AGENZIA PER LA CYBERSICUREZZA NAZIONALE
DECRETO 27 giugno 2024, n. 21007
- Allegato al Comunicato Agenzia per la cybersicurezza nazionale pubblicato nella G.U.R.I. 13 luglio 2024, n. 163
Regolamento per le infrastrutture digitali e per i servizi cloud per la pubblica amministrazione, ai sensi dell'articolo 33-septies, comma 4, del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221 .
L'AGENZIA PER LA CYBERSICUREZZA NAZIONALE IL DIRETTORE GENERALE
VISTA la legge 23 agosto 1988, n. 400, recante: «Disciplina dell'attività di Governo e ordinamento della Presidenza del Consiglio dei ministri»;
VISTO il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati);
VISTO il regolamento (UE) 2018/1807 del Parlamento europeo e del Consiglio del 14 novembre 2018, relativo a un quadro applicabile alla libera circolazione dei dati non personali nell'Unione europea;
VISTO il regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio del 17 aprile 2019, relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza»);
VISTA la direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2);
VISTA la legge 21 giugno 1986, n. 317, recante: «Disposizioni di attuazione di disciplina europea in materia di normazione europea e procedura d'informazione nel settore delle regolamentazioni tecniche e delle regole relative ai servizi della società dell'informazione»;
VISTO il decreto legislativo 30 marzo 2001, n. 165, recante: «Norme generali sull'ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche», e, in particolare, l'articolo 1, comma 2;
VISTO il decreto legislativo 30 giugno 2003, n. 196, recante: «Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE»;
VISTO il decreto legislativo 7 marzo 2005, n. 82, recante: «Codice dell'amministrazione digitale»;
VISTA la legge 31 dicembre 2009, n. 196, recante «Legge di contabilità e finanza pubblica»;
VISTO il decreto legislativo 18 maggio 2018, n. 65, recante: «Attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione»;
VISTO il decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, recante: «Ulteriori misure urgenti per la crescita del Paese», e, in particolare, l'articolo 33- septies che prevede il consolidamento e la razionalizzazione dei siti e delle infrastrutture digitali del Paese demandando all'Agenzia per la cybersicurezza nazionale, d'intesa con la competente struttura della Presidenza del Consiglio dei ministri e nel rispetto della disciplina introdotta dal decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, l'adozione di un regolamento per stabilire i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la pubblica amministrazione nonché le caratteristiche di qualità, di sicurezza, di performance e scalabilità, interoperabilità, portabilità dei servizi cloud per la pubblica amministrazione e, infine, i termini e le modalità con cui le amministrazioni devono effettuare le migrazioni previste ai commi 1 e 1-bis dello stesso articolo 33-septies e le modalità del procedimento di qualificazione dei servizi cloud per la pubblica amministrazione;
VISTO il decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, recante: «Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica»;
VISTO il decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, recante: «Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale», e, in particolare, l'articolo 7, comma 1, lettere m) e m-ter), che attribuisce all'Agenzia per la cybersicurezza nazionale tutte le funzioni in materia di cybersicurezza già attribuite all'Agenzia per l'Italia digitale, i compiti di cui all'articolo 33-septies, comma 4, del decreto-legge n. 179 del 2012, e la qualificazione dei servizi cloud per la pubblica amministrazione, nonché l'articolo 17, comma 6, secondo periodo;
VISTO il decreto-legge 8 ottobre 2021, n.139, convertito, con modificazioni, dalla legge 3 dicembre 2021, n. 205, recante: «Disposizioni urgenti per l'accesso alle attività culturali, sportive e ricreative, nonché per l'organizzazione di pubbliche amministrazioni e in materia di protezione dei dati personali», e, in particolare, l'articolo 9, comma 1, lettere a) e i), e comma 7;
VISTO il decreto del Presidente del Consiglio dei ministri del 9 dicembre 2021, n. 223, recante: «Regolamento di organizzazione e di funzionamento dell'Agenzia per la cybersicurezza nazionale»;
VISTO il decreto del Presidente del Consiglio dei ministri del 17 maggio 2022, con cui, ai sensi dell'articolo 7, comma 1, lettera b), del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, è stata adottata la "Strategia nazionale di cybersicurezza 2022-2026" comprensiva del relativo "Piano di implementazione 2022- 2026", cui è stata data comunicazione nella Gazzetta Ufficiale della Repubblica italiana del 1° giugno 2022, n. 127;
VISTO il decreto del Presidente del Consiglio dei ministri del 1° settembre 2022, recante: «Modalità e termini per assicurare il trasferimento delle funzioni, dei beni strumentali e della documentazione dall'Agenzia per l'Italia digitale e dal Dipartimento per la trasformazione digitale all'Agenzia per la cybersicurezza nazionale», pubblicato nella Gazzetta Ufficiale delle Repubblica italiana del 20 ottobre 2022, n. 246;
VISTO il decreto del Presidente del Consiglio dei ministri del 1° settembre 2022, n. 166, recante: «Regolamento recante le procedure per la stipula di contratti di appalti di lavori, servizi e forniture per le attività dell'Agenzia per la cybersicurezza nazionale finalizzate alla tutela della sicurezza nazionale nello spazio cibernetico»;
VISTO il decreto del Presidente del Consiglio dei ministri del 10 marzo 2023, con il quale è stato conferito al Prefetto Bruno Frattasi l'incarico di Direttore generale dell'Agenzia per la cybersicurezza nazionale;
VISTA la determinazione del 15 dicembre 2021, n. 628, dell'Agenzia per l'Italia digitale, di adozione del «Regolamento recante i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la PA e le caratteristiche di qualità, sicurezza, performance e scalabilità, portabilità dei servizi cloud per la pubblica amministrazione, le modalità di migrazione, nonché le modalità di qualificazione dei servizi cloud per la pubblica amministrazione», di cui è stato dato avviso nella Gazzetta Ufficiale delle Repubblica italiana n. 19 del 25 gennaio 2022 (c.d. regolamento "Cloud della PA");
