Norma - quotidiano d'informazione giuridica - DBI s.r.l.

N.d.R. Il presente è ABROGATO dall'art. 26, comma 1, lett. e), del Decr. Agenzia per la cybersicurezza nazionale 27 giugno 2024, n. 21007, a decorrere dal 1 agosto 2024.

AGENZIA PER LA CYBERSICUREZZA NAZIONALE

DECRETO 8 febbraio 2023, prot. n. 5489

- Allegato al Comunicato Agenzia per la Cybersicurezza Nazionale pubblicato nella G.U.R.I. 9 marzo 2023, n. 58

Differimento dei termini per l'adeguamento delle infrastrutture per la pubblica amministrazione.

TESTO COORDINATO (al Decr. Agenzia per la cybersicurezza nazionale 28 luglio 2023, n. 20610)

N.d.R. Il presente è ABROGATO dall'art. 26, comma 1, lett. e), del Decr. Agenzia per la cybersicurezza nazionale 27 giugno 2024, n. 21007, a decorrere dal 1 agosto 2024.

IL DIRETTORE GENERALE

VISTO il decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, recante: "Ulteriori misure urgenti per la crescita del Paese", e, in particolare, l'articolo 33-septies, che prevede il consolidamento e la razionalizzazione dei siti e delle infrastrutture digitali del Paese demandando all'Agenzia per la cybersicurezza nazionale, d'intesa con la competente struttura della Presidenza del Consiglio dei ministri e nel rispetto della disciplina introdotta dal decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, l'adozione di un regolamento per stabilire i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la pubblica amministrazione nonché le caratteristiche di qualità, di sicurezza, di performance e scalabilità, interoperabilità, portabilità dei servizi cloud per la pubblica amministrazione e, infine, i termini e le modalità con cui le amministrazioni devono effettuare le migrazioni previste ai commi 1 e 1-bis dello stesso articolo 33-septies e le modalità del procedimento di qualificazione dei servizi cloud per la pubblica amministrazione;

VISTO il decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, recante: "Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale", e, in particolare, l'articolo 7, comma 1, lettere m) e m-ter), che attribuisce all'Agenzia per la cybersicurezza nazionale tutte le funzioni in materia di cybersicurezza già attribuite all'Agenzia per l'Italia digitale, i compiti di cui all'articolo 33-septies, comma 4, del decreto-legge n. 179 del 2012, e la qualificazione dei servizi cloud per la pubblica amministrazione, nonché l'articolo 17, comma 6, secondo periodo;

VISTO il decreto del Presidente del Consiglio dei ministri del 9 dicembre 2021, n. 223, recante: "Regolamento di organizzazione e funzionamento dell'Agenzia per la cybersicurezza nazionale";

VISTO il decreto del Presidente del Consiglio dei ministri del 1° settembre 2022, pubblicato nella Gazzetta Ufficiale delle Repubblica italiana n. 246 del 20 ottobre 2022, recante: "Modalità e termini per assicurare il trasferimento delle funzioni, dei beni strumentali e della documentazione dall'Agenzia per l'Italia digitale e dal Dipartimento per la trasformazione digitale all'Agenzia per la cybersicurezza nazionale";

VISTA la determinazione del 15 dicembre 2021, n. 628, dell'Agenzia per l'Italia digitale, di adozione del "Regolamento recante i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la PA e le caratteristiche di qualità, sicurezza, performance e scalabilità, portabilità dei servizi cloud per la pubblica amministrazione, le modalità di migrazione, nonché le modalità di qualificazione dei servizi cloud per la pubblica amministrazione", di cui è stato dato avviso nella Gazzetta Ufficiale delle Repubblica italiana n. 19 del 25 gennaio 2022 (c.d. regolamento "Cloud della PA");

VISTA la determina del 18 gennaio 2022, n. 306, dell'Agenzia per la cybersicurezza nazionale, recante l'adozione del modello per la predisposizione dell'elenco e della classificazione di dati e di servizi;

VISTA la determina del 18 gennaio 2022, n. 307, dell'Agenzia per la cybersicurezza nazionale, di adozione dell'"Aggiornamento degli ulteriori livelli minimi di sicurezza, capacità elaborativa, e affidabilità delle infrastrutture digitali per la pubblica amministrazione e delle ulteriori caratteristiche di qualità, sicurezza, performance e scalabilità dei servizi cloud per la pubblica amministrazione, nonché requisiti di qualificazione dei servizi cloud per la pubblica amministrazione";

VISTO il decreto del Direttore generale dell'Agenzia per la cybersicurezza nazionale del 2 gennaio 2023, prot. n. 29, relativo al regime transitorio prima della gestione ordinaria della qualificazione per garantire la continuità dei servizi qualificati già in uso dalle amministrazioni e per consentire una graduale armonizzazione della normativa nazionale;

CONSIDERATO che, in coerenza con quanto previsto dal decreto del Presidente del Consiglio dei ministri del 14 aprile 2021, n. 81, recante: "Regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui all'articolo 1, comma 2, lettera b), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, e di misure volte a garantire elevati livelli di sicurezza", e dal citato decreto dell'Agenzia per la cybersicurezza nazionale del 2 gennaio 2023, prot. n. 29, è necessario differire i termini per l'adeguamento delle infrastrutture per la pubblica amministrazione ai requisiti di cui alla determinazione del 15 dicembre 2021, n. 628, dell'Agenzia per l'Italia digitale, e alla determina del 18 gennaio 2022, n. 307, dell'Agenzia per la cybersicurezza nazionale;

D'INTESA con il Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei ministri;

Decreta:

N.d.R. Il presente è ABROGATO dall'art. 26, comma 1, lett. e), del Decr. Agenzia per la cybersicurezza nazionale 27 giugno 2024, n. 21007, a decorrere dal 1 agosto 2024.

Art. 1

Definizioni e ambito di applicazione

1. Ai fini del presente decreto valgono le definizioni contenute nell'Allegato 1 della determina del 18 gennaio 2022, n. 307, dell'Agenzia per la cybersicurezza nazionale, di seguito denominata "ACN".

2. Il presente decreto si applica ai seguenti soggetti:

a) pubbliche amministrazioni che gestiscono on premises le proprie infrastrutture;

b) pubbliche amministrazioni che affidano i propri dati e servizi digitali a società in house, ovvero, per espressa previsione normativa, a società a controllo pubblico, come definite nel decreto legislativo 19 agosto 2016, n. 175, che li gestiscono tramite proprie infrastrutture o servizi cloud.

N.d.R. Il presente è ABROGATO dall'art. 26, comma 1, lett. e), del Decr. Agenzia per la cybersicurezza nazionale 27 giugno 2024, n. 21007, a decorrere dal 1 agosto 2024.

Art. 2

Differimento termini per l'adeguamento delle infrastrutture e dei servizi cloud per la pubblica amministrazione

(integrato e modificato dall'art. 4, comma 1, del Decr. Agenzia per la cybersicurezza nazionale 28 luglio 2023, n. 20610, a decorrere dal 1° agosto 2023)

1. Le infrastrutture per la pubblica amministrazione sono adeguate, entro il 18 gennaio 2024, ai livelli minimi di cui all'allegato A del regolamento "Cloud della PA", nonché ai livelli minimi di cui alla determina del 18 gennaio 2022, n. 307, dell'ACN, previsti per trattare dati e servizi digitali classificati quali ordinari, critici e strategici ai sensi dell'articolo 3, comma 3, dello stesso regolamento "Cloud della PA".

1-bis. Nell'ambito delle attività di migrazione di cui articolo 10 del regolamento adottato dall'AgID con Determinazione del 15 dicembre 2021, n. 628, le pubbliche amministrazioni possono trattare i propri dati e servizi con le infrastrutture ed i servizi cloud già in uso fino:

a) al completamento della migrazione, in caso di piano di migrazione convalidato e, comunque, non oltre il 30 giugno 2026 ovvero;

b) al 18 gennaio 2024 in caso di mancata convalida o mancata trasmissione del piano di migrazione di cui all'articolo 10, comma 7, punto c), del regolamento adottato dall'AgID con Determinazione del 15 dicembre 2021, n. 628.

2. Fermo restando quanto previsto dal comma 1 e dalla determina del 18 gennaio 2022, n. 307, dell'ACN, le infrastrutture per la pubblica amministrazione gestite da un soggetto pubblico, da società in house, ovvero, per espressa previsione normativa, da società a controllo pubblico, come definite nel decreto legislativo 19 agosto 2016, n. 175, e i servizi cloud eventualmente erogati dai medesimi soggetti alla pubblica amministrazione non sono sottoposti ad un processo di qualificazione preventiva. Resta fermo, altresì, quanto previsto per le infrastrutture per la pubblica amministrazione e per i servizi cloud eventualmente erogati da un soggetto pubblico, da società in house, ovvero, per espressa previsione normativa, da società a controllo pubblico, come definite nel decreto legislativo 19 agosto 2016, n. 175, rispettivamente, dall'articolo 7 del regolamento "Cloud della PA" in materia di livelli minimi di base di sicurezza, di capacità elaborativa, di risparmio energetico e di affidabilità, e dall'articolo 8 del regolamento "Cloud della PA" in materia e di caratteristiche di base di qualità, di sicurezza, di performance e di scalabilità, di interoperabilità, di portabilità.

