N.d.R. Il presente è ABROGATO dall'art. 26, comma 1, lett. f), del Decr. Agenzia per la cybersicurezza nazionale 27 giugno 2024, n. 21007, a decorrere dal 1 agosto 2024.
AGENZIA PER LA CYBERSICUREZZA NAZIONALE
DECRETO 28 luglio 2023, n. 20610
- Allegato al Comunicato Agenzia per la Cybersicurezza Nazionale pubblicato nella G.U.R.I. 16 agosto 2023, n. 190
Modifiche ai livelli minimi delle infrastrutture e dei servizi cloud per le pubbliche amministrazioni.
N.d.R. Il presente è ABROGATO dall'art. 26, comma 1, lett. f), del Decr. Agenzia per la cybersicurezza nazionale 27 giugno 2024, n. 21007, a decorrere dal 1 agosto 2024.
IL DIRETTORE GENERALE
VISTO il decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, recante: «Ulteriori misure urgenti per la crescita del Paese», e, in particolare, l'articolo 33-septies, che prevede il consolidamento e la razionalizzazione dei siti e delle infrastrutture digitali del Paese demandando all'Agenzia per la cybersicurezza nazionale, d'intesa con la competente struttura della Presidenza del Consiglio dei ministri e nel rispetto della disciplina introdotta dal decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, l'adozione di un regolamento per stabilire i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la pubblica amministrazione nonché le caratteristiche di qualità, di sicurezza, di performance e scalabilità, interoperabilità, portabilità dei servizi cloud per la pubblica amministrazione e, infine, i termini e le modalità con cui le amministrazioni devono effettuare le migrazioni previste ai commi 1 e 1-bis dello stesso articolo 33-septies e le modalità del procedimento di qualificazione dei servizi cloud per la pubblica amministrazione;
VISTO il decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, recante: «Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale», e, in particolare, l'articolo 7, comma 1, lettere m) e m-ter), che attribuisce all'Agenzia per la cybersicurezza nazionale tutte le funzioni in materia di cybersicurezza già attribuite all'Agenzia per l'Italia digitale, i compiti di cui all'articolo 33-septies, comma 4, del decreto-legge n. 179 del 2012, e la qualificazione dei servizi cloud per la pubblica amministrazione, nonché l'articolo 17, comma 6, secondo periodo;
VISTO il decreto del Presidente del Consiglio dei ministri del 9 dicembre 2021, n. 223, recante: «Regolamento di organizzazione e funzionamento dell'Agenzia per la cybersicurezza nazionale»;
VISTO il decreto del Presidente del Consiglio dei ministri del 1° settembre 2022, recante: «Modalità e termini per assicurare il trasferimento delle funzioni, dei beni strumentali e della documentazione dall'Agenzia per l'Italia digitale e dal Dipartimento per la trasformazione digitale all'Agenzia per la cybersicurezza nazionale»; pubblicato nella Gazzetta Ufficiale delle Repubblica italiana n. 246 del 20 ottobre 2022;
VISTA la determinazione del 15 dicembre 2021, n. 628, dell'Agenzia per l'Italia digitale, di adozione del «Regolamento recante i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la PA e le caratteristiche di qualità, sicurezza, performance e scalabilità, portabilità dei servizi cloud per la pubblica amministrazione, le modalità di migrazione, nonché le modalità di qualificazione dei servizi cloud per la pubblica amministrazione», di cui è stato dato avviso nella Gazzetta Ufficiale delle Repubblica italiana n. 19 del 25 gennaio 2022 (c.d. regolamento "Cloud della PA");
VISTA la determina del 18 gennaio 2022, n. 306, dell'Agenzia per la cybersicurezza nazionale, recante l'adozione del modello per la predisposizione dell'elenco e della classificazione di dati e di servizi;
VISTA la determina del 18 gennaio 2022, n. 307, dell'Agenzia per la cybersicurezza nazionale, di adozione dell'«Aggiornamento degli ulteriori livelli minimi di sicurezza, capacità elaborativa, e affidabilità delle infrastrutture digitali per la pubblica amministrazione e delle ulteriori caratteristiche di qualità, sicurezza, performance e scalabilità dei servizi cloud per la pubblica amministrazione, nonché requisiti di qualificazione dei servizi cloud per la pubblica amministrazione»;
