Il Ministro per l’innovazione tecnologica e la transizione digitale, Vittorio Colao, il Sottosegretario di Stato delegato alla Sicurezza, Franco Gabrielli, il Direttore generale dell’Agenzia per la cybersicurezza Nazionale, Roberto Baldoni, e il Chief Technology Officer del Dipartimento per la Trasformazione digitale, Paolo de Rosa, hanno annunciato oggi la Strategia Cloud Italia. Secondo il Ministro Colao, tale Strategia è funzionale alla creazione di “una casa moderna, sicura e flessibile per gli italiani”, un cloud nazionale per la Pubblica Amministrazione.
In linea con il PNRR elaborato dal Governo, che prevede lo stanziamento di quasi 8 miliardi di euro per la digitalizzazione della Pubblica Amministrazione, tale documento approfondisce aspetti strategici per il percorso di migrazione verso il cloud di dati e servizi digitali di tutte le Pubbliche Amministrazioni e illustra in modo chiaro i criteri di classificazione e la composizione della infrastruttura ad alta affidabilità, il Polo Strategico Nazionale, che ospiterà i servizi strategici e critici. Lo scopo è quello di superare la frammentarietà degli asset infrastrutturali IT, mettere in sicurezza i data center di interesse strategico, e consentire alle Pubbliche Amministrazioni di muoversi verso l’erogazione di servizi digitali in una situazione di maggiore sicurezza e ad alta affidabilità.
In continuità con le norme di settore a livello europeo e nazionale, rispettivamente Direttiva NIS e Perimetro di sicurezza nazionale cibernetica, la Strategia Cloud Italia ha come obiettivo quello di migliorare il livello di sicurezza del sistema paese affrontando le sfide cloud secondo tre aspetti fondamentali:
» la ricerca dell’autonomia tecnologica, funzionale al raggiungimento della sovranità digitale,
» il controllo dei dati, fondamentale nell’epoca dei Big Data,
» la resilienza delle infrastrutture, di cruciale importanza per garantire la continuità nell’erogazione dei servizi IT.
A tale scopo è necessario mantenere la sovranità anche su quello che è definito il ciclo di vita dei dati.
Mediante l’approccio cloud first, la Strategia intende guidare e favorire l’adozione sicura, controllata e completa delle tecnologie cloud da parte del settore pubblico, in linea con i principi di tutela della privacy e con le raccomandazioni delle istituzioni europee e nazionali. In tal modo le infrastrutture digitali saranno più affidabili e sicure, e la Pubblica Amministrazione potrà rispondere in maniera organizzata agli attacchi informatici, garantendo continuità e qualità nella fruizione di dati e servizi.
Le tre direttrici
La strategia, infatti, si sviluppa secondo tre direttrici che guideranno gli enti nelle scelte da compiere rispetto alle diverse soluzioni di migrazione verso soluzioni cloud.
Classificare dati e servizi della PA per guidare e supportare la migrazione al cloud: regolamentare l’ampia offerta di servizi cloud disponibili sul mercato consente di mitigare i rischi sistemici di sicurezza e affidabilità. In quest’ottica la classificazione di dati e servizi, introdotta dalla strategia, li cataloga in base al danno che una loro compromissione potrebbe provocare al sistema Paese: strategici, che riguardano la sicurezza nazionale; critici, come ad esempio quelli sanitari; ordinari. In base alla tipologia di dati e servizi offerti, sarà la Pubblica Amministrazione a valutare la tipologia di servizio cloud di cui ha bisogno e richiedere la tipologia di servizi necessari alle proprie esigenze.
Qualificare i servizi cloud attraverso un processo di scrutinio tecnologico: la qualificazione dell’offerta dei servizi cloud si pone l’obiettivo di semplificare e regolamentare, dal punto di vista tecnico e amministrativo, l’acquisizione di servizi cloud da parte delle amministrazioni. Gli aspetti presi in considerazione sono: la gestione operativa dei servizi, in particolare gli standard tecnico-organizzativi applicativi e le misure di controllo sui dati; i requisiti di sicurezza per la gestione dei dati, l’erogazione di servizi e le condizioni contrattuali relative all’erogazione e alla rendicontazione del servizio.
Le quattro soluzioni cloud
La Strategia prevede 4 differenti soluzioni cloud:
» Pubblico qualificato nel rispetto delle normative UE;
» Pubblico con criptazione dei dati. Le chiavi di criptazione sono gestite nel territorio nazionale;
» Privato/ibrido concesso con licenza. Le chiavi di criptazione sono gestite nel territorio nazionale;
» Privato qualificato mediante scrutinio tecnologico. Tutta la filiera è gestita dal fornitore e consente il massimo controllo sui dati.
Per le PA che trattano dati ed erogano servizi ordinari è sufficiente la prima tipologia di cloud. Per le Amministrazioni che trattano dati ed erogano servizi critici è necessario adottare almeno un cloud appartenente alla seconda categoria. Per quanto riguarda le Amministrazioni centrali, quindi quelle che trattano dati strategici, è necessario adottare una soluzione cloud a partire dalla terza tipologia, anche alla luce del fatto che la localizzazione fisica dei dati strategici è fondamentale ai fini della sicurezza nazionale.