Vai al contenuto principaleVai al footer
Dipartimento per la trasformazione digitaleDTD + Agenzia per la Cybersicurezza NazionaleACN
Logo Cloud Italia
Cloud Italia
Il Cloud della Pubblica Amministrazione

Novità PNRR

Scopri come accedere ai fondi per la migrazione al cloud di Comuni e scuole
Vai al sito PA digitale 2026

La qualificazione dei servizi cloud per la PA

Come qualificare i servizi cloud dedicati alla Pubblica Amministrazione.
Approfondisci
Come usare il catalogo dei servizi qualificatiQuadro regolatorio

Il processo di qualificazione cloud, una delle linee di indirizzo principali della Strategia Cloud Italia, semplifica e regolamenta, dal punto di vista tecnico e amministrativo, l’acquisizione di servizi cloud da parte delle pubbliche amministrazioni.

I fornitori cloud che intendono erogare servizi Infrastructure as a Service (IaaS), Platform as a Service (PaaS) e Software as a Service (SaaS) destinati alle pubbliche amministrazioni devono ottenere, per questi servizi, la qualificazione rilasciata dall’Agenzia per la Cybersicurezza Nazionale.

Composizione con nuvola simbolo cloud, schermo di un cellulare e circuiti elettronici

Il percorso attuale di qualificazione

Dal 19 gennaio 2023 la qualificazione dei servizi cloud per la PA è di competenza dell’Agenzia per la Cybersicurezza Nazionale (ACN), che è subentrata all’Agenzia per l’Italia digitale (AGID).

ACN ha previsto un regime transitorio fino al gennaio 2024. In seguito, il nuovo percorso di qualificazione diventerà effettivo, con la pubblicazione del nuovo Regolamento ACN e della nuova piattaforma web per inviare le richieste di qualificazione.

Vai al sito di ACN

Modalità di qualificazione

I fornitori che hanno già una qualificazione attiva potranno beneficiare, fino al 18 gennaio 2024, del nuovo livello di qualificazione previsto dal Decreto direttoriale n. 29 del 2 gennaio 2023 di ACN. Il nuovo livello corrisponde al trattamento di dati e ai servizi di natura ordinaria così come indicati dalla metodologia di classificazione dei dati e dei servizi. I fornitori privi di una qualificazione valida o che intendano promuovere un servizio o una infrastruttura già qualificati possono inviare ad ACN una specifica istanza secondo le indicazioni presenti sul sito dell’Agenzia.

Deroga al trattamento e autodichiarazione

Per i fornitori che trattano dati e servizi critici o strategici è prevista una deroga per il trattamento fino al 30 aprile 2023. Entro quella data i fornitori dovranno produrre un’autodichiarazione che certifica l’adozione delle misure previste per infrastrutture e servizi cloud che trattano dati critici o strategici, così come definite nella determina n. 307/2022. La dichiarazione dovrà essere inviata all’indirizzo di posta elettronica certificata (Pec) di ACN (acn@pec.acn.gov.it).

Tutte le pubbliche amministrazioni che applicano la metodologia di classificazione dei dati e dei servizi indicata nella Determina ACN n. 306 del 18 gennaio 2022 e utilizzano fornitori cloud per la gestione di dati e servizi di livello critico o strategico, dovranno entro il 28 febbraio 2023:

  • informare i fornitori interessati per valutare eventuali adeguamenti;
  • inviare alla Pec di ACN i dettagli relativi ai dati e servizi critici o strategici gestiti tramite servizi e infrastrutture cloud.

I fornitori privi di una qualificazione valida o che intendano promuovere un servizio o una infrastruttura già qualificati possono inviare ad ACN un’autodichiarazione che attesta di aver attuato le misure previste dalla determina n. 307 del 18 gennaio 2022 per il livello di qualificazione desiderato (QC1-QC4 per i Servizi, QI1-QI4 per le Infrastrutture). La qualificazione sarà valida per 12 mesi a partire dalla data di concessione.

I contenuti della determina 307/2022 di ACN

Per garantire opportuna protezione ai dati e ai servizi strategici, critici e ordinari, il 18 gennaio 2022 l’Agenzia per la cybersicurezza nazionale, d’intesa con il Dipartimento per la trasformazione digitale, ha adottato la determina n. 307/2022 su:

  • i relativi requisiti minimi e le caratteristiche che devono assicurare le infrastrutture digitali e i servizi cloud di cui si avvalgono le pubbliche amministrazioni;
  • il nuovo processo di qualificazione dei servizi cloud per la PA.

La determina prende in considerazione diversi aspetti:

  • la gestione operativa dei servizi, in particolare gli standard tecnico-organizzativi applicativi e le misure di controllo sui dati;
  • i requisiti di sicurezza per la gestione dei dati, l’erogazione di servizi e le condizioni contrattuali relative alla rendicontazione.

In particolare, l’impianto si basa su un elenco di misure ispirate alle migliori pratiche e agli standard nazionali (ad esempio, il Framework Nazionale per la Cyber Security e Data Protection) e internazionali, in piena coerenza con le più recenti evoluzioni normative in relazione al rischio e all’evoluzione della minaccia di natura cibernetica.

Abilitarsi come fornitori per Comuni e scuole

Per abilitarsi come fornitori per l’avviso “Abilitazione al cloud per le PA Locali” del PNRR rivolto a Comuni e scuole, è possibile accreditarsi al Mercato elettronico della PA (MEPA), seguendo il percorso guidato sul sito.

MEPA è il catalogo fornitori che agevola le PA nell’individuare potenziali fornitori per diversi servizi, fra cui la migrazione al cloud qualificato. I fornitori abilitati alla categoria merceologica “Servizi per l’Information & Communication Technology” possono caricare a catalogo le proprie offerte, seguendo la documentazione relativa al cloud computing (Capitolato d’Oneri e Capitolato tecnico), e renderle acquistabili dalle PA tramite ordine diretto.

Risorse utili