Cloud Italia, ecco il piano Colao: "Aspettiamo proposte entro settembre" - CorCom

LA STRATEGIA

Cloud Italia, ecco il piano Colao: “Aspettiamo proposte entro settembre”

Via al progetto che mira a dotare il nostro Paese di un’infrastruttura in grado di proteggere i dati delle PA e garantire servizi pubblici più efficienti. Il ministro: “L’Italia prende il controllo delle regole ma c’è spazio per tutti, big tech e non”. Baldoni: “La bussola sarà il perimetro cibernetico”

07 Set 2021

Federica Meta

Giornalista

E’ una casa moderna per i dati degli italiani. La definirei così. Una casa flessibile, con stanze diverse, ma tutte con lo stesso livello di sicurezza”. Così il ministro per l’Innovazione tecnologica e la transizione digitale Vittorio Colao alla conferenza stampa di presentazione della “Strategia Cloud Italia”, il documento di indirizzo strategico per l’implementazione e il controllo del Cloud della Pubblica amministrazione. Un progetto “orientato a garantire al tempo stesso sicurezza, salvaguardia ma anche modernità, efficienza e stabilità a livello nazionale”che contempera sia il mondo privato e quello pubblico”, ha chiarito.

La strategia si muove lungo tre direttrici fondamentali: la creazione del Polo Strategico Nazionale (Psn), un’infrastruttura nazionale per l’erogazione di servizi Cloud, la cui gestione e controllo  di indirizzo siano autonomi da fornitori extra Ue; un percorso di qualificazione dei fornitori di Cloud  pubblico e dei loro servizi per garantire che le caratteristiche e i livelli di servizio dichiarati siano in linea  con i requisiti necessari di sicurezza, affidabilità e rispetto delle normative rilevanti. Infine lo sviluppo di una  metodologia di classificazione dei dati e dei servizi gestiti dalle pubbliche amministrazioni, per permettere  una migrazione di questi verso la soluzione Cloud più opportuna (Psn) o Cloud pubblico qualificato.

“Entro settembre ci aspettiamo che arrivino proposte per il polo strategico nazionale”, ha sottolineato il ministro. Colao ha chiarito che possono partecipare al progetto tutte le aziende – big tech e non, italiane e non – ma sarà l’Italia a prendere il controllo delle regole in linea con quanto previsto anche dal perimetro cibernetico.

E ha precisato però che il progetto “non è aperto ai paesi extra Ue, come ad esempio la Cina. C’è un muro che si chiama Europa, con le sue regole”. Perché “gli italiani devono potersi fidare che i loro dati nella Pubblica amministrazione siano al sicuro”.

“La selezione – ha poi spiegato – non avverrà tramite una gara vera è propria ma tramite una proposta, che verrà pubblicata come da norme Ue, da parte di soggetti pubblici e privati che abbiano le competenze per farlo”. Per sostenere il roll out del progetto sono previste assunzione ad hoc che opereranno sia all’interno del Mitd sia sui territori a supporto delle PA locali.

Per il progetto sono a disposizione 1,9 miliardi di euro del Pnrr. “Per la migrazione – ha annunciato Colao – abbiamo intenzione di utilizzare dei voucher per le PA, tipicamente locali, insieme a un catalogo su prezzi e tecnologie mentre per chi va su Psn puntiamo ad incentivi ad hoc”

Il cloud nazionale e la cybersecurity

Roberto Baldoni, direttore generale dell’Agenzia per la Cybersicurezza Nazionale, ha evidenziato i due obiettivi chiave del progetto Cloud Italia ovvero “mantenere il controllo dei dati nazionali facendo leva sulla flessibilità della tecnologia cloud e garantire la resilienza delle infrastrutture, soprattutto alla luce degli incidenti cyber che hanno colpito il Paese. Per fare questo utilizzeremo ogni tipo di cloud, pubblico, privato e on premise”.

WHITEPAPER
Cybersecurity come sistema: una soluzione chiave per i MSP
Sicurezza
Trade

In questo contesto il ruolo dell’Agenzia sarà quello di sostenere le PA nella migrazione, assicurando al contempo una collaborazione forte con i privati.

“Perché la cyber è un gioco di squadra e qui l’Agenzia ha l’ambizione di essere un interlocutore unico per cercare di “velocizzare le tutte le azioni di mercato”. La bussola che orienterà lo sviluppo del progetto sarà il perimetro cibernetico all’interno del quale verrà inserito il Polo Strategico nazionale al quale andranno ad aderire pe PA centrali che, tipicamente, gestiscono dati più sensibili.

Come sottolineato dall’esperto il progetto nazionale è propedeutico a raggiungere l’autonomia tecnologica a sua volta necessaria “per raggiungere il concetto di sovranità digitale”.

“Dovremo necessariamente andare in quella direzione – ha spiegato – e per arrivare a questo ci serve il controllo della confidenzialità, della disponibilità, e dell’integrità dei dati durante il completo ciclo di vita. E’ chiaro – ha aggiunto – che raggiungere l’autonomia tecnologica è un percorso complesso, che coinvolge” la normativa, la certificazione, la standardizzazione, la gestione degli incidenti “che vanno gestiti opportunamente”, oltre che investimenti.

