Cloud Italia, ecco la strategia del governo per la digitalizzazione dell’Italia: i punti cardine - Cyber Security 360

PIANO STRATEGICO NAZIONALE

Cloud Italia, ecco la strategia del governo per la digitalizzazione dell’Italia: i punti cardine

Il ministro per la Transizione digitale, Vittorio Colao, ha presentato la “Strategia Cloud Italia”, il documento di indirizzo strategico per l’implementazione e il controllo del cloud nazionale: obiettivo è la realizzazione entro l’anno del Polo Strategico Nazionale sul quale far migrare dati e servizi strategici della PA

07 Set 2021
Paolo Tarsitano

Editor Cybersecurity360.it

È stata presentata oggi dal ministro per la Transizione digitale, Vittorio Colao, la Strategia Cloud Italia, il documento di indirizzo strategico per l’implementazione e il controllo del cosiddetto cloud di Stato sul quale trasferire in assoluta sicurezza tutti i dati e i servizi strategici della Pubblica Amministrazione.

L’obiettivo del governo è quello di completare entro l’anno il Polo Strategico Nazionale (PSN) già previsto dal PNRR (Piano nazionale di ripresa e resilienza).

A dimostrazione di quanto il cloud di Stato sia un nodo cruciale per la sicurezza del Paese tutto, all’evento erano presenti anche il Sottosegretario di Stato delegato alla Sicurezza Franco Gabrielli, il direttore generale dell’Agenzia per la Cybersicurezza Nazionale Roberto Baldoni e Paolo de Rosa, Chief Technology Officer del Dipartimento per la Trasformazione digitale, che hanno evidenziato i principali dettagli della strategia cloud.

La strategia cloud nazionale

Scarica il documento sintetico Strategia Cloud Italia

D’altronde, come anticipato sempre dal ministro Colao in un suo intervento al Forum Ambrosetti nei giorni scorsi, nel cloud di Stato ci sarà un ruolo per tutti con regole chiare definite grazie alle policy di classificazione per i data center, alle regole di cloud first per la PA e alle regole stabilite dall’Agenzia per la cybersicurezza nazionale.

“E’ una casa moderna per i dati degli italiani. La definirei così. Una casa flessibile, con stanze diverse, ma tutte con lo stesso livello di sicurezza”, ha detto lo stesso Colao durante la conferenza stampa di presentazione della Strategia Cloud Italia.

Obiettivo: completare la trasformazione digitale della PA

Il governo, dunque, accelera sulla strategia del cloud nazionale: la trasformazione digitale della Pubblica Amministrazione, d’altronde, è uno dei principali obiettivi perseguiti dal Piano Nazionale di Ripresa e Resilienza (PNRR).

La prima “missione” del Piano è infatti dedicata alla digitalizzazione della PA che ha, tra gli obiettivi, quello di favorire e supportare le amministrazioni nella migrazione verso soluzioni cloud secondo il principio del cloud first.

Da qui nasce la necessità di realizzare il Polo Strategico Nazionale, un’infrastruttura destinata a tutte le Pubbliche Amministrazioni, ad alta affidabilità e localizzata sul territorio nazionale per la razionalizzazione e il consolidamento dei Centri di elaborazione Dati (CED) e dei relativi sistemi informatici.

L’obiettivo del PSN è, come dicevamo, quello di ospitare i dati e i servizi strategici di tutte le amministrazioni centrali (circa 200), delle Aziende Sanitarie Locali (ASL) e delle principali amministrazioni locali (Regioni, città metropolitane, comuni con più di 250 mila abitanti).

“Già ad aprile 2021”, ci dice Enza Bruno Bossio, deputata del Partito Democratico, “abbiamo depositato come gruppo del partito democratico, a mia prima firma, una mozione che impegnava il Governo: “a definire e attuare un modello di infrastrutture digitali di cloud per le pubbliche amministrazioni centrali e locali basato sulla complementarietà, in funzione della tipologia di dati e della loro rilevanza, tra un sistema di fornitori di servizi di mercato qualificati certificati e un Polo Strategico Nazionale (PSN) a controllo pubblico”, partendo dalla valutazione, fatta da AGID, che la stragrande maggioranza dei Centri Elaborazione Dati (CED) della Pubblica Amministrazione non forniscono idonee garanzie di sicurezza, efficienza ed affidabilità. E ne abbiamo avuto prova, da ultimo, con l’attacco informatico alla Regione Lazio”.

“Per questo”, continua l’On. Bruno Bossio, “non possiamo che salutare con favore l’impegno del governo e in particolare del Ministro Colao di realizzare il Polo Strategico Nazionale (PSN) come una infrastruttura dedicata in cloud, localizzata sul territorio nazionale e all’avanguardia per prestazioni e sicurezza, sul quale migrare dati e servizi strategici della PA: e che sarà gestita da un operatore economico selezionato attraverso l’avvio di un partenariato pubblico-privato su iniziativa di un soggetto proponente”.