VISTO il decreto del Direttore generale dell'Agenzia per la cybersicurezza nazionale del 2 gennaio 2023, prot. n. 29, recante: «Nuovo processo di qualificazione dei servizi cloud per la pubblica amministrazione»;
VISTO il decreto del Direttore generale dell'Agenzia per la cybersicurezza nazionale dell'8 febbraio 2023, prot. n. 5489, recante: «Differimento dei termini per l'adeguamento delle infrastrutture per la pubblica amministrazione»;
VISTO il decreto del Presidente del Consiglio dei ministri del 10 marzo 2023, con cui è stato conferito al Prefetto Bruno Frattasi l'incarico di Direttore generale dell'Agenzia per la cybersicurezza nazionale;
CONSIDERATO che il mutato contesto di riferimento nel settore dell'erogazione dei servizi telematici e della relativa minaccia tecnica di natura cibernetica richiede un aggiornamento dei termini di adeguamento delle infrastrutture e dei servizi cloud relativi a progettualità PNRR, nonché dei livelli minimi delle infrastrutture e dei servizi cloud per la pubblica amministrazione orientato a garantire una maggiore tutela a vantaggio dell'intera catena di servizio, anche alla luce di quanto osservato nell'applicazione del regolamento "Cloud della PA";
RITENUTO, pertanto, di dover provvedere con gli adeguamenti al fine di delineare un quadro di disciplina che garantisca certezza e continuità del servizio ai soggetti pubblici e privati che operano in tale settore anche al fine di assicurare la piena operatività degli stessi rispetto ai servizi offerti al mercato di riferimento;
CONSIDERATO che nelle attività di qualificazione dei servizi cloud per la pubblica amministrazione è stato previsto un regime transitorio soprattutto per garantire un passaggio graduale verso un nuovo sistema di qualificazione, in piena coerenza con la Strategia cloud Italia in cui si prevede la realizzazione del sistema operativo del Paese anche mediante l'adozione del cloud computing nel settore pubblico;
CONSIDERATO che in ragione di tali adeguamenti è necessario prevedere una proroga del regime transitorio, fino all'adozione del Regolamento unico per le infrastrutture e i servizi cloud per la PA, di cui articolo 33-septies, comma 4, decreto-legge n. 179 del 2012, destinato a razionalizzare gli interventi regolamentari vigenti, aggiornare le modalità di qualificazione delle infrastrutture digitali e caratteristiche dei servizi cloud per la pubblica amministrazione e adeguare i livelli minimi degli stessi, anche in relazione al rischio e all'evoluzione della minaccia di natura cibernetica e tenuto conto degli standard di riferimento;
D'INTESA con il Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei ministri;
Decreta:
N.d.R. Il presente è ABROGATO dall'art. 26, comma 1, lett. f), del Decr. Agenzia per la cybersicurezza nazionale 27 giugno 2024, n. 21007, a decorrere dal 1 agosto 2024.
Definizioni
1. Ai fini del presente decreto valgono le definizioni contenute nell'Allegato 1 della determina n. 307 del 18 gennaio 2022, dell'Agenzia per la cybersicurezza nazionale, di seguito denominata «ACN».
N.d.R. Il presente è ABROGATO dall'art. 26, comma 1, lett. f), del Decr. Agenzia per la cybersicurezza nazionale 27 giugno 2024, n. 21007, a decorrere dal 1 agosto 2024.
Modifiche ai livelli minimi delle infrastrutture e dei servizi cloud per le pubbliche amministrazioni
1. All'Allegato A del Regolamento «Cloud per la PA» dell'Agenzia per l'Italia digitale n. 628 del 15 dicembre 2021 sono apportate le seguenti modificazioni:
a) all'Allegato A, punto 2 - Livelli minimi di capacità elaborativa, le misure identificate con i codici progressivi: «IN-CE-01» e «IN-CE-02» sono abrogate;
b) all'Allegato B, punto 1 - Caratteristiche di qualità, la misura identificata con il codice progressivo «SC-QU-03» è abrogata;
c) all'Allegato B, punto 3 - Caratteristiche di performance e scalabilità, la misura identificata con il codice progressivo «SC-PS-01» è abrogata.