VISTA la determina del 18 gennaio 2022, n. 306, dell'Agenzia per la cybersicurezza nazionale, recante l'adozione del modello per la predisposizione dell'elenco e della classificazione di dati e di servizi;
VISTA la determina del 18 gennaio 2022, n. 307, dell'Agenzia per la cybersicurezza nazionale, di adozione dell'Aggiornamento degli ulteriori livelli minimi di sicurezza, capacità elaborativa, e affidabilità delle infrastrutture digitali per la pubblica amministrazione e delle ulteriori caratteristiche di qualità, sicurezza, performance e scalabilità dei servizi cloud per la pubblica amministrazione, nonché requisiti di qualificazione dei servizi cloud per la pubblica amministrazione;
VISTO il decreto del Direttore generale dell'Agenzia per la cybersicurezza nazionale del 2 gennaio 2023, protocollo n. 29, recante: «Nuovo processo di qualificazione dei servizi cloud per la pubblica amministrazione», con cui è stata data comunicazione nella Gazzetta Ufficiale della Repubblica italiana del 10 gennaio 2023, n. 7;
VISTO il decreto del Direttore generale dell'Agenzia per la cybersicurezza nazionale dell'8 febbraio 2023, prot. n. 5489, recante: «Differimento dei termini per l'adeguamento delle infrastrutture per la pubblica amministrazione», con cui è stata data comunicazione nella Gazzetta Ufficiale della Repubblica italiana del 9 marzo 2023, n. 58;
VISTO il decreto del Direttore generale dell'Agenzia per la cybersicurezza nazionale del 28 luglio 2023, prot. n. 20610, recante: «Modifiche ai livelli minimi delle infrastrutture e dei servizi cloud per le pubbliche amministrazioni», con cui è stata data comunicazione nella Gazzetta Ufficiale della Repubblica italiana del 16 agosto 2023, n. 190;
VISTA la circolare dell'Agenzia per l'Italia Digitale del 14 giugno 2019, n. 1, recante: «Censimento del patrimonio ICT delle Pubbliche Amministrazioni e classificazione delle infrastrutture idonee all'uso da parte dei Poli Strategici Nazionali»;
VISTO il «Framework nazionale per la cybersecurity e la data protection», edizione 2019 (Framework nazionale), realizzato dal Centro di ricerca di cyber intelligence and information security (CIS) dell'Università Sapienza di Roma e dal Cybersecurity national lab del Consorzio interuniversitario nazionale per l'informatica (CINI), con il supporto dell'Autorità garante per la protezione dei dati personali e del Dipartimento delle informazioni per la sicurezza (DIS) della Presidenza del Consiglio dei ministri, quale strumento di supporto per le organizzazioni pubbliche e private in materia di strategie e processi volti alla protezione dei dati personali, con specifico riferimento alla sicurezza degli stessi a fronte di possibili attacchi informatici, e alla sicurezza cyber, nonché per il loro continuo monitoraggio;
TENUTO conto della Strategia Cloud Italia che detta gli indirizzi strategici per il percorso di migrazione verso il cloud dei dati e dei servizi digitali della pubblica amministrazione, e illustra i criteri di classificazione dei dati e dei servizi e la composizione della infrastruttura ad alta affidabilità;
CONSIDERATO il parere reso all'Agenzia per l'Italia digitale dal Garante per la protezione dei dati personali il 16 dicembre 2021, in merito allo schema di regolamento in materia di servizi cloud per la pubblica amministrazione, ai sensi dell'articolo 33-septies, del decreto-legge 18 ottobre 2012, n. 179;
ESPERITA la procedura di informazione ai sensi della Direttiva (UE) n. 2015/1535 del Parlamento europeo e del Consiglio del 9 settembre 2015, con comunicazione del 1 febbraio 2024;
ACQUISITO il parere del Garante per la protezione dei dati personali, reso nell'adunanza del 9 maggio 2024;
D'INTESA con il Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei ministri;
Adotta
il seguente Regolamento
Definizioni
1. Ai fini del presente Regolamento si intende per:
a) «ACN», l'Agenzia per la cybersicurezza nazionale, di cui al decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109;
b) «AgID», l'Agenzia per l'Italia digitale, di cui all'articolo 19, del decreto-legge 22 giugno 2012, n. 83, convertito, con modificazioni, dalla legge 7 agosto 2012, n. 134;
c) «amministrazioni centrali», le amministrazioni centrali individuate dall'articolo 1, comma 3, della legge 31 dicembre 2009, n. 196;
d) «amministrazioni locali», le amministrazioni locali individuate dall'articolo 1, comma 3, della legge 31 dicembre 2009, n. 196;
e) «amministrazioni», le amministrazioni centrali di cui alla lettera c) e le amministrazioni locali di cui alla lettera d);
f) «catalogo delle infrastrutture e dei servizi cloud per le pubbliche amministrazioni», il catalogo a cura dell'ACN, reso disponibile tramite la piattaforma digitale, in cui è pubblicato l'elenco delle infrastrutture digitali per le pubbliche amministrazioni, delle infrastrutture dei servizi cloud per le pubbliche amministrazioni e dei servizi cloud per le pubbliche amministrazioni, corredati dalle relative informazioni descrittive;
g) «cloud computing», paradigma che abilita l'accesso via rete ad un insieme condivisibile, scalabile ed elastico di risorse fisiche o virtuali attivabile autonomamente su richiesta dall'utente;
h) «dati dell'amministrazione», le informazioni trattate dall'amministrazione, o da terzi per conto dell'amministrazione;
i) «dati digitali dell'amministrazione», i dati dell'amministrazione trattati tramite reti e sistemi informativi dell'amministrazione o di terzi per conto dell'amministrazione;
j) «servizi dell'amministrazione», servizi erogati verso terzi o internamente all'amministrazione;
k) «servizi digitali», servizi informatici erogati tramite reti e sistemi informativi dell'amministrazione o tramite reti e sistemi informativi di terzi per conto dell'amministrazione, verso terzi, internamente all'amministrazione o a supporto di servizi dell'amministrazione, ad esclusione dei servizi ICT di base;
