Ermanno GolettoInfrastrutture di prossimità: cosa prevede il Regolamento Cloud per la PA adottato dall’ACN
Il Regolamento per le infrastrutture digitali e per i servizi cloud per la Pubblica Amministrazione adottato dall’Agenzia per la cybersicurezza nazionale (ACN), con Decreto Direttoriale n. 21007/24 del 27 giugno 2024, d’intesa con il Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei ministri, disciplina anche l’utilizzo dei servizi di prossimità (cosiddetti ‘edge computing’).
L’obiettivo è garantire che, anche in presenza di architetture distribuite (edge), siano mantenuti gli standard minimi di sicurezza, performance e governance richiesti per i servizi digitali della PA.
Il Piano Triennale per l’informatica nella Pubblica Amministrazione 2024 – 2026 approvato con il DPCM del 12 gennaio 2024 prevede , tra le linee di azione, che da gennaio 2024 le amministrazioni che intendono realizzare e/o utilizzare infrastrutture di prossimità verificano la conformità di queste ai requisiti del Regolamento Cloud per la PA a i sensi dell’Articolo 33-septies, comma 4, del decreto-legge 18 ottobre 2012, n. 179 e ne danno apposita comunicazione ad ACN (a riguardo si veda il Capitolo 6 del Piano Triennale per l’informatica nella Pubblica Amministrazione 2024 – 2026).
In questo articolo analizzeremo quali sono, secondo il Regolamento Cloud per la PA adottato dall’ACN, i requisiti, gli obblighi, i limiti e le modalità di utilizzo dei servizi cloud per la Pubblica Amministrazione che prevedono l’adozione di infrastrutture di prossimità. Per un approfondimento di carattere generale sul Regolamento Cloud per la PA adottato dall’ACN si veda invece il mio precedente articolo Regolamento Cloud per la PA: impatti sui Centri di Elaborazione Dati esistenti delle pubbliche amministrazioni locali.
Cosa sono le infrastrutture di prossimità
Le Infrastrutture di Prossimità sono definite nell’Articolo 1, comma 1, lettera m, punto 4 del Regolamento Cloud per la PA come:
“componenti di un’infrastruttura digitale, eventualmente messi a disposizione da terze parti, finalizzati all’incremento delle prestazioni nell’erogazione in prossimità dei servizi digitali delle amministrazioni”.
Sempre all’Articolo 1, comma 1, lettera m, punto 4 del Regolamento Cloud per la PA viene precisato che nello specifico può trattarsi di un singolo server o insieme di risorse di calcolo connesse che opera appunto nell’ambito di un’infrastruttura di prossimità, e che generalmente sono situati all’interno di un data center che opera all’estremità dell’infrastruttura, e quindi fisicamente più vicini agli utenti destinatari rispetto a un nodo cloud in un data center centralizzato.
Ovvero la logica di fondo è quella dell’edge computing, dove i dati e i servizi vengono elaborati più vicini agli utenti per migliorare la reattività.
Si noti che anche nel Capitolo 6 del Piano Triennale per l’informatica nella Pubblica Amministrazione 2024 – 2026 viene fornita una definizione simile a quella fornita da ACN nel Regolamento Cloud per la PA, ma con un’enfasi maggiore sul concetto di edge computing:
Per “infrastrutture di prossimità” (o edge computing) si intendono i nodi periferici (edge nodes), misurati come numero di nodi di calcolo con latenze inferiori a 20 millisecondi; si può trattare di un singolo server o di un altro insieme di risorse di calcolo connesse, operati nell’ambito di un’infrastruttura di edge computing, generalmente situati all’interno di un edge data center che opera all’estremità dell’infrastruttura, e quindi fisicamente più vicini agli utenti destinatari rispetto a un nodo cloud in un data center centralizzato”.
