1. Ai fini del presente decreto valgono le definizioni contenute nell'Allegato 1 della determina n. 307 del 18 gennaio 2022, dell'Agenzia per la cybersicurezza nazionale, di seguito denominata «ACN».

(modificato dall'art. 3, comma 1, lett. a), del Decr. Agenzia per la cybersicurezza nazionale 28 luglio 2023, n. 20610, a decorrere dal 1° agosto 2023)

1. A decorrere dal 19 gennaio 2023, le infrastrutture dei Cloud Service Provider, di seguito denominato «CSP» e i servizi cloud in possesso di qualifica valida, rilasciata entro il 18 gennaio 2023 dall'Agenzia per l'Italia digitale ai sensi delle circolari AgID n. 2 e n. 3 del 9 aprile 2018, si intendono qualificati secondo il seguente modello che fa riferimento alla determina dell'ACN n. 307 del 18 gennaio 2022:

a) le infrastrutture dei CSP attualmente qualificati come tipo A, B oppure C ai sensi della circolare AgID n. 2 del 9 aprile 2018, sono qualificate come Infrastrutture dei servizi cloud di livello 1 ("QI1");

b) i Servizi attualmente qualificati come IaaS ai sensi della circolare AgID n. 2 del 9 aprile 2018, sono qualificati come "Servizio Cloud" di livello 1 ("QC1") e tipologia di servizio "IaaS";

c) i Servizi attualmente qualificati come PaaS ai sensi della circolare AgID n. 2 del 9 aprile 2018, sono qualificati come "Servizio Cloud" di livello 1 ("QC1") e tipologia di servizio "PaaS";

d) i Servizi attualmente qualificati come SaaS ai sensi della circolare AgID n. 3 del 9 aprile 2018, sono qualificati come "Servizio Cloud" di livello 1 ("QC1") e tipologia di servizio "SaaS".

2. Le qualificazioni QI1 e QC1, concesse secondo il regime transitorio di cui al comma 1, consentono, in deroga alle previsioni della determina n. 307 del 18 gennaio 2022 dell'ACN, di trattare anche i dati «critici» e «strategici» della pubblica amministrazione fino alla data del 30 aprile 2023.

3. I fornitori di un servizio già qualificato possono richiederne la promozione ad un livello superiore dichiarando, attraverso le modalità rese disponibili tramite il portale web dell'ACN (www.acn. gov.it), l'avvenuta attuazione delle misure previste, ai sensi della determina n. 307 dell'ACN del 18 gennaio 2022, per il nuovo livello di qualificazione richiesto. Tale richiesta è resa ai sensi del decreto del Presidente della Repubblica del 28 dicembre 2000, n. 445, e, sottoscritta dal legale rappresentante o da un suo delegato, ed è presentata telematicamente nel rispetto delle previsioni di cui all'articolo 65 del decreto legislativo 7 marzo 2005, n. 82.

4. Con le stesse modalità di cui al comma 3, è possibile richiedere la qualificazione di un Servizio Cloud o di una Infrastruttura dei Servizi Cloud privi di qualifica in corso di validità.

5. Le qualificazioni concesse secondo il regime transitorio di cui ai commi 1, 3 e 4 del presente articolo, sono inserite nel Marketplace Cloud di cui alle circolari AgID n. 2 e n. 3 del 9 aprile 2018, e sono valide rispettivamente:

a) fino alla data del 18 gennaio 2024, per i servizi di cui al comma 1;

b) per dodici mesi a decorrere dalla data di concessione, per le istanze di qualificazione di cui ai commi 3 e 4.

6. Le pubbliche amministrazioni che alla data del 19 gennaio 2023, hanno affidato a fornitori di servizi cloud dati e servizi che sono stati classificati e convalidati come «critici» o «strategici» ai sensi dell'articolo 3 del regolamento «Cloud della PA», sono tenute ad informare entro il 28 febbraio 2023 tali fornitori e l'ACN, affinché i fornitori interessati possano provvedere ad ottenere il necessario livello di qualifica per trattare tali dati e servizi, entro il 30 aprile 2023, secondo la procedura di cui al comma 3.

7. Le pubbliche amministrazioni di cui al comma 6 inviano ad ACN, tramite posta elettronica certificata (acn@pec.acn. gov.it), le informazioni relative al fornitore e al servizio utilizzato, specificando il riferimento "ID Scheda" che identifica univocamente il CSP o il Servizio cloud all'interno della piattaforma AgID Marketplace Cloud di cui alle circolari AgID n. 2 e n. 3 del 9 aprile 2018 e la identificazione dei dati e\o dei servizi dell'amministrazione classificati ai sensi dell'articolo 3 del regolamento «Cloud della PA» affidati a tale fornitore.

8. Successivamente al rilascio delle qualifiche ai sensi del presente articolo, potranno essere effettuate verifiche da parte dell'ACN per accertare il possesso e il mantenimento dei requisiti di cui all'allegato 1 della determina n. 307 del 18 gennaio 2022, in relazione alla tipologia e al livello di qualificazione.

9. Nell'ambito di tali verifiche, l'ACN può:

a) formulare quesiti e richiedere informazioni;

b) richiedere la produzione di documentazione, ulteriori integrazioni e chiarimenti;

c) svolgere accertamenti di carattere tecnico, anche mediante accesso all'infrastruttura fisica e logica del servizio cloud;

d) audire il soggetto richiedente.

10. Laddove, successivamente alle verifiche effettuate ai sensi del comma 8, dovessero emergere profili relativi al mancato rispetto dei requisiti prescritti, anche a seguito degli eventuali supplementi istruttori condotti con i soggetti interessati, l'ACN può diffidare il fornitore affinché lo stesso provveda al rispetto degli stessi, fino ad arrivare alla sospensione o alla revoca della qualifica posseduta.

11. Il presente regime transitorio si applica fino all'adozione della nuova disciplina prevista per il regime ordinario di cui all" articolo 3.

(modificato dall'art. 3, comma 1, lett. b), del Decr. Agenzia per la cybersicurezza nazionale 28 luglio 2023, n. 20610, a decorrere dal 1° agosto 2023 e dall'art. 3, comma 1, del Decr. Agenzia per la cybersicurezza nazionale 30 gennaio 2024, n. 2927)

1. Entro la data del 30 giugno 2024 o comunque dall'entrata in vigore del Regolamento se antecedente sono adottate le nuove modalità e le procedure di qualificazione che disciplineranno il regime ordinario.

1. Per tutto quanto non espressamente disciplinato dal presente decreto si richiama quanto previsto dal regolamento adottato dall'AgID con Determinazione del 15 dicembre 2021, n. 628, dalle determine n. 306 e n. 307 del 18 gennaio 2022 dell'ACN.

2. Il presente decreto è pubblicato sul sito istituzionale dell'Agenzia per la cybersicurezza nazionale (www.acn. gov.it) e ne sarà data, altresì, notizia tramite pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana.

Roma 2 gennaio 2023

Il Direttore Generale

ROBERTO BALDONI