l) «servizi ICT di base», servizi informatici erogati tramite reti e sistemi informativi a supporto di servizi digitali dell'amministrazione, quali i servizi infrastrutturali ICT, i servizi di sicurezza ICT e la connettività;
m) «Infrastrutture digitali per le pubbliche amministrazioni», le infrastrutture digitali tramite le quali sono erogati i servizi digitali delle amministrazioni, ivi inclusi:
1. i Centri di Elaborazione Dati (CED), ovvero, ai sensi dall'articolo 33-septies, comma 2, del decreto-legge n. 179 del 2012, i siti che ospitano reti e sistemi informativi atti alla erogazione di servizi interni alle amministrazioni e servizi erogati esternamente dalle amministrazioni che al minimo comprende risorse di calcolo, apparati di rete per la connessione e sistemi di memorizzazione di massa;
2. l'infrastruttura promossa dalla Presidenza del Consiglio dei ministri di cui all'articolo 33-septies, comma 1, del decreto-legge n. 179 del 2012;
3. i componenti di un'infrastruttura digitale messi a disposizione da terze parti e finalizzati all'erogazione di servizi cloud per la pubblica amministrazione e di cui possono avvalersi anche le infrastrutture digitali di cui al punto 1 (c.d. housing);
4. i componenti di un'infrastruttura digitale, eventualmente messi a disposizione da terze parti, finalizzati all'incremento delle prestazioni nell'erogazione in prossimità dei servizi digitali delle amministrazioni (c.d. infrastrutture di prossimità). Nello specifico, si può trattare di un singolo server o di un altro insieme di risorse di calcolo connesse, operati nell'ambito di un'infrastruttura di prossimità, generalmente situati all'interno di un data center che opera all'estremità dell'infrastruttura, e quindi fisicamente più vicini agli utenti destinatari rispetto a un nodo cloud in un data center centralizzato;
n) «Infrastrutture dei servizi cloud per le pubbliche amministrazioni», le infrastrutture digitali di cui alla lettera m), fornite da un operatore di infrastrutture digitali, tramite le quali sono erogati i servizi cloud per le pubbliche amministrazioni;
o) «operatore di infrastrutture digitali», soggetto, pubblico o privato, che, nel rispetto dei limiti fissati dal presente Regolamento, opera un'infrastruttura digitale per le pubbliche amministrazioni ovvero finalizzata all'erogazione di servizi cloud per le pubbliche amministrazioni;
p) «servizi cloud», servizi informatici e risorse computazionali erogati mediante il paradigma cloud computing su richiesta dell'utente tramite internet da un fornitore di servizi cloud, differenziati, sulla base del modello computazionale offerto, in tre categorie di servizi:
1) «sistemistici infrastrutturali, c.d. Infrastructure-as-a-Service (IaaS)», per l'erogazione, ad esempio, di server virtualizzati e spazio di salvataggio dati;
2) «piattaforme computazionali, c.d. Platform-as-a-Service (PaaS)», per l'erogazione di ambienti, pre-configurati e amministrati per lo sviluppo di specifiche applicazioni, ad esempio per lo sviluppo software, la gestione di dati o di applicazioni;
3) «applicativi, c.d. Software-as-a-Service (SaaS)», per l'erogazione di un'applicazione agli utenti finali, ad esempio la posta elettronica o altri sistemi di collaborazione remota. Tra i modelli di servizio offerti dalle piattaforme di Cloud computing, il Software as a Service (SaaS) identifica una classe di servizi fully-managed in cui il gestore del servizio, ovvero il fornitore di servizi cloud, si occupa della predisposizione, configurazione, messa in esercizio e manutenzione dello stesso (utilizzando un'infrastruttura digitale propria o di terzi), lasciando al fruitore del servizio, ovvero le pubbliche amministrazioni, il solo ruolo di utilizzatore delle funzionalità offerte.
q) «servizi cloud per le pubbliche amministrazioni», servizi cloud tramite i quali sono erogati servizi digitali delle amministrazioni;
r) «compromissione», la compromissione di dati o servizi digitali in termini di confidenzialità, integrità o disponibilità;
s) «qualificazione dei servizi cloud», processo di verifica per garantire che i servizi cloud per le pubbliche amministrazioni siano in possesso delle caratteristiche necessarie per trattare dati e servizi in funzione della loro classificazione, assicurando, in particolare, opportuni livelli di qualità, di performance, di scalabilità, di portabilità, nonché di sicurezza;
t) «adeguamento», l'attività propedeutica alla trasmissione all'ACN, da parte di un operatore di infrastrutture digitali ovvero di un fornitore di servizi cloud pubblico, di una relazione di conformità delle infrastrutture digitali per le pubbliche amministrazioni, delle infrastrutture dei servizi cloud per le pubbliche amministrazioni ovvero dei servizi cloud per la pubblica amministrazione ai requisiti fissati dal presente Regolamento;
u) «piattaforma digitale», la piattaforma digitale, accessibile tramite la sezione "cloud" del sito istituzionale dell'ACN, dedicata alla classificazione dei dati e dei servizi della pubblica amministrazione, all'adeguamento delle infrastrutture digitali per le pubbliche amministrazioni, delle infrastrutture dei servizi cloud per le pubbliche amministrazioni ovvero dei servizi cloud erogati da operatore pubblico, nonché alla qualificazione dei servizi cloud;
v) «fornitore di servizi cloud», soggetto, pubblico o privato, che eroga un servizio cloud per le pubbliche amministrazioni, eventualmente anche attraverso l'intermediazione di distributori, rivenditori o prestatori di servizi a valore aggiunto offerti all'utente finale. I distributori, i rivenditori e i prestatori di servizi a valore aggiunto non assumono la qualità di fornitori di servizi cloud a condizione che non determinino le modalità e i mezzi per l'erogazione del servizio cloud;
w) «catena di qualificazione cloud», la relazione tra il servizio cloud per la pubblica amministrazione e la piattaforma attraverso il quale lo stesso è erogato, secondo le modalità descritte in Allegato 4.
x) «FNCS», Framework nazionale per la cybersecurity e la data protection.