L’edge computing può essere ad esempio usato nel settore sanitario nella diagnostica per immagini oppure nella videosorveglianza per l’analisi di flussi video in tempo reale (es. riconoscimento targhe, rilevamento anomalie). Atri scenari plausibili di utilizzo di infrastrutture di prossimità nel contesto della Pubblica Amministrazione potrebbero essere:
- un’ASL regionale che voglia garantire tempi di risposta rapidi per applicazioni di telemedicina e monitoraggio in tempo reale dei pazienti nei reparti critici;
- un consorzio di istituti scolastici utilizzi una piattaforma didattica centralizzata su cloud, ma voglia garantirne la funzionalità anche su alcune aree rurali che soffrono di connettività instabile;
- un tribunale che gestisce udienze digitali e flussi documentali critici che necessitino di un trattamento temporaneo dei verbali d’udienza, registrazioni e allegati multimediali.
Figura 1: Edge Computing Architecture
Riferimenti alle infrastrutture di prossimità nel Regolamento Cloud per la PA
Prima di analizzare nel dettaglio come sono normate le infrastrutture di prossimità nel Regolamento Cloud per la PA, vediamo quali sono gli ambiti relativi alle infrastrutture di prossimità oggetto della regolamentazione riassunti per comodità nella seguente tabella.
|
Ambito |
Riferimento nel Regolamento Cloud per la PA |
Articoli correlati |
| Definizione | Articolo 1 (Definizioni), comma 1, lettera m, punto 4 | |
| Relazione di conformità ai fini dell’adeguamento dei servizi cloud per le pubbliche amministrazioni erogati da un soggetto pubblico, da società in house | Articolo 16 (Domanda di qualificazione dei servizi cloud per le pubbliche amministrazioni), comma 6 |
|
| Relazione di conformità ai fini della qualificazione dei servizi cloud per le pubbliche amministrazioni erogati da fornitori diversi da un soggetto pubblico o da società in house | Articolo 18 (Modalità e termini per l’adeguamento dei servizi cloud per le pubbliche amministrazioni), comma 5 |
|
| Requisiti per l’adeguamento e la qualificazione dei servizi cloud di livello 1 (AC1 e QC1) | Allegato 4, Paragrafo 2.4 |
|
| Requisiti per l’adeguamento di una infrastruttura dei servizi cloud di livello 1 (AI1) | Allegato 4, Paragrafo 6.4 |
|
| Requisiti per l’adeguamento di una infrastruttura dei servizi cloud di livello 3 | Allegato 4, Paragrafo 8.2 |
Requisiti per l’utilizzo di infrastrutture di prossimità
Requisiti a carico di soggetti pubblici o società in house
Nel caso di adeguamento di servizi cloud per le pubbliche amministrazioni erogati da un soggetto pubblico o da società in house, in base all’Articolo 16 comma 6 del Regolamento Cloud per la PA, è possibile ricorrere a infrastrutture di prossimità dandone evidenza nella relazione di conformità trasmessa ad ACN
del rispetto dei seguenti requisiti.
Requisito A1
Rispetto delle caratteristiche dei servizi cloud per le pubbliche amministrazioni normate dall’Articolo 8 del Regolamento Cloud per la PA, ovvero delle caratteristiche di qualità, di sicurezza, di performance e di scalabilità, di interoperabilità, di portabilità definite nell’Allegato 3 del Regolamento Cloud per la PA che stabilisce i livelli minimi in base alla classificazione dei dati e i servizi digitali come riportato nella seguente tabella:
| Classificazione | Livelli minimi di qualità, sicurezza, performance, scalabilità, interoperabilità e portabilità da rispettare |
| Ordinari | Si veda la sezione 2 dell’Allegato 3 |
| Critici | Si vedano le sezioni 2 e 3 dell’Allegato 3 |
| Strategici | Si vedano le sezioni 2, 3 e 4 dell’Allegato 3 |
Requisito A2
Rispetto dei requisiti per l’adeguamento dei servizi cloud per le pubbliche amministrazioni normati dall’Articolo 15 del Regolamento Cloud per la PA, che stabilisce i livelli per l’adeguamento dei servizi cloud per le pubbliche amministrazioni definiti nell’Allegato 4 del Regolamento Cloud per la PA in base alla classificazione dei dati e i servizi digitali come riportato nella seguente tabella:
| Classificazione | Tipologie servizi cloud ammesse ai fini dell’adeguamento |
| Ordinari | cloud di livello 1 (AC1), per i requisiti di veda la sezione 2 dell’Allegato 4
cloud di livello 2 (AC2), per i requisiti di veda la sezione 3 dell’Allegato 4 cloud di livello 3 (AC3), per i requisiti di veda la sezione 4 dell’Allegato 4 cloud di livello 4 (AC4) per i requisiti di veda la sezione 5 dell’Allegato 4 |
| Critici | cloud di livello 2 (AC2), per i requisiti di veda la sezione 3 dell’Allegato 4
cloud di livello 3 (AC3), per i requisiti di veda la sezione 4 dell’Allegato 4 cloud di livello 4 (AC4) per i requisiti di veda la sezione 5 dell’Allegato 4 |
| Strategici | cloud di livello 3 (AC3), per i requisiti di veda la sezione 4 dell’Allegato 4
cloud di livello 4 (AC4) per i requisiti di veda la sezione 5 dell’Allegato 4 |
Requisito A3
Rispetto dei requisiti per servizi cloud erogati in prossimità prescritti dal Paragrafo 2.4 dell’Allegato 4 del Regolamento Cloud per la PA, che stabilisce i seguenti requisisti aggiuntivi
per i servizi cloud erogati in prossimità di cui
il fornitore dei servizi cloud deve assicurare l’implementazione dei seguenti requisiti aggiuntivi.