2. Alla Determina n. 307 del 18 gennaio 2022 sono apportate le seguenti modificazioni:
a) Allegato A2:
1) al sottoparagrafo 2.2.6., misura PR.DS-1, il «punto 3» è soppresso;
2) al sottoparagrafo 4.1.7, misura PR.DS-1, al «punto 4», è anteposto il seguente:
«3. Con riferimento all'accesso ai dati da parte di entità extra-UE, il soggetto:
a. segnala all'Agenzia per la cybersicurezza nazionale (ACN) e all'Amministrazione ogni richiesta di accesso a dati o metadati da parte di entità extra-UE;
b. fornisce accesso a dati dell'Amministrazione o metadati ad entità extra-UE solo a valle di un'autorizzazione esplicita da parte dell'Amministrazione.»;
3) al sottoparagrafo 3.2, misura A.DC-1, le parole «In alternativa deve essere conforme alle caratteristiche costruttive, degli impianti meccanici, elettrici e antincendio riportati nella Tabella 2», sono sostituite dalle seguenti: «In alternativa, anche in funzione di una analisi del rischio di cui al requisito ID.RA-5 punto 1, deve essere coerente con le caratteristiche costruttive, degli impianti meccanici, elettrici e antincendio riportati alla Tabella 2.»;
4) al sottoparagrafo 3.3.1, misura A.BC-3, al «punto 1», le parole: « in caso di disastro: RTO 12 ore e RPO 12 ore.» sono sostituite dalle seguenti: «in ogni caso: RTO 36 ore e RPO 36 ore.»;
5) al sottoparagrafo 4.2.1, misura A.BC-4, al «punto 1», le parole «in caso di disastro: RTO 8 ore e RPO 8 ore.», sono sostituite dalle seguenti: «in ogni caso: RTO 24 ore e RPO 24 ore.»;
6) all'Appendice 5, Tabella 1 - Indicatori minimi di servizio dell'Infrastruttura, al codice SL5, il valore «4h» è sostituito dal seguente: «Il valore è calcolato conformemente al potenziale impatto sui servizi erogati conformemente con quanto definito nella BIA e, in ogni caso, non deve superare le 48 ore.»;
7) all'Appendice 5, Tabella 1 - Indicatori minimi di servizio dell'Infrastruttura, al codice SL6, il valore «4h» è sostituito dal seguente: «Il valore è calcolato conformemente al potenziale impatto sui servizi erogati conformemente con quanto definito nella BIA e, in ogni caso, non deve superare le 48 ore.»;
b) All'Allegato B2:
1) al sottoparagrafo 2.1.1, misura QU.SE-2, il «punto 2» è sostituito dal seguente: «Il servizio di supporto e assistenza di cui al punto 1 è fornito almeno in lingua inglese dalle 08.00 alle 18.00 (ora italiana) nei giorni lavorativi. Su richiesta dell'Amministrazione, il servizio di supporto e assistenza di cui al punto 1 è fornito almeno in lingua italiana e/o per un orario più esteso fino a coprire tutti giorni dell'anno a qualsiasi orario (24/7/365).»;
2) al sottoparagrafo 2.2.7, misura PR.DS-1, il «punto 3» è soppresso;
3) al sottoparagrafo 2.2.7, misura PR.DS-1, al «punto 4» le parole «Il soggetto garantisce autonomia all'Amministrazione nella gestione delle proprie chiavi crittografiche e, in particolare» sono sostituite con le seguenti: «Con riferimento alle chiavi crittografiche» e la lettera «d.» è soppressa;
4) al sottoparagrafo 2.2.7, misura PR.DS-1, dopo il «punto 4», è inserito il seguente: «4-bis. Con riferimento alle chiavi crittografìche, su richiesta dell'Amministrazione, il soggetto garantisce:
a. la gestione autonoma da parte dell'Amministrazione;
b. la generazione di chiavi crittografiche segrete e private per uno scopo unico.»;
5) al sottoparagrafo 3.1.7, misura PR.DS-1, al «punto 7», è anteposto il seguente "6-bis. Nel caso di dati e di servizi critici delle Amministrazioni, non trovano applicazione le previsioni del requisito di cui al sottoparagrafo 2.2.7, misura PR-DS-1, punto 4-bis. Con riferimento alle chiavi crittografiche, il soggetto garantisce la gestione autonoma da parte dell'Amministrazione e la generazione di chiavi crittografiche segrete e private per uno scopo unico.";
6) dopo il sottoparagrafo 3.1.17 sono aggiunti i seguenti:
«3.2. Qualità
3.2.1. Qualità del servizio
QUSE-2: Viene fornito un adeguato servizio di assistenza e supporto
2. Nel caso di dati e di servizi critici delle Amministrazioni, non trovano applicazione le previsioni del requisito di cui al sottoparagrafo 2.1.1, misura QUSE-2, punto 2. Il servizio di supporto e assistenza di cui al punto 1 è fornito almeno in lingua italiana tutti i giorni dell'anno a qualsiasi orario (24/7/365).».
