Strategia Cloud Italia: la migrazione Cloud PA
Strategia Cloud Italia è un documento programmatico realizzato dal Dipartimento per la trasformazione Digitale e dall’Agenzia per cybersicurezza nazionale (ACN) avente lo scopo di rispondere a tre sfide strategiche principali:
- Autonomia tecnologica del Paese
- Garanzia del controllo dei dati
- Aumento della resilienza operativo digitale
Coerentemente con gli obiettivi del PNRR (Piano Nazionale di Ripresa e Resilienza) tale documento traccia la roadmap per accompagnare circa il 75% delle PA nella migrazione cloud dei dati e degli applicativi entro il 2026.
I fondi erogati con il Piano Nazionale di Ripresa e Resilienza sosterranno la prima (massiva) fase di migrazione cloud PA. Dopodiché la macchina organizzativa, così avviata, proseguirà secondo un piano strategico avente come obiettivo la completa diffusione delle infrastrutture cloud nella Pubblica Amministrazione. All’interno della Strategia Cloud Italia sono a tal fine previste sia le modalità di migrazione al cloud, sia quelle di gestione delle infrastrutture cloud PA.
Cloud first è l’approccio metodologico finalizzato a guidare e favorire, in modo controllato e completo, la migrazione cloud da parte della Pubblica Amministrazione, in linea con i principi di tutela della privacy e sicurezza dei dati informatici.
Strategia Cloud Italia: cos’è la resilienza operativo digitale?
Se le prime due sfide strategiche della Strategia Cloud Italia sono facilmente intellegibili, ovvero rendere l’Italia un Paese tecnologicamente autonomo e avere il controllo della protezione dei dati, il concetto di resilienza operativo digitale, potrebbe non essere altrettanto intuibile.
La Digital Operational Resilience Act (DORA) nasce sulla base di una proposta legislativa della Commissione Europea (24 settembre 2020) ed è stata inizialmente progettata per mitigare i rischi collegati alle minacce informatiche e ai guasti tecnici nell’ambito delle organizzazioni finanziare. Dal momento che DORA mira a migliorare la capacità di costruire, garantire e testare l’integrità operativo tecnologica di un’intera organizzazione, assicurando che essa continui a fornire con continuità e con qualità i propri servizi anche a fronte di interruzioni operative nelle ICT (Information and Communication Technologies), la sua applicazione ha varcato i confini del settore finanziario.
Il concetto di resilienza operativo digitale richiede innanzitutto un cambiamento di mentalità: la flessibilità diventa centrale per adattarsi ai cambiamenti, per reagire agli imprevisti e per garantire con costanza la qualità del servizio, intesa anche, ma non soltanto, come produttività.
Cosa è il Regolamento per il Cloud PA?
Per attuare la Strategia Cloud Italia, AgID (Agenzia per l’Italia digitale) ha redatto un regolamento che disciplina operativamente le infrastrutture cloud PA in relazione alle caratteristiche e ai requisiti minimi richiesti per la migrazione cloud.
Il Regolamento per il Cloud PA (Determinazione AgID 628/2021) è il tassello abilitante della Strategia Cloud Italia e sulla sua base, il 18 gennaio 2022 sono state predisposte da ACN e dal Dipartimento per la trasformazione digitale (struttura di supporto del Ministro per l’innovazione tecnologica e la transizione digitale) tre direttrici della Strategia Cloud Italia:
- Classificazione dei dati e dei servizi
- Qualificazione dei servizi cloud
- Polo Strategico Nazionale (PSN)
Tali direttrici indicheranno agli Enti Pubblici la strada per compiere le scelte congrue verso la migrazione cloud PA.
Migrazione Cloud PA: classificazione dei dati e dei servizi
La prima direttrice operativa della Strategia Cloud Italia riguarda la classificazione dei dati e dei servizi. Lo scopo di tale attività è quello di classificare i dati in base al danno che una loro eventuale compromissione causerebbe al Paese. Abbiamo quindi 3 livelli di rischio:
- Rischio Ordinario: se compromessi i dati e i servizi non sono pregiudizievoli per il sistema Paese.
- Rischio Critico: la minaccia ai dati qui identificati potrebbe causare danni a funzioni rilevanti nel sistema nazionale a livello sociale ed economico.
- Rischio Strategico: i dati e i servizi che appartengono a questa classe hanno un impatto sulla sicurezza del Paese, se compromessi.
Migrazione Cloud PA: qualificazione dei servizi cloud
Con la qualificazione dell’offerta dei servizi Cloud PA si intende semplificare l’acquisizione dei servizi cloud da parte di Enti Pubblici e amministrazioni locali. La semplificazione a sua volta permetterà di normare dal punto di vista tecnico e amministrativo i seguenti aspetti:
- misure di controllo sui dati;
- requisiti di sicurezza per la gestione dei dati;
- standard tecnici applicativi;
- standard organizzativi.
Suddetti requisiti vengono soddisfatti con la migrazione verso ciò che si definisce “cloud qualificato PA” e che approfondiamo nei prossimi capitoli.
Migrazione Cloud PA: Polo Strategico Nazionale (PSN)
Il Polo Strategico Nazionale avrà come obiettivo quello di dotare la macchina statale e burocratica di tecnologie e infrastrutture cloud in grado di corrispondere le più alte garanzie possibili in fatto di affidabilità, resilienza e autonomia.
Tale caratteristica conferisce al PSN anche una specificità unica rispetto agli altri provider: la responsabilità di gestire i dati classificati come strategici a livello nazionale (per approfondire gli ultimi aggiornamenti in materia, leggi qui).
Come funziona il Polo Strategico Nazionale?