Finalità, oggetto e ambito di applicazione
1. Il presente Regolamento, in conformità alle previsioni di cui all'articolo 33-septies, comma 4, del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221:
a) stabilisce i livelli minimi di sicurezza per le pubbliche amministrazioni, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per le pubbliche amministrazioni e delle infrastrutture dei servizi cloud per le pubbliche amministrazioni;
b) definisce le caratteristiche di qualità, di sicurezza, di performance e scalabilità, interoperabilità, portabilità dei servizi cloud per le pubbliche amministrazioni;
c) individua i termini e le modalità con cui le amministrazioni devono effettuare le migrazioni. A tal fine stabilisce il processo e le modalità per la classificazione dei dati e dei servizi digitali;
d) definisce le modalità del procedimento di qualificazione dei servizi cloud per le pubbliche amministrazioni.
2. Il presente Regolamento, inoltre, individua:
a) le modalità del procedimento di adeguamento delle infrastrutture digitali per le pubbliche amministrazioni e delle infrastrutture dei servizi cloud per le pubbliche amministrazioni;
b) le modalità del procedimento di adeguamento dei servizi cloud per le pubbliche amministrazioni.
CAPO II
Caratterizzazione e classificazione dei dati e dei servizi digitali della pubblica amministrazione
Elenco, caratterizzazione e classificazione dei dati e dei servizi digitali della pubblica amministrazione
1. Le amministrazioni predispongono e aggiornano un elenco dei propri dati e dei propri servizi digitali, comprensivo di tutti gli elementi necessari alla loro caratterizzazione ai fini della relativa classificazione.
2. I dati e i servizi digitali delle amministrazioni di cui al comma 1 sono classificati, sulla base della loro caratterizzazione, nelle seguenti tre classi:
a) «ordinari», qualora la loro compromissione non determini i pregiudizi di cui alle lettere b) e c);
b) «critici», se la loro compromissione può determinare un pregiudizio al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza pubblica e il benessere economico e sociale del Paese;
c) «strategici», se la loro compromissione può determinare un pregiudizio alla sicurezza nazionale.
3. I dati e i servizi digitali soggetti agli obblighi di cui al decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, sono classificati come «strategici».
4. I dati e i servizi digitali soggetti agli obblighi di cui al decreto legislativo 18 maggio 2018, n. 65, sono classificati come:
a) «critici», qualora non siano a valenza nazionale;
b) «strategici», qualora siano a valenza nazionale.
5. I dati e i servizi digitali di cui ai commi 3 e 4 non sono oggetto dell'elencazione di cui al comma 1.
6. I servizi digitali non ancora classificati ai sensi dei commi 1 e 2 del presente articolo non possono essere resi disponibili agli utenti finali.
Predisposizione dell'elenco e della classificazione dei dati e dei servizi digitali della pubblica amministrazione
1. Le modalità per la predisposizione e l'aggiornamento dell'elenco e della classificazione dei dati e dei servizi digitali di cui all'articolo 3, nonché per la trasmissione all'ACN, sono definite nell'Allegato 1, che costituisce parte integrante del presente Regolamento.
2. Le modalità di cui al comma 1, rese disponibili sulla piattaforma digitale, sono elaborate:
a) in relazione al rischio e all'evoluzione della minaccia di natura cibernetica;
b) tenuto conto della normativa e degli standard nazionali, europei e internazionali;
c) con riguardo ai rischi per i diritti e le libertà delle persone fisiche, allorché ci si trovi in presenza di dati personali, diversificati rispetto alle tipologie di dati personali coinvolti e alle categorie degli interessati, in particolare se si tratti di dati riconducibili a categorie di soggetti vulnerabili, se si tratti di categorie particolari di dati quali quelle previste dall'articolo 9 del regolamento (UE) 2016/679 o dati personali relativi a condanne penali e reati di cui all'articolo 10 del regolamento (UE) 2016/679.
3. L'ACN aggiorna le modalità di cui al comma 1, su base periodica, almeno una volta ogni due anni, nel rispetto di quanto previsto dal comma 2.
Processo di trasmissione dell'elenco e della classificazione dei dati e dei servizi digitali della pubblica amministrazione
1. Le amministrazioni aggiornano l'elenco e la classificazione dei dati e dei servizi digitali di cui all'articolo 3 e li trasmettono all'ACN con le modalità indicate nell'Allegato 1, almeno una volta ogni due anni o in presenza dei dati e dei servizi digitali ulteriori rispetto a quelli già oggetto di trasmissione e classificazione, nonché a seguito dell'aggiornamento delle modalità di cui all'articolo 4, secondo i termini ivi stabiliti.
2. L'ACN fornisce riscontro circa la conformità dell'elenco e della classificazione dei dati e dei servizi digitali di cui all'articolo 3 rispetto alle modalità cui all'articolo 4, entro novanta giorni dalla sua ricezione. Il predetto termine può essere prorogato dall'ACN, per una sola volta e fino ad un massimo di ulteriori trenta giorni, qualora sia necessario svolgere degli approfondimenti riguardanti il processo di trasmissione dell'elenco e della classificazione dei dati e dei servizi digitali della pubblica amministrazione.
3. Ove si renda necessario chiedere integrazioni e informazioni aggiuntive all'amministrazione che ha trasmesso l'elenco e la classificazione dei dati e dei servizi digitali di cui all'articolo 3, i termini di cui al comma 2 sono sospesi e ricominciano a decorrere dalla data di ricevimento delle integrazioni e delle informazioni che sono rese entro il termine di trenta giorni dalla richiesta.
4. Al termine della verifica di conformità di cui al comma 2, l'ACN comunica, al domicilio digitale dell'amministrazione:
a) la convalida della conformità dell'elenco e della classificazione dei dati e dei servizi digitali di cui all'articolo 3;
b) la convalida, con prescrizioni, della conformità dell'elenco e della classificazione dei dati e dei servizi digitali di cui all'articolo 3;
c) la non convalida, fornendone le motivazioni, della conformità dell'elenco e della classificazione dei dati e dei servizi digitali di cui all'articolo 3.