Requisito A3.1: il servizio cloud erogato in prossimità deve prevedere una componente centrale, che deve rispettare i requisiti previsti per la qualificazione dei servizi cloud, ai sensi dell’Articolo 17 del Regolamento Cloud per la PA, definiti nell’Allegato 4 del Regolamento Cloud per la PA come riportato nella seguente tabella:
| Classificazione | Livelli di qualificazione dei servizi cloud per le pubbliche amministrazioni |
| Ordinari | cloud di livello 1 (QC1), per i requisiti di veda la sezione 2 dell’Allegato 4
cloud di livello 2 (QC2), per i requisiti di veda la sezione 3 dell’Allegato 4 cloud di livello 3 (QC3), per i requisiti di veda la sezione 4 dell’Allegato 4 cloud di livello 4 (QC4) per i requisiti di veda la sezione 5 dell’Allegato 4 |
| Critici | cloud di livello 2 (QC2), per i requisiti di veda la sezione 3 dell’Allegato 4
cloud di livello 3 (QC3), per i requisiti di veda la sezione 4 dell’Allegato 4 cloud di livello 4 (QC4) per i requisiti di veda la sezione 5 dell’Allegato 4 |
| Strategici | cloud di livello 3 (QC3), per i requisiti di veda la sezione 4 dell’Allegato 4
cloud di livello 4 (QC4) per i requisiti di veda la sezione 5 dell’Allegato 4 |
Requisito A3.2: la componente centrale del servizio cloud deve rispettare le modalità di adeguamento delle infrastrutture dei servizi cloud per le pubbliche amministrazioni previste dall’Articolo 14 del Regolamento Cloud per la PA, ovvero dovrà essere trasmessa ad ACN la relazione di conformità ai requisiti di adeguamento delle infrastrutture digitali per le pubbliche amministrazioni e delle infrastrutture dei servizi cloud per le pubbliche amministrazioni, ai sensi dell’Articolo 12 del Regolamento Cloud per la PA, definiti nell’Allegato 4 del Regolamento Cloud per la PA che stabilisce i livelli di adeguamento in base alla classificazione dei dati e i servizi digitali come riportato nella seguente tabella:
| Classificazione | Livelli di adeguamento delle infrastrutture digitali e dei servizi cloud per le pubbliche amministrazioni |
| Ordinari | cloud di livello 1 (AI1), per i requisiti di veda la sezione 6 dell’Allegato 4
cloud di livello 2 (AI2), per i requisiti di veda la sezione 7 dell’Allegato 4 cloud di livello 3 (AI3), per i requisiti di veda la sezione 8 dell’Allegato 4 cloud di livello 4 (AI4) per i requisiti di veda la sezione 9 dell’Allegato 4 |
| Critici | cloud di livello 2 (AI2), per i requisiti di veda la sezione 7 dell’Allegato 4
cloud di livello 3 (AI3), per i requisiti di veda la sezione 8 dell’Allegato 4 cloud di livello 4 (AI4) per i requisiti di veda la sezione 9 dell’Allegato 4 |
| Strategici | cloud di livello 3 (AI3), per i requisiti di veda la sezione 8 dell’Allegato 4
cloud di livello 4 (AI4) per i requisiti di veda la sezione 9 dell’Allegato 4 |