7) al sottoparagrafo 4.1.4, misura PR.DS-1, al «punto 13», è anteposto il seguente: «12-bis. Con riferimento all'accesso ai dati da parte di entità extra-UE, il soggetto:
a. segnala all'Agenzia per la Cybersicurezza Nazionale (ACN) e all'Amministrazione ogni richiesta di accesso a dati o metadati da parte di entità extra-UE;
b. fornisce accesso a dati dell'Amministrazione o metadati ad entità extra-UE solo a valle di un'autorizzazione esplicita da parte dell'Amministrazione.»;
c) All'Allegato C:
1) al sottoparagrafo 2.2, al secondo periodo, dopo le parole: «per il servizio cloud oggetto di qualifica» sono inserite le seguenti: «, ovvero, relativamente ai soli servizi cloud della categoria "SaaS", per i casi in cui la relativa richiesta di qualificazione sia stata avanzata prima del 18 gennaio 2024, un'autocertificazione che attesti la conformità a detti standard.».;
2) al sottoparagrafo 3.1, dopo il primo periodo è aggiunto il seguente: «Con riferimento al sottoparagrafo 3.1.7 di cui all'Allegato B2, il requisito descritto nel punto 7 della misura PR.DS-1 si applica per le richieste di qualificazione QC2 avanzate dopo il 18 gennaio 2024.»;
3) al sottoparagrafo 6.2, il secondo periodo è sostituito dal seguente: «una certificazione ISO/IEC 27001:2013 - Sistema di gestione per la sicurezza delle Informazioni (SGSI) per l'infrastruttura digitale oggetto di qualifica ovvero, per i casi in cui la relativa richiesta di qualificazione sia stata avanzata prima del 18 gennaio 2024, un'autocertificazione che attesti la conformità al citato standard ISO/IEC 27001:2013».
N.d.R. Il presente è ABROGATO dall'art. 26, comma 1, lett. f), del Decr. Agenzia per la cybersicurezza nazionale 27 giugno 2024, n. 21007, a decorrere dal 1 agosto 2024.
Modifiche al regime transitorio di qualificazione delle infrastrutture e dei servizi cloud per la PA
1. Al decreto del Direttore generale dell'Agenzia per la cybersicurezza nazionale del 2 gennaio 2023, prot. n. 29, sono apportate le seguenti modificazioni:
a) all'articolo 2, il comma 3 è sostituito dal seguente: «I fornitori di un servizio già qualificato possono richiederne la promozione ad un livello superiore dichiarando, attraverso le modalità rese disponibili tramite il portale web dell'ACN (www.acn. gov.it), l'avvenuta attuazione delle misure previste, ai sensi della determina n. 307 dell'ACN del 18 gennaio 2022, per il nuovo livello di qualificazione richiesto. Tale richiesta è resa ai sensi del decreto del Presidente della Repubblica del 28 dicembre 2000, n. 445, e, sottoscritta dal legale rappresentante o da un suo delegato, ed è presentata telematicamente nel rispetto delle previsioni di cui all'articolo 65 del decreto legislativo 7 marzo 2005, n. 82.»;
b) all'articolo 3, comma 1, le parole: «31 luglio 2023» sono sostituite dalle seguenti: «31 gennaio 2024».