5. Nell'ipotesi di cui al comma 4, lettera b), l'amministrazione trasmette all'ACN, entro trenta giorni, l'adeguamento dell'elenco e della classificazione dei dati e dei servizi alle prescrizioni.
6. In assenza di riscontro da parte dell'ACN entro i termini di cui ai commi 2 e 3, l'elenco e la classificazione dei dati e dei servizi si intendono convalidati ai sensi del comma 4, lettera a).
CAPO III
Livelli minimi delle infrastrutture digitali per le pubbliche amministrazioni, delle infrastrutture dei servizi cloud per le pubbliche amministrazioni e caratteristiche dei servizi cloud per le pubbliche amministrazioni
Criteri per la definizione dei livelli minimi delle infrastrutture digitali per le pubbliche amministrazioni, delle infrastrutture dei servizi cloud per le pubbliche amministrazioni e delle caratteristiche dei servizi cloud per le pubbliche amministrazioni
1. I livelli minimi di sicurezza, di capacità elaborativa, di risparmio energetico e di affidabilità delle infrastrutture digitali per le pubbliche amministrazioni, delle infrastrutture dei servizi cloud per le pubbliche amministrazioni nonché le caratteristiche dei servizi cloud per le pubbliche amministrazioni, di cui agli articoli 7 e 8, sono definiti dall'ACN anche sulla base del Framework nazionale per la cybersecurity e la data protection.
2. I livelli minimi di sicurezza, di capacità elaborativa, di risparmio energetico e di affidabilità delle infrastrutture digitali per le pubbliche amministrazioni, delle infrastrutture dei servizi cloud per le pubbliche amministrazioni nonché le caratteristiche dei servizi cloud per le pubbliche amministrazioni, di cui agli articoli 7 e 8, sono aggiornati periodicamente, almeno una volta ogni due anni:
a) in linea con la classificazione dei dati e dei servizi che devono trattare;
b) in relazione al rischio e all'evoluzione della minaccia di natura cibernetica;
c) in considerazione degli schemi di certificazione nazionali ed europei progressivamente adottati;
d) tenuto conto delle migliori pratiche, delle linee guida, dei quadri di disciplina di riferimento e degli standard nazionali, europei nonché internazionali;
e) tenuto conto dell'evoluzione delle misure e delle garanzie necessarie ad assicurare un adeguato livello di protezione dei dati personali.
Livelli minimi delle infrastrutture digitali per le pubbliche amministrazioni e delle infrastrutture dei servizi cloud per le pubbliche amministrazioni
1. Le infrastrutture digitali per le pubbliche amministrazioni e le infrastrutture dei servizi cloud per le pubbliche amministrazioni rispettano i livelli minimi di sicurezza, di capacità elaborativa, di risparmio energetico e di affidabilità definiti nell'Allegato 2, che costituisce parte integrante del presente Regolamento.
2. Per trattare i dati e i servizi digitali classificati ai sensi dell'articolo 3, quali:
a) «ordinari», le infrastrutture digitali per le pubbliche amministrazioni e le infrastrutture dei servizi cloud per le pubbliche amministrazioni devono rispettare i livelli minimi di cui alla sezione 2 dell'Allegato 2;
b) «critici», le infrastrutture digitali per le pubbliche amministrazioni e le infrastrutture dei servizi cloud per le pubbliche amministrazioni devono rispettare i livelli minimi di cui alle sezioni 2 e 3 dell'Allegato 2;
c) «strategici», le infrastrutture digitali per le pubbliche amministrazioni e le infrastrutture dei servizi cloud per le pubbliche amministrazioni devono rispettare i livelli minimi di cui alle sezioni 2, 3 e 4 dell'Allegato 2.
3. I livelli minimi di sicurezza, di capacità elaborativa, di risparmio energetico e di affidabilità devono essere garantiti interamente dall'infrastruttura digitale ovvero dai componenti di una infrastruttura digitale messi a disposizione da terzi parti e finalizzati all'erogazione di servizi cloud per la pubblica amministrazione e di cui possono avvalersi anche le infrastrutture digitali congiuntamente dal medesimo operatore e dal fornitore dei cd. servizi di housing, attraverso accordi dedicati.
4. Le infrastrutture digitali per le pubbliche amministrazioni e le infrastrutture dei servizi cloud per le pubbliche amministrazioni mediante le quali vengono trattati i dati ed erogati servizi digitali soggetti al decreto-legge n. 105 del 2019 rispettano altresì le prescrizioni in materia di cloud previste dal predetto decreto.
Caratteristiche dei servizi cloud per le pubbliche amministrazioni
1. I servizi cloud per le pubbliche amministrazioni possiedono le caratteristiche di qualità, di sicurezza, di performance e di scalabilità, di interoperabilità, di portabilità definite nell'Allegato 3, che costituisce parte integrante del presente Regolamento.
2. Per trattare i dati e i servizi digitali classificati ai sensi dell'articolo 3, quali:
a) «ordinari», i servizi cloud per le pubbliche amministrazioni devono rispettare i livelli minimi di cui alla sezione 2 dell'Allegato 3;
b) «critici», i servizi cloud per le pubbliche amministrazioni devono rispettare i livelli minimi di cui alle sezioni 2 e 3 dell'Allegato 3;
c) «strategici», i servizi cloud per le pubbliche amministrazioni devono rispettare i livelli minimi di cui alle sezioni 2, 3 e 4 dell'Allegato 3.
3. I servizi cloud per le pubbliche amministrazioni che trattano dati ed erogano servizi digitali soggetti al decreto-legge n. 105 del 2019, rispettano altresì le prescrizioni in materia di cloud previste dal predetto decreto.