Inoltre la relazione di conformità dovrà dare evidenza anche del rispetto dei requisiti di livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità normati per le pubbliche amministrazioni delle infrastrutture dei servizi cloud per le pubbliche amministrazioni, ai sensi dell’Articolo 7 del Regolamento Cloud per la PA, definiti nell’Allegato 2 del Regolamento Cloud per la PA che stabilisce i livelli minimi in base alla classificazione dei dati e i servizi digitali come riportato nella seguente tabella:
| Classificazione | Livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità da rispettare |
| Ordinari | Si veda la sezione 2 dell’Allegato 2 |
| Critici | Si vedano le sezioni 2 e 3 dell’Allegato 2 |
| Strategici | Si vedano le sezioni 2, 3 e 4 dell’Allegato 2 |
Requisito A3.3: la componente centrale del servizio cloud deve rispettare la catena di qualificazione, ovvero deve essere erogata tramite un’infrastruttura digitale o un’infrastruttura dei servizi cloud adeguate;
Requisito A3.4: il servizio cloud può prevedere componenti locali che devono essere ospitate su infrastrutture digitali, infrastrutture dei servizi cloud o infrastrutture di prossimità adeguate;
Requisito A3.5: se la soluzione permette di scrivere localmente i dati degli applicativi (caching) questi devono essere trasferiti senza ingiustificato ritardo, anche attraverso operazioni programmate per gestire lotti massivi, presso uno o più repository Cloud; ovvero l’applicazione deve utilizzare i dati presenti sulla componente centrale e non i dati presenti localmente che devono essere esclusivamente di natura temporanea ad uso e consumo per la gestione ordinaria e quindi disponibili solo per il tempo necessario allo scopo configurabile a cura degli amministratori;
Requisito A3.6: se non vi sono motivate giustificazione di natura tecnica o normativa, tutte le operazioni CRUD (create, read, update, e delete) sui dati devono essere fatte direttamente sulla componente centrale che successivamente, se necessario, provvede a propagarle sui sistemi locali;
Requisito A3.7: i requisisti precedenti devono essere verificati procedendo ad una cancellazione dei dati salvati in locale per poi andare a reperire le stesse informazioni dalla componente centrale, ricopiando in locale solo quanto strettamente necessario;
Requisito A3.8: la soluzione architetturale deve essere progettata e implementata nel rispetto dei requisiti di sicurezza previsti per la protezione del dato, anche a livello di rete locale; inoltre, una volta completata la gestione, il dato deve poter essere cancellato dalla componente locale, senza ingiustificato ritardo.
Requisiti a carico di fornitori diversi da soggetti pubblici o società in house
I fornitori di servizi cloud diversi da soggetti pubblici o società in house devono presentare una domanda di qualificazione dei servizi cloud per le pubbliche amministrazioni e
nel caso di ricorso a infrastrutture di prossimità, in base all’Articolo 18 comma 5 del Regolamento Cloud per la PA, la relazione di conformità deve contenere l’indicazione delle relative infrastrutture digitali per le pubbliche amministrazioni e un’analisi volta a riscontrare i seguenti requisiti.
Requisito Q1
Rispetto delle caratteristiche dei servizi cloud per le pubbliche amministrazioni normate nell’Articolo 8 del Regolamento Cloud per la PA, ovvero delle caratteristiche di qualità, di sicurezza, di performance e di scalabilità, di interoperabilità, di portabilità definite nell’Allegato 3 del Regolamento Cloud per la PA che stabilisce i livelli minimi in base alla classificazione dei dati e i servizi digitali come riportato nella seguente tabella:
| Classificazione | Livelli minimi di qualità, sicurezza, performance, scalabilità, interoperabilità e portabilità da rispettare |
| Ordinari | Si veda la sezione 2 dell’Allegato 3 |
| Critici | Si vedano le sezioni 2 e 3 dell’Allegato 3 |
| Strategici | Si vedano le sezioni 2, 3 e 4 dell’Allegato 3 |
Requisito Q2
Rispetto dei requisiti di qualificazione dei servizi cloud per le pubbliche amministrazioni normati dall’Articolo 17 del Regolamento Cloud per la PA, definiti nell’Allegato 4 del Regolamento Cloud per la PA come riportato nella seguente tabella:
| Classificazione | Livelli di qualificazione dei servizi cloud per le pubbliche amministrazioni |
| Ordinari | cloud di livello 1 (QC1), per i requisiti di veda la sezione 2 dell’Allegato 4
cloud di livello 2 (QC2), per i requisiti di veda la sezione 3 dell’Allegato 4 cloud di livello 3 (QC3), per i requisiti di veda la sezione 4 dell’Allegato 4 cloud di livello 4 (QC4) per i requisiti di veda la sezione 5 dell’Allegato 4 |
| Critici | cloud di livello 2 (QC2), per i requisiti di veda la sezione 3 dell’Allegato 4
cloud di livello 3 (QC3), per i requisiti di veda la sezione 4 dell’Allegato 4 cloud di livello 4 (QC4) per i requisiti di veda la sezione 5 dell’Allegato 4 |
| Strategici | cloud di livello 3 (QC3), per i requisiti di veda la sezione 4 dell’Allegato 4
cloud di livello 4 (QC4) per i requisiti di veda la sezione 5 dell’Allegato 4 |
Requisito Q3
Rispetto delle prescrizioni per le infrastrutture di prossimità indicate nel Paragrafo 2.4 dell’Allegato 4 del Regolamento Cloud per la PA; si veda quanto riportato precedentemente per Requisito A3.
Schema riassuntivo dei requisiti
Per uno schema riassuntivo dei requisiti relativi all’adeguamento e alla qualificazione della componente centrale e delle componenti locali di servizi cloud per le pubbliche amministrazioni che utilizzano infrastrutture di prossimità si veda la Figura 2.
Figura 2: Classificazione dei dati e i servizi digitali e livelli di adeguamento per infrastrutture, servizi cloud e infrastrutture di prossimità
Deroghe per l’adeguamento di infrastrutture di prossimità nel caso di una infrastruttura dei servizi cloud di livello 1 (AI1)
Come indicato nel Paragrafo 6.4 dell’Allegato 4 del Regolamento Cloud per la PA, nel caso di adeguamento di infrastrutture di prossimità nell’ambito di una infrastruttura digitale ovvero di una infrastruttura dei servizi cloud di livello 1 (AI1), fermo restando la necessità di assicurare i requisiti di protezione del dato, se sussistono specifiche motivazioni tecniche legate alle peculiarità dell’infrastruttura di prossimità che richiedano
deroghe, anche parziali, ai livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità, di cui all’Allegato 2 del Regolamento Cloud per la PA, l’operatore di infrastrutture digitali né dà evidenza nella relazione di conformità, prevista dagli Articoli 13 e 14 del Regolamento Cloud per la PA, descrivendo l’eventuale modalità alternativa con cui raggiunge analogo obiettivo e le eventuali analisi del rischio connesse.
In ogni caso, l’operatore di infrastrutture digitali deve assicurare almeno il rispetto dei seguenti livelli minimi previsti nell’Allegato 2 del Regolamento Cloud per la PA:
- in tema di “Capacità Elaborativa”, il par. 2.2;
- in tema di “Data Center Security”, il par. 2.3 e 3.2;
- in tema di “Risparmio energetico”, il par. 2.4;
- in tema di “Sicurezza”, il par. 2.5, 3.3 e 4.2, coerentemente con il livello di adeguamento richiesto, ai sensi dell’Articolo 12 del Regolamento Cloud per la PA, ad eccezione dei requisiti PR.IP-04, PR.IP-09 e PR.PT-05.
Deroghe per l’adeguamento di infrastrutture di prossimità nel caso di una infrastruttura dei servizi cloud di livello 3 (AI3)
Come indicato nel Paragrafo 8.2 dell’Allegato 4 del Regolamento Cloud per la PA, ai fini dell’adeguamento di una infrastruttura dei servizi cloud di livello 3 (AI3), è richiesta la certificazione ISO 22301 – Business Continuity Management System per l’infrastruttura oggetto di qualifica. Nel caso di adeguamento di infrastrutture di prossimità è possibile derogare al rispetto di tale requisito descrivendo, nella relativa relazione di conformità, le motivate ragioni tecniche e organizzative per cui non è possibile adempiere, unitamente alla descrizione, corredata da relativa analisi del rischio, relativamente alle modalità alternative per supportare le esigenze di Business Continuity.
Esempio di applicazione del Regolamento Cloud della PA per la valutazione degli adempimenti a carico di una pubblica amministrazione locale che intende utilizzare un’infrastrutture di prossimità
Dopo questa lunga, ma necessaria analisi del Regolamento Cloud della PA adottato da ACN circa i requisiti, gli obblighi, i limiti e le modalità di utilizzo dei servizi cloud per la Pubblica Amministrazione che prevedono l’adozione di infrastrutture di prossimità, vediamo quali sono gli adempimenti a carico di una pubblica amministrazione locale che intende utilizzare un’infrastrutture di prossimità.
Per quanto riguarda i dati e servizi digitali delle PA locali, in linea di massima, possono essere classificati come Ordinari. Infatti, normalmente, la compromissione di dati e servizi gestiti da una pubblica amministrazione locale non provoca l’interruzione di servizi dello Stato o, comunque, un pregiudizio per il benessere economico e sociale del paese o per la sicurezza nazionale.
Come abbiamo visto precedentemente, e come abbiamo approfondito anche nell’articolo Regolamento Cloud per la PA: impatti sui Centri di Elaborazione Dati esistenti delle pubbliche amministrazioni locali, una pubblica amministrazione locale può doversi trovare a gestire un’infrastruttura di prossimità nell’ambito di un
Adeguamento della propria infrastruttura digitale o nell’ambito di una
Migrazione su infrastrutture digitali qualificate, a riguardo si veda lo schema in Figura 3.
Figura 3: Adeguamento e migrazione delle infrastrutture e servizi della PA
Il caso in una pubblica amministrazione locale intenda acquisire un servizio che prevede l’utilizzo di un’infrastruttura di prossimità è assimilabile ad uno scenario di migrazione in cui, infatti, si decide di non adeguare un’infrastruttura o un servizio della PA, ma di utilizzare un’infrastruttura o un servizio qualificati.
Nella seguente tabella vengono riportate in modo schematico gli adempimenti a carico di una pubblica amministrazione locale che intende utilizzare un’infrastrutture di prossimità nel caso di uno scenario di Adeguamento di infrastrutture e servizi della PA.
| Adeguamento di un servizio Ordinario che utilizza un’infrastrutture di prossimità Adempimenti a carico della PA |
| Dare evidenza del ricorso ad un’infrastruttura di prossimità nella relazione di conformità trasmessa ad ACN nel rispetto dei requisiti richiesti nel rispetto dell’Articolo 16 comma 6 del Regolamento Cloud per la PA. |
| Il servizio cloud deve rispettare, come prescritto dall’Articolo 8 del Regolamento Cloud per la PA, le caratteristiche di qualità, di sicurezza, di performance e di scalabilità, di interoperabilità, di portabilità definite nell’Allegato 3 del Regolamento Cloud per la PA. |
| Il servizio cloud deve rispettare i requisiti di adeguamento, come prescritto dall’Articolo 15 del Regolamento Cloud per la PA, ovvero rispettare almeno i requisiti del livello di adeguamento AC1 definiti nell’Allegato 4 sezione 2 del Regolamento Cloud per la PA. |
| Il servizio cloud deve prevedere una componente centrale rispetti i requisiti previsti per la qualificazione dei servizi cloud per la PA, come prescritto dall’Articolo 17 del Regolamento Cloud per la PA, ovvero rispettare almeno i requisiti del livello di qualificazione QC1 definiti nell’Allegato 4 sezione 2 del Regolamento Cloud per la PA. |
| La componente centrale del servizio cloud deve rispettare le modalità di adeguamento delle infrastrutture dei servizi cloud per le PA, come prescritto nell’Articolo 14 del Regolamento Cloud per la PA, ovvero, ai sensi dell’Articolo 12 del Regolamento Cloud per la PA, deve essere trasmessa ad ACN la relazione di conformità almeno ai requisiti di adeguamento del livello AI1 definiti nell’Allegato 4 sezione 6 del Regolamento Cloud per la PA. Inoltre la relazione di conformità dovrà dare evidenza anche del rispetto dei requisiti di livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità, come prescritto dall’Articolo 7 del Regolamento Cloud per la PA, definiti nell’Allegato 2 sezione 2 del Regolamento Cloud per la PA. |
| La componente locale deve essere ospitata su infrastrutture digitali, infrastrutture dei servizi cloud o infrastrutture di prossimità adeguate, ovvero su un’infrastruttura digitale che rispetti almeno i requisiti del livello di adeguamento AI1 definiti nell’Allegato 4 sezione 6 del Regolamento Cloud per la PA e che rispetti i requisiti di livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità definiti nell’Allegato 2 sezione 2 del Regolamento Cloud per la PA. |
| Rispetto degli ulteriori requisiti per servizi cloud erogati in prossimità prescritti dal Paragrafo 2.4 dell’Allegato 4 del Regolamento Cloud per la PA. |
Nella seguente tabella vengono, invece, riportate in modo schematico gli adempimenti a carico di una pubblica amministrazione locale che intende utilizzare un’infrastrutture di prossimità sia nel caso di uno scenario di Migrazione su infrastrutture /servizi qualificati.
| Migrazione di un servizio Ordinario che utilizza un’infrastrutture di prossimità Adempimenti a carico della PA |
| Il servizio cloud deve rispettare, come prescritto dall’Articolo 8 del Regolamento Cloud per la PA, le caratteristiche di qualità, di sicurezza, di performance e di scalabilità, di interoperabilità, di portabilità definite nell’Allegato 3 Sezione 2 del Regolamento Cloud per la PA. |
| Il servizio cloud deve prevedere una componente centrale e una componente locale che rispettino i requisiti previsti per la qualificazione dei servizi cloud per la PA, come prescritto dall’Articolo 17 del Regolamento Cloud per la PA, ovvero rispettare almeno i requisiti del livello di qualificazione QC1 definiti nell’Allegato 4 sezione 2 del Regolamento Cloud per la PA. |
| La componente locale deve essere ospitata su infrastrutture digitali, infrastrutture dei servizi cloud o infrastrutture di prossimità adeguate, ovvero su un’infrastruttura digitale che rispetti almeno i requisiti del livello di adeguamento AI1 definiti nell’Allegato 4 sezione 6 del Regolamento Cloud per la PA e che rispetti i requisiti di livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità definiti nell’Allegato 2 sezione 2 del Regolamento Cloud per la PA. |
Dal confronto degli adempimenti necessari emerge ovviamente una differenza tra i due scenari, la PA è quindi chiamata anche a compiere la scelta di procedere all’Adeguamento o alla Migrazione nel rispetto dei principi di efficienza, efficacia ed economicità dell’azione amministrativa che sono i presupposti dell’Articolo 33-septies, comma 1-bis, del decreto-legge 18 ottobre 2012, n. 179 che impone il rispetto del Regolamento Cloud per la PA.
Per una lista dei requisiti di qualifica ed adeguamento elenco, suddivisi per livello, per Servizi Cloud della tipologia di Infrastruttura di Prossimità è possibile scaricare un file Excel dalla sezione Questionari per le istanze di Qualificazione/Adeguamento del sito di ACN.
Conclusioni
Le infrastrutture di prossimità rappresentano una grande opportunità per una PA più reattiva, efficiente e distribuita perché abilitano servizi in tempo reale, aumentano la resilienza e riducono i colli di bottiglia. Tuttavia, richiedono analisi di conformità rigorose, trasparenza operativa, e coerenza con i requisiti minimi fissati da ACN.
Il Regolamento Cloud per la PA non le ostacola, ma le incardina in un modello di governance trasparente e sicuro, pienamente coerente con le strategie di cybersecurity nazionale ed europea.