“Chiudendo finalmente, e ci auguriamo per sempre”, aggiunge l’On. Bruno Bossio, “qualunque velleità di sovranità digitale autarchica, ben altra cosa dalla autonomia tecnologica della Ue. Ma per arrivare a quest’ultimo risultato è importante dedicare gli investimenti, anche del PNRR, nella ricerca, nel quadro normativo negli incentivi finanziari”.

Cloud Italia: indirizzi strategici per la PA

La Strategia Cloud Italia, come sottolineato dal ministro Colao, riveste un ruolo centrale nel processo di trasformazione digitale della Pubblica Amministrazione e pone alcune importanti sfide al Paese:

  • assicurare l’autonomia tecnologica dell’Italia;
  • garantire il controllo sui dati;
  • aumentare la resilienza dei servizi digitali.

Come si legge nel documento di indirizzo, la strategia si svilupperà secondo tre direttrici che guideranno gli enti nelle scelte da compiere rispetto alle diverse soluzioni di migrazione al cloud:

  1. Classificare dati e servizi delle PA per guidare e supportare la migrazione al cloud. Regolamentare l’ampia offerta di servizi cloud disponibili sul mercato consente di mitigare i rischi sistemici di sicurezza e affidabilità. In quest’ottica la classificazione di dati e servizi, introdotta dalla strategia, li cataloga in base al danno che una loro compromissione potrebbe provocare al sistema Paese (strategici, critici e ordinari).
  2. Qualificare i servizi cloud attraverso un processo di scrutinio tecnologico. La qualificazione dell’offerta dei servizi cloud si pone l’obiettivo di semplificare e regolamentare, dal punto di vista tecnico e amministrativo, l’acquisizione di servizi cloud da parte delle amministrazioni. Gli aspetti presi in considerazione sono: la gestione operativa dei servizi, in particolare gli standard tecnico-organizzativi applicativi e le misure di controllo sui dati; i requisiti di sicurezza per la gestione dei dati, l’erogazione di servizi e le condizioni contrattuali relative all’erogazione e alla rendicontazione del servizio.
  3. Realizzare il PSN dedicato ai servizi strategici, sotto controllo e indirizzo pubblico. Il Polo Strategico Nazionale ha l’obiettivo di dotare la Pubblica Amministrazione di tecnologie e infrastrutture cloud che possano beneficiare delle più alte garanzie di affidabilità, resilienza e indipendenza. Il Polo sarà distribuito geograficamente sul territorio nazionale presso siti opportunamente identificati, per garantire adeguati livelli di continuità operativa e tolleranza ai guasti. Il controllo e le linee di indirizzo del PSN saranno pubbliche e indipendenti da soggetti terzi. La gestione operativa sarà affidata a un fornitore qualificato sulla base di requisiti tecnico-organizzativi.

Il documento presentato dal ministro approfondisce, quindi, gli aspetti strategici per il percorso di migrazione verso il cloud di dati e servizi digitali delle amministrazioni, illustrando in modo chiaro i criteri di classificazione e la composizione dell’infrastruttura ad alta affidabilità (il Polo Strategico Nazionale, appunto) che ospiterà i servizi strategici e critici.

L’approccio cloud first per la trasformazione digitale della PA

In particolare, la Strategia Cloud Italia indirizza l’adozione delle soluzioni cloud nella PA e consente di:

  • erogare servizi digitali a cittadini ed imprese mediante infrastrutture digitali sicure, efficienti e affidabili;
  • essere in linea con i principi di tutela della privacy e le raccomandazioni delle istituzioni nazionali ed europee;
  • mantenere le garanzie di autonomia tecnologica del Paese, di sicurezza e controllo nazionale sui dati.

Tutto questo, in continuità con le altre iniziative previste nel PNRR, consente di introdurre importanti novità che consentiranno di semplificare il lavoro delle amministrazioni.

In particolare, secondo le intenzioni del governo, grazie all’approccio cloud first la Strategia Cloud Italia consentirà di guidare le PA nel loro percorso di trasformazione digitale e favorirà l’adozione sicura, controllata e completa delle tecnologie cloud da parte del settore pubblico, in linea con i principi di tutela della privacy e con le raccomandazioni delle istituzioni europee e nazionali.

Così facendo, non solo le infrastrutture digitali saranno più affidabili e sicure, ma al contempo la PA avrà i mezzi e le capacità necessarie per rispondere in maniera organizzata agli attacchi informatici in modo tale da garantire la necessaria continuità operativa di dati e servizi ma anche e soprattutto la qualità nella fruizione degli stessi.

