IL DIRETTORE GENERALE

VTSTO il decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, recante: "Ulteriori misure urgenti per la crescita del Paese", e, in particolare, l'articolo 33-septies, che prevede il consolidamento e la razionalizzazione dei siti e delle infrastrutture digitali del Paese demandando all'Agenzia per la cybersicurezza nazionale, d'intesa con la competente struttura della Presidenza del Consiglio dei ministri e nel rispetto della disciplina introdotta dal decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, l'adozione di un regolamento per stabilire i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la pubblica amministrazione nonché le caratteristiche di qualità, di sicurezza, di performance e scalabilità, interoperabilità, portabilità dei servizi cloud per la pubblica amministrazione e, infine, i termini e le modalità con cui le amministrazioni devono effettuare le migrazioni previste ai commi 1 e 1-bis dello stesso articolo 33-septies e le modalità del procedimento di qualificazione dei servizi cloud per la pubblica amministrazione;

VISTO il decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, recante: "Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale", e, in particolare, l'articolo 7, comma 1, lettere m) e m-ter), che attribuisce all'Agenzia per la cybersicurezza nazionale tutte le funzioni in materia di cybersicurezza già attribuite all'Agenzia per l'Italia digitale, i compiti di cui all'articolo 33-septies, comma 4, del decreto-legge n. 179 del 2012, e la qualificazione dei servizi cloud per la pubblica amministrazione, nonché l'articolo 17, comma 6, secondo periodo;

VISTO il decreto del Presidente del Consiglio dei ministri del 9 dicembre 2021, n. 223, recante: "Regolamento di organizzazione e funzionamento dell'Agenzia per la cybersicurezza nazionale";

VISTO il decreto del Presidente del Consiglio dei ministri del 1° settembre 2022, pubblicato nella Gazzetta Ufficiale delle Repubblica italiana n. 246 del 20 ottobre 2022, recante: "Modalità e termini per assicurare il trasferimento delle funzioni, dei beni strumentali e della documentazione dall'Agenzia per l'Italia digitale e dal Dipartimento per la trasformazione digitale all'Agenzia per la cybersicurezza nazionale";

VISTA la determinazione del 15 dicembre 2021, n. 628, dell'Agenzia per l'Italia digitale, di adozione del "Regolamento recante i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la PA e le caratteristiche di qualità, sicurezza, performance e scalabilità, portabilità dei servizi cloud per la pubblica amministrazione, le modalità di migrazione, nonché le modalità di qualificazione dei cloud per la pubblica amministrazione", di cui è stato dato avviso nella Gazzetta Ufficiale delle Repubblica italiana n. 19 del 25 gennaio 2022 (c.d. regolamento "Cloud della PA");

VISTA la determina del 18 gennaio 2022, n. 306, dell'Agenzia per la cybersicurezza nazionale, recante l'adozione del modello per la predisposizione dell'elenco e della classificazione di dati e di servizi;

VISTA la determina del 18 gennaio 2022, n. 307, dell'Agenzia per la cybersicurezza nazionale, di adozione dell'"Aggiornamento degli ulteriori livelli minimi di sicurezza, capacità elaborativa, e affidabilità delle infrastrutture digitali per la pubblica amministrazione e delle ulteriori caratteristiche di qualità, sicurezza, performance e scalabilità dei servizi cloud per la pubblica amministrazione, nonché requisiti di qualificazione dei servizi cloud per la pubblica amministrazione";

VISTO il decreto del Direttore generale dell'Agenzia per la cybersicurezza nazionale del 2 gennaio 2023, prot. n. 29, recante, in attesa della definizione di un regime ordinario e a garanzia di un passaggio graduale verso un nuovo sistema di qualificazione, l'istituzione di un regime transitorio relativo alla qualificazione cloud per la Pubblica Amministrazione per garantire la continuità dei servizi qualificati già in uso dalle amministrazioni e per consentire una progressiva armonizzazione della normativa nazionale;

VISTO il decreto del Direttore generale dell'Agenzia per la cybersicurezza nazionale dell'8 febbraio 2023, prot. n. 5489, relativo al regime transitorio per l'adeguamento delle infrastrutture e dei servizi cloud per la pubblica amministrazione gestite on premise o tramite affidamento a società in house ovvero, per espressa previsione normativa, da società a controllo pubblico, come definite nel decreto legislativo 19 agosto 2016, n. 175;

VISTO il decreto del Direttore generale dell'Agenzia per la cybersicurezza nazionale del 28 luglio 2023, prot. n. 20610, recante modifiche ai livelli minimi delle infrastrutture e alle caratteristiche dei servizi cloud per le Pubbliche Amministrazioni, con il quale è stato, altresì, prorogato il regime transitorio fino al 31 gennaio 2024;

VISTO il decreto del Presidente del Consiglio dei ministri del 10 marzo 2023, con cui è stato conferito al Prefetto Bruno Frattasi l'incarico di Direttore generale dell'Agenzia;

CONSIDERATO che è stata completata la fase di predisposizione dello schema di Regolamento unico per le infrastrutture e i servizi cloud per la PA, di cui all'articolo 33-septies, comma 4, decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, destinato a razionalizzare gli interventi regolamentari vigenti, aggiornare le modalità di qualificazione delle infrastrutture digitali e caratteristiche dei servizi cloud per la pubblica amministrazione e adeguare i livelli minimi degli stessi, anche in relazione al rischio e all'evoluzione della minaccia di natura cibernetica e tenuto conto degli standard di riferimento;

CONSIDERATO che il Regolamento contiene regole tecniche per le quali è necessario avviare la procedura di informazione alla Commissione europea ai sensi della Direttiva (UE) n. 2015/1535 del Parlamento europeo e del Consiglio del 9 settembre 2015;

CONSIDERATO che è stata avviata presso l'Unità centrale di notifica del Ministero imprese e del made in Italy, la procedura di informazione alla Commissione europea ai sensi della Direttiva (UE) n. 2015/1535 del Parlamento europeo e del Consiglio del 9 settembre 2015;

CONSIDERATO che nell'ambito di tale procedura di informazione è previsto che a partire dalla data di notifica del progetto, decorre un periodo di status quo di tre mesi, durante il quale lo Stato membro notificante non può adottare la regolamentazione tecnica notificata;

PRESO ATTO, pertanto, dell'esigenza di dover prorogare il regime transitorio fino al termine del periodo di osservazione del Regolamento da parte della Commissione europea;

CONSIDERATO che è stato trasmesso il testo del Regolamento al Garante per la protezione dei dati personali ai sensi dell'articolo 57, paragrafo 1, lettera c), del regolamento (UE) n. 2016/679;

D'INTESA con il Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei ministri;

Decreta: