1. Ai fini del presente decreto valgono le definizioni contenute nell'Allegato 1 della determina del 18 gennaio 2022, n. 307, dell'Agenzia per la cybersicurezza nazionale, di seguito denominata "ACN".

2. Il presente decreto si applica ai seguenti soggetti:

a) pubbliche amministrazioni che gestiscono on premises le proprie infrastrutture;

b) pubbliche amministrazioni che affidano i propri dati e servizi digitali a società in house, ovvero, per espressa previsione normativa, a società a controllo pubblico, come definite nel decreto legislativo 19 agosto 2016, n. 175, che li gestiscono tramite proprie infrastrutture o servizi cloud.

(integrato e modificato dall'art. 4, comma 1, del Decr. Agenzia per la cybersicurezza nazionale 28 luglio 2023, n. 20610, a decorrere dal 1° agosto 2023)

1. Le infrastrutture per la pubblica amministrazione sono adeguate, entro il 18 gennaio 2024, ai livelli minimi di cui all'allegato A del regolamento "Cloud della PA", nonché ai livelli minimi di cui alla determina del 18 gennaio 2022, n. 307, dell'ACN, previsti per trattare dati e servizi digitali classificati quali ordinari, critici e strategici ai sensi dell'articolo 3, comma 3, dello stesso regolamento "Cloud della PA".

1-bis. Nell'ambito delle attività di migrazione di cui articolo 10 del regolamento adottato dall'AgID con Determinazione del 15 dicembre 2021, n. 628, le pubbliche amministrazioni possono trattare i propri dati e servizi con le infrastrutture ed i servizi cloud già in uso fino:

a) al completamento della migrazione, in caso di piano di migrazione convalidato e, comunque, non oltre il 30 giugno 2026 ovvero;

b) al 18 gennaio 2024 in caso di mancata convalida o mancata trasmissione del piano di migrazione di cui all'articolo 10, comma 7, punto c), del regolamento adottato dall'AgID con Determinazione del 15 dicembre 2021, n. 628.

2. Fermo restando quanto previsto dal comma 1 e dalla determina del 18 gennaio 2022, n. 307, dell'ACN, le infrastrutture per la pubblica amministrazione gestite da un soggetto pubblico, da società in house, ovvero, per espressa previsione normativa, da società a controllo pubblico, come definite nel decreto legislativo 19 agosto 2016, n. 175, e i servizi cloud eventualmente erogati dai medesimi soggetti alla pubblica amministrazione non sono sottoposti ad un processo di qualificazione preventiva. Resta fermo, altresì, quanto previsto per le infrastrutture per la pubblica amministrazione e per i servizi cloud eventualmente erogati da un soggetto pubblico, da società in house, ovvero, per espressa previsione normativa, da società a controllo pubblico, come definite nel decreto legislativo 19 agosto 2016, n. 175, rispettivamente, dall'articolo 7 del regolamento "Cloud della PA" in materia di livelli minimi di base di sicurezza, di capacità elaborativa, di risparmio energetico e di affidabilità, e dall'articolo 8 del regolamento "Cloud della PA" in materia e di caratteristiche di base di qualità, di sicurezza, di performance e di scalabilità, di interoperabilità, di portabilità.

3. Entro il termine di cui al comma 1, le amministrazioni di cui all'articolo 1, comma 2, lettera a), e i gestori di cui all'articolo 1, comma 2, lettera b), sottoscrivono una relazione di conformità e adozione dei requisiti di cui ai commi 1 e 2, secondo il modello reso disponibile tramite il portale web dell'ACN(www.acn. gov.it). Tale dichiarazione, resa ai sensi del decreto del Presidente della Repubblica del 28 dicembre 2000, n. 445 e sottoscritta dal legale rappresentante o da un suo delegato, è presentata telematicamente nel rispetto delle previsioni di cui all'articolo 65 del decreto legislativo 7 marzo 2005, n. 82. In tale dichiarazione sono riportati eventuali documentati interventi, che necessitano, per ragioni di complessità, di tempi di adeguamento maggiori rispetto al termine di cui al comma 1, e per i quali le amministrazioni hanno già adottato, entro il 30 settembre 2023, la relativa decisione di contrarre. Le amministrazioni completano tali attività di adeguamento, comunque, entro il 18 ottobre 2024. Fino al completamento delle attività di adeguamento, le amministrazioni di cui all'articolo 1, comma 2, lettera a), e i gestori di cui all'articolo 1, comma 2, lettera b), continuano a trattare i propri dati e servizi con le infrastrutture i servizi cloud già in uso.

4. L'ACN, a seguito dell'invio della autodichiarazione di cui al comma 3, può effettuare verifiche per accertare il possesso e il mantenimento dei requisiti di cui al regolamento "Cloud per la PA" e alla determina del 18 gennaio 2022, n. 307, in relazione alla tipologia di dati o servizi trattati mediante infrastrutture o servizi cloud per la pubblica amministrazione.

5. Nell'ambito delle verifiche di cui al comma 4, l'ACN può:

a) formulare quesiti e richiedere informazioni;

b) richiedere la produzione di documentazione, ulteriori integrazioni e chiarimenti;

c) svolgere accertamenti di carattere tecnico, anche mediante accesso all'infrastruttura fisica e logica dell'infrastruttura o del servizio cloud per la pubblica amministrazione;

d) audire l'amministrazione, il gestore dell'infrastruttura o del servizio cloud per la pubblica amministrazione.

6. Laddove, successivamente alle verifiche effettuate ai sensi dei commi 4 e 5, dovessero emergere profili relativi al mancato rispetto dei requisiti prescritti, l'ACN segnala la violazione all'Agenzia per l'Italia digitale (AgID) al fine dell'applicazione dell'articolo 33-septies, comma 4-quinquies, del decreto-legge n. 179 del 2012.

7. Le Amministrazioni di cui all'articolo 1, comma 2, lettera b), informano, qualora non vi abbiano già provveduto ai sensi dell'articolo 2, comma 6, del decreto dell'ACN del 2 gennaio 2023, prot. n. 29, entro il 31 marzo 2023, i gestori dei propri dati e servizi digitali classificati quali critici o strategici, ai sensi dell'articolo 3, comma 3, del regolamento "Cloud della PA", della classifica degli stessi.

8. Le Amministrazioni di cui al comma 7 inviano ad ACN, entro il 31 marzo 2023, tramite posta elettronica certificata acn@pec.acn. gov.it, le informazioni relative all'infrastruttura per la pubblica amministrazione utilizzata e al gestore della medesima infrastruttura, nonché quelle relative ai propri dati e servizi classificati quali critici o strategici, ai sensi dell'articolo 3, comma 3, del regolamento "Cloud della PA".

1. Per tutto quanto non espressamente disciplinato dal presente decreto si richiama quanto previsto dal regolamento adottato dall'AgID con determinazione del 15 dicembre 2021, n. 628, dalle determine dell'ACN del 18 gennaio 2022, n. 306 e n. 307, e dal decreto del 2 gennaio 2023, prot. n. 29, dell'ACN.

2. Il presente decreto è pubblicato sul sito web istituzionale dell'Agenzia per la cybersicurezza nazionale (www.acn. gov.it) e ne sarà data, altresì, comunicazione tramite pubblicazione per comunicato nella Gazzetta Ufficiale della Repubblica italiana.

Roma, 8 febbraio 2023

Il Direttore Generale

ROBERTO BALDONI