Criteri per la migrazione dei dati e dei servizi digitali della pubblica amministrazione
1. Le amministrazioni, nel rispetto dei principi di efficienza, efficacia ed economicità dell'azione amministrativa, migrano, in conformità alle previsioni dell'articolo 33-septies, commi 1 e 1-bis, del decreto-legge n. 179 del 2012 i dati e servizi digitali verso le infrastrutture digitali per le pubblica amministrazione che, all'esito del processo di adeguamento di cui all'articolo 12, rispettano, in relazione alla classificazione di cui all'articolo 3, i livelli minimi di cui all'articolo 7 e i requisiti di cui al medesimo articolo 12 ovvero verso i servizi cloud, adeguati ai sensi dell'articolo 15, o qualificati ai sensi dell'articolo 17, che, in relazione alla classificazione di cui all'articolo 3, rispettano le caratteristiche di cui all'articolo 8 e i requisiti di cui agli articoli 15 e 17.
2. La migrazione dei dati e dei servizi digitali soggetti agli obblighi di cui al decreto-legge n. 105 del 2019 e al decreto legislativo n. 65 del 2018, ai sensi del comma 1, avviene anche nel rispetto delle previsioni dei suddetti decreti.
Modalità per la predisposizione e aggiornamento del piano di migrazione dei dati e dei servizi digitali
1. Le amministrazioni, all'esito del processo di trasferimento dell'elenco e della classificazione dei dati e dei servizi digitali di cui all'articolo 5, predispongono il piano di migrazione dei loro dati e servizi digitali secondo il modello adottato dal Dipartimento per la trasformazione digitale, d'intesa con l'ACN.
2. Il modello di cui al comma 1 è reso disponibile, sulla piattaforma digitale e tramite i canali di comunicazione del Dipartimento per la trasformazione digitale e si applica nel rispetto delle previsioni di cui all'articolo 27; qualora se ne ravvisi la necessità, può essere aggiornato secondo le modalità del medesimo comma 1.
3. In presenza di dati e servizi digitali ulteriori rispetto a quelli già precedentemente classificati e comunicati con le modalità previste nel successivo articolo 11, le amministrazioni, previo aggiornamento dell'elenco e della classificazione dei dati e servizi digitali di cui all'articolo 3, procedono alla predisposizione del nuovo piano di migrazione in aggiornamento ai piani di migrazione di cui al comma 1.
Modalità e termini per la migrazione dei dati e dei servizi digitali
1. Le amministrazioni, anche ai fini della verifica degli obblighi previsti dall'articolo 33-septies del decreto-legge, n. 179 del 2012, trasmettono i piani di migrazione al Dipartimento per la trasformazione digitale e all'AgID, mediante la piattaforma dedicata messa a disposizione dallo stesso Dipartimento per la trasformazione digitale.
2. I piani di migrazione predisposti ai sensi dell'articolo 10, comma 3, sono trasmessi mediante la piattaforma di cui al comma 1.
3. AgID, DTD e ACN accedono alla Piattaforma di cui al comma 1, con le modalità definite attraverso un accordo o una convenzione stipulata tra i medesimi soggetti ai fini di svolgere le attività di competenza rispetto agli obblighi di cui all'articolo 33-septies del decreto-legge n. 179 del 2012. Nelle more della stipula del predetto accordo, AgID e DTD richiedono ad ACN l'elenco di dati e servizi digitali classificati di cui all'articolo 3, ACN richiede a DTD e AGID i piani di migrazione di cui all'articolo 10 per le attività di competenza.
4. Le amministrazioni completano le attività previste dal piano di migrazione, trasmesso ai sensi del comma 1, entro il 30 giugno 2026.
5. Il Dipartimento per la trasformazione digitale, anche avvalendosi di AGID, riscontra la conformità dei piani di migrazione rispetto al modello di cui all'articolo 10, comma 1, entro sessanta giorni dalla data della sua ricezione. Il predetto termine può essere prorogato dal Dipartimento per la trasformazione digitale, per una sola volta e fino ad un massimo di ulteriori sessanta giorni, qualora sia necessario svolgere degli approfondimenti riguardanti il piano di migrazione.
6. Ove si renda necessario chiedere integrazioni e informazioni aggiuntive all'amministrazione che ha trasmesso il piano di migrazione, i termini di cui al comma 4 sono sospesi e ricominciano a decorrere dalla data di ricevimento delle informazioni che sono rese entro il termine di trenta giorni dalla richiesta.
7. Al termine della verifica di conformità di cui al comma 4, il Dipartimento per la trasformazione digitale comunica, al domicilio digitale dell'amministrazione:
a) la convalida del piano di migrazione;
b) la convalida, con prescrizioni, del piano di migrazione;
c) la non convalida, fornendone le motivazioni, del piano di migrazione.
8. Nell'ipotesi di cui al comma 6, lettera b), l'amministrazione trasmette al Dipartimento per la trasformazione digitale entro trenta giorni, l'adeguamento del piano di migrazione alle prescrizioni.
9. In assenza di riscontro da parte del Dipartimento per la trasformazione digitale, entro i termini di cui ai commi 4 e 5, il piano di migrazione si intende convalidato ai sensi del comma 6, lettera a).
10. Nell'ambito delle attività di migrazione di cui al comma 2, le pubbliche amministrazioni possono trattare i propri dati e servizi con le infrastrutture ed i servizi cloud già in uso fino al completamento della migrazione, in caso di piano di migrazione convalidato e, comunque, non oltre il 30 giugno 2026.
CAPO V
Adeguamento delle infrastrutture digitali per le pubbliche amministrazioni, delle infrastrutture dei servizi cloud per le pubbliche amministrazioni e qualificazione dei servizi cloud per le pubbliche amministrazioni
Adeguamento delle infrastrutture digitali per le pubbliche amministrazioni e delle infrastrutture dei servizi cloud per le pubbliche amministrazioni
1. I requisiti di adeguamento delle infrastrutture digitali ovvero delle infrastrutture dei servizi cloud per le pubbliche amministrazioni sono suddivisi nei seguenti quattro livelli:
a) infrastruttura di livello 1 (AI1);
b) infrastruttura di livello 2 (AI2);
c) infrastruttura di livello 3 (AI3);
d) infrastruttura di livello 4 (AI4).