N.d.R. Il presente è ABROGATO dall'art. 26, comma 1, lett. f), del Decr. Agenzia per la cybersicurezza nazionale 27 giugno 2024, n. 21007, a decorrere dal 1 agosto 2024.
Modifiche alle modalità di differimento termini per l'adeguamento delle infrastrutture e dei servizi cloud per la pubblica amministrazione
1. Al decreto del Direttore generale dell'Agenzia per la cybersicurezza nazionale dell'8 febbraio 2023, prot. n. 5489, sono apportate le seguenti modificazioni:
a) all'articolo 2:
1) dopo il comma 1, è inserito il seguente: «1-bis. Nell'ambito delle attività di migrazione di cui articolo 10 del regolamento adottato dall'AgID con Determinazione del 15 dicembre 2021, n. 628, le pubbliche amministrazioni possono trattare i propri dati e servizi con le infrastrutture ed i servizi cloud già in uso fino:
a) al completamento della migrazione, in caso di piano di migrazione convalidato e, comunque, non oltre il 30 giugno 2026 ovvero;
b) al 18 gennaio 2024 in caso di mancata convalida o mancata trasmissione del piano di migrazione di cui all'articolo 10, comma 7, punto c), del regolamento adottato dall'AgID con Determinazione del 15 dicembre 2021, n. 628.»,
2) il comma 3 è sostituito dal seguente: «Entro il termine di cui al comma 1, le amministrazioni di cui all'articolo 1, comma 2, lettera a), e i gestori di cui all'articolo 1, comma 2, lettera b), sottoscrivono una relazione di conformità e adozione dei requisiti di cui ai commi 1 e 2, secondo il modello reso disponibile tramite il portale web dell'ACN(www.acn. gov.it). Tale dichiarazione, resa ai sensi del decreto del Presidente della Repubblica del 28 dicembre 2000, n. 445 e sottoscritta dal legale rappresentante o da un suo delegato, è presentata telematicamente nel rispetto delle previsioni di cui all'articolo 65 del decreto legislativo 7 marzo 2005, n. 82. In tale dichiarazione sono riportati eventuali documentati interventi, che necessitano, per ragioni di complessità, di tempi di adeguamento maggiori rispetto al termine di cui al comma 1, e per i quali le amministrazioni hanno già adottato, entro il 30 settembre 2023, la relativa decisione di contrarre. Le amministrazioni completano tali attività di adeguamento, comunque, entro il 18 ottobre 2024. Fino al completamento delle attività di adeguamento, le amministrazioni di cui all'articolo 1, comma 2, lettera a), e i gestori di cui all'articolo 1, comma 2, lettera b), continuano a trattare i propri dati e servizi con le infrastrutture i servizi cloud già in uso».
N.d.R. Il presente è ABROGATO dall'art. 26, comma 1, lett. f), del Decr. Agenzia per la cybersicurezza nazionale 27 giugno 2024, n. 21007, a decorrere dal 1 agosto 2024.
Applicazione, disposizioni finali e pubblicazione
1. Le disposizioni del presente decreto si applicano a decorrere dal 1° agosto 2023.
2. Per tutto quanto non espressamente disciplinato dal presente decreto si richiama quanto previsto dal regolamento adottato dall'AgID con Determinazione del 15 dicembre 2021, n. 628, dalle determine n. 306 e n. 307 del 18 gennaio 2022 dell'ACN, dal decreto dell'ACN del 2 gennaio 2023, prot. n. 29 e dal decreto dell'ACN del 8 febbraio 2023, prot. n. 5489.
3. Il presente decreto è pubblicato sul sito istituzionale dell'Agenzia per la cybersicurezza nazionale (www.acn. gov.it) e ne sarà data, altresì, comunicazione tramite pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 28 luglio 2023
Il Direttore Generale
BRUNO FRATTASI