Le tappe del progetto

Entro il 2021 sarà pubblicato il bando di gara per la realizzazione del polo strategico nazionale che realizzerà il cloud sul quale verranno migrati i dati della pubblica amministrazione. L’aggiudicazione della gara e la realizzazione del Psn è prevista entro il 2022 mentre il completamento della migrazione è previsto entro il 2025, attraverso  un processo uniforme per tutte le amministrazioni, che dovranno  avviare il processo di migrazione verso il cloud qualificato dalla  fine del 2022.

Le PA dovranno individuare un processo sistematico di classificazione dei dati e dei servizi gestiti dalle PA, il cui risultato possa essere utilizzato per uniformare e guidare il processo di migrazione al Cloud della PA. Tre le classi dei dati e servizi identificate sulla  base del danno che una loro compromissione, in termini di confidenzialità, integrità e disponibilità, provocherebbe al sistema Paese:

  • Strategico: dati e servizi la cui compromissione può avere un impatto sulla sicurezza nazionale. Per questa tipologia di dati sono previste tecnologie di cloud privato-ibrido su licenza o cloud privato.
    Critico: dati e servizi la cui compromissione potrebbe determinare un pregiudizio al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza e il benessere economico e sociale del Paese. Per queste info si “consiglia” il cloud pubblico criptato o pubblico.
    Ordinario: dati e servizi la cui compromissione non provochi l’interruzione di servizi dello Stato o, comunque, un pregiudizio per il benessere economico e sociale del Paese. Qui invece cloud pubblico.

“Questo processo di adozione dei servizi Cloud nella PA, dovrà culminare con la realizzazione di un mercato  elettronico dei servizi Cloud qualificati – si legge nella strategia – che . dovrà rappresentare il mezzo mediante il quale le  amministrazioni saranno guidate, in accordo al processo di classificazione dei dati e dei servizi, nella  scelta dei servizi Cloud per loro più idonei e all’acquisto diretto con strumenti amministrativi semplificati  e pre-negoziati”.

Il Polo strategico nazionale (Psn)

Il Psn ha l’obiettivo di dotare la PA di tecnologie e infrastrutture Cloud che possano beneficiare delle  più alte garanzie di affidabilità, resilienza e indipendenza. A tal fine, si prevede che il Psn sia distribuito  geograficamente sul territorio nazionale presso siti opportunamente identificati14, al fine di garantire  adeguati livelli di continuità operativa e tolleranza ai guasti. La gestione operativa del Psn, sarà affidata  a un fornitore qualificato sulla base di opportuni requisiti tecnico-organizzativi. Il fornitore dovrà garantire  il controllo sui dati in conformità con la normativa in materia, nonché rafforzare la possibilità della PA di  negoziare adeguate condizioni contrattuali con i fornitori di servizi Cloud.

Il Psn dovrà permettere alla PA di garantire, sin dalla progettazione (by-design), il rispetto dei requisiti  in materia di sicurezza, ad esempio Psnc e Nsi, e di abilitare la migrazione, almeno inizialmente con un  processo lift-and-shift, verso tipologie di servizi Cloud IaaS e PaaS.

In accordo alla classificazione fornita nella sezione precedente, il Psn offrirà servizi di Cloud Pubblico  Criptato (IT), ovvero permetterà di gestire, ad esempio, strumenti di cifratura on-premise integrati su  Cloud pubblico per la PA, e offrirà lo spettro di servizi Cloud privato/ibrido, ovvero il Cloud Privato/Ibrido  “su licenza” (IT), il Cloud Privato Qualificato (IT).
A tendere, l’obiettivo del Psn, in accordo alle procedure di classificazione e qualificazione, è di offrire  supporto alle amministrazioni centrali e alle principali amministrazioni locali, ad esempio Regioni, ASL e  città metropolitane.

La migrazione al cloud della PA

La migrazione verso i diversi servizi Cloud qualificati e eventualmente all’interno del Psn dovrà essere governata tramite un processo centralizzato, agevole e uniforme per tutte le amministrazioni.  I piani di migrazione saranno quindi defi niti in accordo con il risultato della classifi cazione dei dati e dei  servizi. La classificazione e la redazione del piano di migrazione saranno defi niti e supportati, per i rispettivi  profili di competenza, dell’Agenzia per la Cybersicurezza Nazionale (ACN) e del Dipartimento per la  Trasformazione Digitale (Dtd).

Questo processo non potrà prescindere dalla responsabilizzazione del soggetto pubblico e permetterà di  individuare e catalogare i dati e i servizi gestiti, applicando poi una categorizzazione rispetto agli impatti  di eventuali compromissioni, dei vincoli normativi e di sicurezza.  L’esito della classifi cazione dei dati e servizi da migrare sul Cloud (ovvero dati strategici, critici o ordinari)  permetterà di individuare i piani di migrazione al Cloud più idonei. I piani saranno validati e confermati  dal Dipartimento e dall’Agenzia al fi ne di assicurare la congruità e il rispetto delle linee strategiche.

digital event, 20 ottobre
Think Digital Summit: strategie, tecnologie, trend e innovazione per competere sul mercato
Big Data
Intelligenza Artificiale
@RIPRODUZIONE RISERVATA

Articolo 1 di 4