2. I requisiti di adeguamento di cui al comma 1 sono elaborati:
a) in relazione al rischio e all'evoluzione della minaccia tecnica di natura cibernetica;
b) tenuto conto della normativa e degli standard nazionali, europei e internazionali;
c) in considerazione degli schemi di certificazione nazionali ed europei progressivamente adottati;
d) tenuto conto delle migliori pratiche, delle linee guida, dei quadri di disciplina di riferimento di settore.
3. Al fine dell'adeguamento:
a) al livello 1 (AI1) di cui al comma 1, l'infrastruttura digitale per le pubbliche amministrazioni ovvero l'infrastruttura dei servizi cloud per le pubbliche amministrazioni deve rispettare i requisiti elencati nella sezione 6 dell'Allegato 4, che costituisce parte integrante del presente Regolamento;
b) al livello 2 (AI2) di cui al comma 1, l'infrastruttura digitale per le pubbliche amministrazioni ovvero l'infrastruttura dei servizi cloud per le pubbliche amministrazioni deve rispettare i requisiti elencati nella sezione 7 dell'Allegato 4;
c) al livello 3 (AI3) di cui al comma 1, l'infrastruttura digitale per le pubbliche amministrazioni ovvero l'infrastruttura dei servizi cloud per le pubbliche amministrazioni deve rispettare i requisiti elencati nella sezione 8 dell'Allegato 4;
d) al livello 4 (AI4) di cui al comma 1, l'infrastruttura digitale per le pubbliche amministrazioni ovvero l'infrastruttura dei servizi cloud per le pubbliche amministrazioni deve rispettare i requisiti elencati nella sezione 9 dell'Allegato 4.
4. I dati e i servizi digitali classificati, ai sensi dell'articolo 3, quali:
a) «ordinari», sono erogati tramite infrastrutture digitali per le pubbliche amministrazioni ovvero infrastrutture dei servizi cloud per le pubbliche amministrazioni accreditate nell'ambito delle tipologie di cui al comma 1, lettere a), b), c) e d);
b) «critici», sono erogati tramite infrastrutture digitali per le pubbliche amministrazioni ovvero infrastrutture dei servizi cloud per le pubbliche amministrazioni accreditate nell'ambito delle tipologie di cui al comma 1, lettere b), c) e d);
c) «strategici», sono erogati tramite infrastrutture digitali per le pubbliche amministrazioni ovvero infrastrutture dei servizi cloud per le pubbliche amministrazioni accreditate nell'ambito delle tipologie di cui al comma 1, lettere c) e d).
Modalità e termini per l'adeguamento delle infrastrutture digitali per le pubbliche amministrazioni
1. A seguito delle attività di adeguamento di cui all'articolo 12, gli operatori di infrastrutture digitali sottoscrivono e trasmettono all'ACN una relazione di conformità ai livelli minimi di cui all'articolo 7 e ai requisiti di cui all'articolo 12, predisposta sulla base del modello reso disponibile sulla piattaforma digitale. Tale previsione si applica nel rispetto delle previsioni di cui all'articolo 27.
2. La relazione di conformità ai fini dell'adeguamento di cui al comma 1 e ai fini della promozione di cui al comma 8, resa ai sensi del decreto del Presidente della Repubblica del 28 dicembre 2000, n. 445, è sottoscritta dal legale rappresentante dell'operatore dell'infrastruttura digitale o da un suo delegato ed è presentata telematicamente nel rispetto delle previsioni di cui all'articolo 65, del decreto legislativo 7 marzo 2005, n. 82.
3. Salvo motivata richiesta di non pubblicazione dell'operatore di infrastrutture digitali, soggetta alla valutazione dell'ACN, l'infrastruttura digitale per le pubbliche amministrazioni viene pubblicata nel catalogo delle infrastrutture e dei servizi cloud per le pubbliche amministrazioni, con l'indicazione "infrastruttura digitale adeguata".
4. Il catalogo, reso disponibile sulla piattaforma digitale, è aggiornato dall'ACN entro trenta giorni dalla ricezione della relazione di conformità di cui al comma 1 fatta salva la possibilità per la stessa ACN di chiedere modifiche e integrazioni della relazione che presenti carenze formali. In tale ultimo caso, il termine di trenta giorni decorre dalla ricezione, da parte di ACN, della documentazione recante le modifiche e le integrazioni richieste.
5. La validità dell'adeguamento decorre:
a. per i casi di cui al comma 3, dal momento in cui l'ACN riscontra la richiesta di non pubblicazione di cui al medesimo comma;
b. per i casi di cui al comma 4, dalla data di pubblicazione nel catalogo.
6. In caso di ricorso a servizi di housing, la relazione di conformità reca le evidenze dei requisiti di competenza delle terze parti, con l'indicazione del riferimento univoco, se presente, al catalogo di cui al comma 4, della relativa infrastruttura digitale per le pubbliche amministrazioni. Tale indicazione è obbligatoria per le relazioni di conformità inviate a partire dal 01/02/2025.
7. Qualora siano realizzate modifiche sostanziali delle modalità di adozione dei livelli minimi di cui all'articolo 7 e dei requisiti di cui all'articolo 12, l'operatore di infrastrutture digitali ne comunica, tempestivamente e senza ingiustificato ritardo, le relative modalità all'ACN, ai sensi del presente articolo, aggiornando, in ogni caso, la predetta relazione di conformità almeno ogni trentasei mesi.
8. La richiesta di passaggio di un'infrastruttura digitale per le pubbliche amministrazioni ad un diverso livello di adeguamento ("promozione") ai sensi dell'articolo 12 avviene con le medesime modalità per l'adeguamento definite nel presente articolo.
Modalità di adeguamento delle infrastrutture dei servizi cloud per le pubbliche amministrazioni
1. Ai fini dell'adeguamento di un'infrastruttura dei servizi cloud per le pubbliche amministrazioni, gli operatori di infrastrutture digitali sottoscrivono e trasmettono all'ACN una relazione di conformità ai requisiti di cui all'articolo 12 e ai livelli minimi di cui all'articolo 7, predisposta sulla base del modello reso disponibile sulla piattaforma digitale. Tale previsione si applica nel rispetto delle previsioni di cui all'articolo 27.
