Il Ministro per l’innovazione tecnologica e la transizione digitale, Vittorio Colao, il Sottosegretario di Stato delegato alla Sicurezza, Franco Gabrielli, il Direttore generale dell’Agenzia per la cybersicurezza Nazionale, Roberto Baldoni, e il Chief Technology Officer del Dipartimento per la Trasformazione digitale, Paolo de Rosa, hanno annunciato oggi la Strategia Cloud Italia. Secondo il Ministro Colao, tale Strategia è funzionale alla creazione di “una casa moderna, sicura e flessibile per gli italiani”, un cloud nazionale per la Pubblica Amministrazione.

In linea con il PNRR elaborato dal Governo, che prevede lo stanziamento di quasi 8 miliardi di euro per la digitalizzazione della Pubblica Amministrazione, tale documento approfondisce aspetti strategici per il percorso di migrazione verso il cloud di dati e servizi digitali di tutte le Pubbliche Amministrazioni e illustra in modo chiaro i criteri di classificazione e la composizione della infrastruttura ad alta affidabilità, il Polo Strategico Nazionale, che ospiterà i servizi strategici e critici. Lo scopo è quello di superare la frammentarietà degli asset infrastrutturali IT, mettere in sicurezza i data center di interesse strategico, e consentire alle Pubbliche Amministrazioni di muoversi verso l’erogazione di servizi digitali in una situazione di maggiore sicurezza e ad alta affidabilità.

In continuità con le norme di settore a livello europeo e nazionale, rispettivamente Direttiva NIS e Perimetro di sicurezza nazionale cibernetica, la Strategia Cloud Italia ha come obiettivo quello di migliorare il livello di sicurezza del sistema paese affrontando le sfide cloud secondo tre aspetti fondamentali:

» la ricerca dell’autonomia tecnologica, funzionale al raggiungimento della sovranità digitale,

» il controllo dei dati, fondamentale nell’epoca dei Big Data,

» la resilienza delle infrastrutture, di cruciale importanza per garantire la continuità nell’erogazione dei servizi IT.

A tale scopo è necessario mantenere la sovranità anche su quello che è definito il ciclo di vita dei dati.
Mediante l’approccio cloud first, la Strategia intende guidare e favorire l’adozione sicura, controllata e completa delle tecnologie cloud da parte del settore pubblico, in linea con i principi di tutela della privacy e con le raccomandazioni delle istituzioni europee e nazionali. In tal modo le infrastrutture digitali saranno più affidabili e sicure, e la Pubblica Amministrazione potrà rispondere in maniera organizzata agli attacchi informatici, garantendo continuità e qualità nella fruizione di dati e servizi.

Le tre direttrici

La strategia, infatti, si sviluppa secondo tre direttrici che guideranno gli enti nelle scelte da compiere rispetto alle diverse soluzioni di migrazione verso soluzioni cloud.

Classificare dati e servizi della PA per guidare e supportare la migrazione al cloud: regolamentare l’ampia offerta di servizi cloud disponibili sul mercato consente di mitigare i rischi sistemici di sicurezza e affidabilità. In quest’ottica la classificazione di dati e servizi, introdotta dalla strategia, li cataloga in base al danno che una loro compromissione potrebbe provocare al sistema Paese: strategici, che riguardano la sicurezza nazionale; critici, come ad esempio quelli sanitari; ordinari. In base alla tipologia di dati e servizi offerti, sarà la Pubblica Amministrazione a valutare la tipologia di servizio cloud di cui ha bisogno e richiedere la tipologia di servizi necessari alle proprie esigenze.

Qualificare i servizi cloud attraverso un processo di scrutinio tecnologico: la qualificazione dell’offerta dei servizi cloud si pone l’obiettivo di semplificare e regolamentare, dal punto di vista tecnico e amministrativo, l’acquisizione di servizi cloud da parte delle amministrazioni. Gli aspetti presi in considerazione sono: la gestione operativa dei servizi, in particolare gli standard tecnico-organizzativi applicativi e le misure di controllo sui dati; i requisiti di sicurezza per la gestione dei dati, l’erogazione di servizi e le condizioni contrattuali relative all’erogazione e alla rendicontazione del servizio.

Le quattro soluzioni cloud

La Strategia prevede 4 differenti soluzioni cloud:

» Pubblico qualificato nel rispetto delle normative UE;

» Pubblico con criptazione dei dati. Le chiavi di criptazione sono gestite nel territorio nazionale;

» Privato/ibrido concesso con licenza. Le chiavi di criptazione sono gestite nel territorio nazionale;

» Privato qualificato mediante scrutinio tecnologico. Tutta la filiera è gestita dal fornitore e consente il massimo controllo sui dati.

Per le PA che trattano dati ed erogano servizi ordinari è sufficiente la prima tipologia di cloud. Per le Amministrazioni che trattano dati ed erogano servizi critici è necessario adottare almeno un cloud appartenente alla seconda categoria.  Per quanto riguarda le Amministrazioni centrali, quindi quelle che trattano dati strategici, è necessario adottare una soluzione cloud a partire dalla terza tipologia, anche alla luce del fatto che la localizzazione fisica dei dati strategici è fondamentale ai fini della sicurezza nazionale.