Servizi Cloud che sono già in possesso di una qualificazione, ottenuta ai sensi delle circolari AgID n. 2 e n. 3 del 2018 e ancora valida, rientreranno, rispettivamente, nelle nuove qualifiche di livello QC1, per i servizi, e di livello QI1, per le infrastrutture.
Durante questo periodo transitorio tutti i fornitori dovranno adeguarsi alle misure previste dalla Determinazione n. 307 del 18 gennaio 2022, per il livello di qualificazione desiderato (QC1-QC4 per i Servizi, QI1-QI4 per le Infrastrutture).
La tendenza che stiamo registrando come Dimitto Certification Services è una forte corsa, da parte delle aziende, a certificarsi ISO 9001 e ISO 27001 per prepararsi a questo nuovo corso.
PNRR e servizi digitali: risorse per miliardi di euro
Questo anche, e soprattutto, in ottica PNRR e Programma Cybersecurity.
Difatti nell’ambito della Missione 1 Digitalizzazione, Innovazione, Competitività, Cultura e Turismo sono incluse le attività di transizione digitale della Pubblica Amministrazione, quali il progetto del Cloud Nazionale e la digitalizzazione dei processi e servizi per i cittadini, la cui realizzazione porterà al potenziamento delle capacità di resilienza delle infrastrutture e dei servizi digitali del Paese (solo per i Comuni le risorse disponibili in quest’ambito ammontano a 1,29 mld).
Nello specifico, nell’ambito della Missione 1 è previsto l’Investimento 1.5 “Cybersecurity” (pari a 623 milioni di euro), rimesso all’Agenzia per la Cybersicurezza Nazionale quale Soggetto Attuatore. In tal senso si prevede la realizzazione di specifiche progettualità per la creazione e lo sviluppo di servizi all’avanguardia per la gestione del rischio cyber, con strette connessioni, a livello nazionale e internazionale, con tutti i principali partner della Pubblica Amministrazione, dell’impresa e dei fornitori di tecnologia.
Cosa puoi fare subito
Ecco perché, in ottica di potenziamento del proprio business, per molte aziende sarebbe auspicabile intraprendere il percorso della certificazione ISO 27001. Ancora meglio se abbinato al percorso di certificazioni ISO 9001.
Ad alcuni preoccupa intraprendere percorsi del genere. Le preoccupazioni nascono dai dubbi e si vorrebbero fare molte domande. Questo è positivo, perché i punti interrogativi, se capovolti, diventano dei ganci, gli stessi a cui ancorare il proprio sviluppo.
Per qualsiasi domanda, chiamaci, saremo lieti di iniziare insieme questo cammino.
Donato Paterna, lead auditor, responsabile schema ISO 27001