Il Polo Strategico Nazionale (PSN) secondo quanto stabilito dalle disposizioni previste nell’articolo 35 del D.L. 76/2020, è un’infrastruttura destinata a tutte le Pubbliche Amministrazioni. Ecco quali sono i 4 pilastri portanti di tale infrastruttura:
- Dove è il nuovo Polo Strategico Nazionale? Il PSN sarà dislocato sul territorio nazionale in modo tale da garantire, come previsto dalla Strategia Cloud Italia, alta affidabilità dei servizi, intesa come continuità operativa e tolleranza ai guasti informatici. I siti saranno opportunamente identificati e resi noti.
- A chi risponde il Polo Strategico Nazionale? La realizzazione del PSN è portata avanti e gestita dal Dipartimento per la trasformazione digitale.
- Quale è l’obiettivo del Polo Strategico Nazionale? Il PSN è deputato a ospitare i dati ed i servizi classificati come critici e/o strategici di tutte le amministrazioni centrali (circa 200), delle ASL (Aziende Sanitarie Locali) e delle amministrazioni locali più grandi (ovvero Regioni, città metropolitane e Comuni con più di 250 mila abitanti).
- Da chi è gestito il Polo Strategico Nazionale? L’infrastruttura verrà affidata in gestione a un operatore economico selezionato mediante l’attivazione di una partnership pubblico-privato su iniziativa di un soggetto proponente.
Bando Polo Strategico Nazionale 28 gennaio 2022
Il primo passo per la realizzazione del PSN è stato compiuto il 28 gennaio 2022 con la pubblicazione del bando Polo Strategico Nazionale. Il modello di attuazione è quello di un partenariato pubblico privato e la procedura è stata presa in carico da Difesa Servizi S.p.A., società in house del Ministero della Difesa, avente funzioni di “centrale di committenza”.
Cosa prevede il Bando per il Polo Strategico Nazionale?
Il Bando PNS prevede un investimento di 723 milioni di euro. Il soggetto vincitore della gara europea, bandita con la collaborazione a fine di vigilanza dell’ANAC (Autorità Nazionale Anticorruzione), disporrà di tale fondi per l’erogazione di servizi di public cloud e private cloud. L’erogazione dei servizi sarà in ottemperanza al principio di trasparenza, per consentire il controllo da parte delle autorità preposte sui dati e i servizi strategici.
Il vincitore del bando per il Polo Strategico Nazionale, che scade il 16 marzo 2022 alle ore 16, si farà carico di realizzare e gestire un’infrastruttura per i servizi di Cloud PA, localizzata sul territorio nazionale e atta a ospitare dati/servizi pubblici, garantendo sicurezza, affidabilità e continuità nell’erogazione del servizio. Tale operatore, selezionato tramite bando, dovrà costituire una società sottoposta alla disciplina del golden power.
Glossario Tecnico: Il golden power (disciplinato con il D.L. n. 21/2012) è lo strumento che concede al Governo poteri speciali per porre condizioni specifiche, se non addirittura il veto, sull’acquisto di imprese considerate strategiche in settori quali la difesa, l’energia, i trasporti e le telecomunicazioni.
Public Cloud PA e Private Cloud PA: cosa sono?
Il soggetto vincitore del Bando per il PNS avrà in carico l’onere di realizzare un’infrastruttura di Public Cloud e di Private Cloud.
- Il Public Cloud è un modello di rilascio (deployment) su cloud di un software o di un’applicazione le cui risorse di elaborazione e di gestione sono di proprietà di un provider. Tali risorse vengono condivise tra più inquilini/utenti (tenant) tramite Internet.
- Nel Private Cloud il deployment su cloud avviene in un’architettura di cloud computing nella quale i servizi sono in hosting in un ambiente privato e utilizzano le risorse proprietarie senza alcuna condivisione con terze parti.
Il modello del cloud qualificato PA
La Strategia Cloud Italia come delineata da AgID prevede un iter di qualificazione per i soggetti pubblici e privati che intendono fornire servizi cloud alla PA. Tale percorso è necessario affinché la Pubblica Amministrazione possa adottare servizi e infrastrutture Cloud computing omogenee e in linea con gli standard. Gli standard sono stabiliti dalle circolari AgID numero 2 e numero 3 del 2018 e sono relativi a: sicurezza, efficienza e affidabilità.
Il Modello Cloud Qualificato PA definito da AgID all’interno della Strategia Cloud Italia è composto da:
- Servizi Qualificati: Software as a Service (SaaS), Infrastructure as a Service (IaaS) e Platform as a Service (PaaS).
- Infrastrutture Qualificate: per esempio PSN oppure Public Cloud Qualificati
Ricordiamo che quando ci si riferisce al Cloud Computing è sempre compresa all’interno una piramide di servizi diversificati:
- SaaS : è un modello di distribuzione del software applicativo, rivolto agli utenti finali, nel quale il produttore di software sviluppa, opera (anche tramite terze parti) e gestisce un’applicazione web che mette a disposizione via Internet.
- IaaS: distribuisce le risorse hardware, software, di rete e dati a chi ha bisogno di gestire e di configurare il sistema dell’infrastruttura Cloud, come è il caso tipico degli amministratori di sistema.
- PaaS: il servizio, in questo caso rivolto agli sviluppatori, è la piattaforma medesima che può essere a sua volta composta da diversi servizi, programmi, o librerie.
Cloud Qualificato PA: quali sono le qualificazioni richieste?
Dal 1° aprile 2019 la Pubblica Amministrazione è obbligata ad acquisire i servizi Saas, Paas e IaaS che siano qualificati da AgID, nonché inclusi nel Catalogo dei servizi Cloud per la PA qualificati. I documenti normativi di riferimento per capire cosa significa cloud qualificato per la Pubblica Amministrazione sono: la Circolare AgID n. 2/2018 e la Circolare AgID n. 3/2018.