3. Entro il termine di cui al comma 1, le amministrazioni di cui all'articolo 1, comma 2, lettera a), e i gestori di cui all'articolo 1, comma 2, lettera b), sottoscrivono una relazione di conformità e adozione dei requisiti di cui ai commi 1 e 2, secondo il modello reso disponibile tramite il portale web dell'ACN(www.acn. gov.it). Tale dichiarazione, resa ai sensi del decreto del Presidente della Repubblica del 28 dicembre 2000, n. 445 e sottoscritta dal legale rappresentante o da un suo delegato, è presentata telematicamente nel rispetto delle previsioni di cui all'articolo 65 del decreto legislativo 7 marzo 2005, n. 82. In tale dichiarazione sono riportati eventuali documentati interventi, che necessitano, per ragioni di complessità, di tempi di adeguamento maggiori rispetto al termine di cui al comma 1, e per i quali le amministrazioni hanno già adottato, entro il 30 settembre 2023, la relativa decisione di contrarre. Le amministrazioni completano tali attività di adeguamento, comunque, entro il 18 ottobre 2024. Fino al completamento delle attività di adeguamento, le amministrazioni di cui all'articolo 1, comma 2, lettera a), e i gestori di cui all'articolo 1, comma 2, lettera b), continuano a trattare i propri dati e servizi con le infrastrutture i servizi cloud già in uso.

4. L'ACN, a seguito dell'invio della autodichiarazione di cui al comma 3, può effettuare verifiche per accertare il possesso e il mantenimento dei requisiti di cui al regolamento "Cloud per la PA" e alla determina del 18 gennaio 2022, n. 307, in relazione alla tipologia di dati o servizi trattati mediante infrastrutture o servizi cloud per la pubblica amministrazione.

5. Nell'ambito delle verifiche di cui al comma 4, l'ACN può:

a) formulare quesiti e richiedere informazioni;

b) richiedere la produzione di documentazione, ulteriori integrazioni e chiarimenti;

c) svolgere accertamenti di carattere tecnico, anche mediante accesso all'infrastruttura fisica e logica dell'infrastruttura o del servizio cloud per la pubblica amministrazione;

d) audire l'amministrazione, il gestore dell'infrastruttura o del servizio cloud per la pubblica amministrazione.

6. Laddove, successivamente alle verifiche effettuate ai sensi dei commi 4 e 5, dovessero emergere profili relativi al mancato rispetto dei requisiti prescritti, l'ACN segnala la violazione all'Agenzia per l'Italia digitale (AgID) al fine dell'applicazione dell'articolo 33-septies, comma 4-quinquies, del decreto-legge n. 179 del 2012.

7. Le Amministrazioni di cui all'articolo 1, comma 2, lettera b), informano, qualora non vi abbiano già provveduto ai sensi dell'articolo 2, comma 6, del decreto dell'ACN del 2 gennaio 2023, prot. n. 29, entro il 31 marzo 2023, i gestori dei propri dati e servizi digitali classificati quali critici o strategici, ai sensi dell'articolo 3, comma 3, del regolamento "Cloud della PA", della classifica degli stessi.

8. Le Amministrazioni di cui al comma 7 inviano ad ACN, entro il 31 marzo 2023, tramite posta elettronica certificata acn@pec.acn. gov.it, le informazioni relative all'infrastruttura per la pubblica amministrazione utilizzata e al gestore della medesima infrastruttura, nonché quelle relative ai propri dati e servizi classificati quali critici o strategici, ai sensi dell'articolo 3, comma 3, del regolamento "Cloud della PA".

N.d.R. Il presente è ABROGATO dall'art. 26, comma 1, lett. e), del Decr. Agenzia per la cybersicurezza nazionale 27 giugno 2024, n. 21007, a decorrere dal 1 agosto 2024.

Art. 3

Disposizioni finali e pubblicazione

1. Per tutto quanto non espressamente disciplinato dal presente decreto si richiama quanto previsto dal regolamento adottato dall'AgID con determinazione del 15 dicembre 2021, n. 628, dalle determine dell'ACN del 18 gennaio 2022, n. 306 e n. 307, e dal decreto del 2 gennaio 2023, prot. n. 29, dell'ACN.

2. Il presente decreto è pubblicato sul sito web istituzionale dell'Agenzia per la cybersicurezza nazionale (www.acn. gov.it) e ne sarà data, altresì, comunicazione tramite pubblicazione per comunicato nella Gazzetta Ufficiale della Repubblica italiana.

Roma, 8 febbraio 2023

Il Direttore Generale

ROBERTO BALDONI