Una nuova classificazione di dati e servizi della PA

La strategia Cloud Italia per la Pubblica Amministrazione delineata dal ministro Colao è anche l’occasione per rivedere la classificazione di dati e servizi erogati dalla Pubblica Amministrazione:

  1. dati e servizi strategici: con impatto sulla sicurezza nazionale. Ad esempio il bilancio dello stato;
  2. dati e servizi critici: funzioni rilevanti per la società come la salute, la sicurezza e il benessere economico e sociale del Paese. Ad esempio i dati sanitari;
  3. dati e servizi ordinari: non provoca l’interruzione di servizi essenziali o rilevanti dello Stato. Ad esempio dati e servizi dei siti istituzionali.

Il ministro Colao ha quindi richiamato l’attenzione sul fatto che tutti i dati e servizi saranno accessibili mediante un cloud qualificato e, in particolare:

  • i dati e servizi ordinari saranno accessibili mediante cloud pubblico (UE) o pubblico criptato (IT);
  • i dati e servizi critici saranno accessibili mediante cloud pubblico criptato (IT), cloud privato/ibrido “su licenza” (IT) o privato (IT);
  • i dati e servizi critici, infine, saranno accessibili esclusivamente mediante cloud privato/ibrido “su licenza” (IT) o privato (IT).

A tal proposito, la Strategia Cloud Italia ha ribadito le differenze tra le differenti tipologie di cloud, riportate nell’immagine sottostante estratta dalla presentazione del documento di indirizzo.

Polo Strategico Nazionale: tutti i dettagli

Il documento di Strategia Cloud Italia delinea anche le caratteristiche peculiari del Polo Strategico Nazionale e dello sviluppo di questa nuova infrastruttura informatica a servizio della PA localizzata sul territorio nazionale (così come previsto dall’articolo 33-septies, comma 4, del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221).

Il PSN, in particolare, sarà articolato in almeno quattro data center distribuiti in due regioni presso siti opportunamente identificati, al fine di garantire adeguati livelli di continuità operativa e tolleranza ai guasti (si pensi, ad esempio, ai livelli di sicurezza fisica dei data center, alla mitigazione del rischio di disastri naturali e all’integrazione con molteplici connettività).

Inoltre, la gestione operativa del PSN sarà affidata a un fornitore qualificato sulla base di opportuni requisiti tecnico-organizzativi. Il fornitore dovrà garantire il controllo sui dati in conformità con la normativa in materia, nonché rafforzare la possibilità della PA di negoziare adeguate condizioni contrattuali con i fornitori di servizi Cloud.

Le amministrazioni potranno scegliere il provider cloud a cui affidare dati e servizi direttamente da una lista di soggetti certificati che rispondano sia a precisi requisiti di sicurezza e protezione, sia a standard di performance. Il supporto alle amministrazioni che aderiranno al programma di trasformazione sarà realizzato con “pacchetti” completi che includeranno competenze tecniche e risorse finanziarie.

La sicurezza dei dati sarà garantita dall’approccio by design e dall’adozione dei requisiti di sicurezza previsti dal Piano di sicurezza nazionale cibernetica e dalla Direttiva NIS per abilitare la migrazione su servizi IaaS e PaaS.

Infine, sarà un soggetto a controllo, vigilanza e monitoraggio pubblico.

Intanto, sono arrivate le prime manifestazioni di interesse per la partecipazione al PSN, tra cui quelle di Leonardo, TIM, Aruba e del Consorzio Italia Cloud.

Cloud Italia: i passaggi successivi

La Strategia Cloud Italia presentata dal ministro Colao delinea anche quelli che saranno i passaggi successivi per completare la migrazione della Pubblica Amministrazione sul cloud.

Le PA, in particolare, dovranno:

  1. classificare dati e servizi sulla base delle indicazioni dell’Agenzia per la Cybersicurezza Nazionale, con il supporto del Dipartimento per la trasformazione digitale;
  2. definire i piani di migrazione che saranno validati dal Dipartimento.

La migrazione, inoltre, dovrà concludersi entro il 2025 attraverso un processo uniforme per tutte le amministrazioni.

I tempi di adozione della Strategia Cloud Italia

Come si legge ancora nel documento di indirizzo, la Strategia Cloud Italia si articolerà in fasi successive secondo una ben precisa scansione temporale:

  • FASE 1 – Pubblicazione del bando di gara per la realizzazione del PSN: al più tardi entro la fine del 2021 si procederà a pubblicare il bando di gara per la realizzazione del PSN.
  • FASE 2 – Aggiudicazione e realizzazione del PSN: al più tardi entro la fine del 2022 dovrà avvenire l’aggiudicazione del bando di gara.
  • FASE 3 – Migrazione delle amministrazioni: a partire dalla fine del 2022 dovrà iniziare la migrazione della PA verso il PSN, da concludersi entro la fine del 2025. Nella fase di migrazione verrà data precedenza alle PAC che attualmente operano con data center propri classificati, secondo il censimento AgID del patrimonio ICT della PA, in Categoria B (con carenze strutturali e/o organizzative o che non garantiscono la continuità dei servizi).

@RIPRODUZIONE RISERVATA

Articolo 1 di 5