2. La relazione di conformità ai fini dell'adeguamento di cui al comma 1 e ai fini della promozione di cui al comma 8, resa ai sensi del decreto del Presidente della Repubblica del 28 dicembre 2000, n. 445, è sottoscritta dal legale rappresentante dell'operatore dell'infrastrutture digitale o Regolamento per le Infrastrutture Digitali e per i Servizi Cloud per le Pubbliche Amministrazioni - 14 di 21 da un suo delegato ed è presentata telematicamente nel rispetto delle previsioni di cui all'articolo 65, del decreto legislativo 7 marzo 2005, n. 82.
3. Salvo motivata richiesta di non pubblicazione dell'operatore di infrastrutture digitali, soggetta alla valutazione dell'ACN, l'infrastruttura dei servizi cloud per le pubbliche amministrazioni viene pubblicata nel catalogo delle infrastrutture e dei servizi cloud per le pubbliche amministrazioni, con l'indicazione "infrastruttura dei servizi cloud adeguata".
4. Il catalogo, reso disponibile sulla piattaforma digitale, è aggiornato dall'ACN entro trenta giorni dalla ricezione della relazione di conformità di cui al comma 1, fatta salva la possibilità per la stessa ACN di chiedere modifiche e integrazioni della relazione che presenti carenze formali. In tale ultimo caso, il termine di trenta giorni decorre dalla ricezione, da parte di ACN, della documentazione recante le modifiche e le integrazioni richieste.
5. La validità dell'adeguamento decorre:
a. per i casi di cui al comma 3, dal momento l'ACN riscontra la richiesta di non pubblicazione di cui al medesimo comma;
b. per i casi di cui al comma 4, dalla data di pubblicazione nel catalogo.
6. In caso di ricorso a servizi di housing, la relazione di conformità reca le evidenze dei requisiti di competenza delle terze parti, con l'indicazione del riferimento univoco, se presente, al catalogo di cui al comma 4, della relativa infrastruttura dei servizi cloud per le pubbliche amministrazioni. Tale indicazione è obbligatoria per le relazioni di conformità inviate a partire dal 01/02/2025.
7. Qualora siano realizzate modifiche sostanziali delle modalità di adozione dei livelli minimi di cui all'Allegato 2, l'operatore dell'infrastruttura digitale ne comunica, tempestivamente e senza ingiustificato ritardo, le relative modalità all'ACN ai sensi del presente articolo, aggiornando, in ogni caso, la predetta relazione di conformità almeno ogni trentasei mesi.
8. La richiesta di passaggio di un'infrastruttura dei servizi cloud per le pubbliche amministrazioni ad un diverso livello di adeguamento ("promozione") ai sensi dell'articolo 12, avviene con le medesime modalità per l'adeguamento definite nel presente articolo.
Adeguamento dei servizi cloud per le pubbliche amministrazioni
1. I servizi cloud per le pubbliche amministrazioni erogati da un soggetto pubblico, da società in house, ovvero, per espressa previsione normativa, da società a controllo pubblico, come definite nel decreto legislativo 19 agosto 2016, n. 175, sono sottoposti al processo di adeguamento.
2. I servizi cloud per le pubbliche amministrazioni sono suddivisi nei seguenti quattro livelli:
a) cloud di livello 1 (AC1);
b) cloud di livello 2 (AC2);
c) cloud di livello 3 (AC3);
d) cloud di livello 4 (AC4).
3. I requisiti corrispondenti ai livelli di cui al comma 2 sono elaborati:
a) in relazione al rischio e all'evoluzione della minaccia tecnica di natura cibernetica;
b) tenuto conto della normativa e degli standard nazionali, europei e internazionali;
c) in considerazione degli schemi di certificazione nazionali ed europei progressivamente adottati;
d) tenuto conto delle migliori pratiche, delle linee guida, dei quadri di disciplina di riferimento di settore.
4. Al fine dell'adeguamento:
a) al livello 1 (AC1) di cui al comma 1, il servizio cloud deve rispettare i requisiti elencati nella sezione 2 dell'Allegato 4;
b) al livello 2 (AC2) di cui al comma 1, il servizio cloud deve rispettare i requisiti elencati nella sezione 3 dell'Allegato 4;
c) al livello 3 (AC3) di cui al comma 1, il servizio cloud deve rispettare i requisiti elencati nella sezione 4 dell'Allegato 4;
d) al livello 4 (AC4) di cui al comma 1, il servizio cloud deve rispettare i requisiti elencati nella sezione 5 dell'Allegato 4.
5. I dati e i servizi digitali classificati, ai sensi dell'articolo 3, quali:
a) «ordinari» possono essere erogati tramite servizi cloud adeguati nell'ambito delle tipologie di cui al comma 1, lettere a) b) c) e d);
b) «critici» possono essere erogati tramite servizi cloud adeguati nell'ambito delle tipologie di cui al comma 1, lettere b), c) e d);
c) «strategici» possono essere erogati tramite servizi cloud adeguati nell'ambito delle tipologie di cui al comma 1, lettere c) e d).
Modalità e termini per l'adeguamento dei servizi cloud per le pubbliche amministrazioni
1. I fornitori dei servizi cloud di cui all'articolo 15, comma 1, sottoscrivono e trasmettono all'ACN una relazione di conformità ai requisiti di cui al medesimo articolo 15 e ai livelli minimi di cui all'articolo 8, predisposta sulla base del modello reso disponibile sulla piattaforma digitale nel rispetto delle previsioni di cui all'articolo 27.
2. La relazione di conformità ai fini dell'adeguamento di cui al comma 1 e ai fini della promozione di cui al comma 8, resa ai sensi del decreto del Presidente della Repubblica del 28 dicembre 2000, n. 445, è sottoscritta dal legale rappresentante del fornitore di servizi cloud o da un suo delegato ed è presentata telematicamente nel rispetto delle previsioni di cui all'articolo 65, del decreto legislativo 7 marzo 2005, n. 82.
3. Salvo motivata richiesta di non pubblicazione del fornitore di servizi cloud, soggetta alla valutazione dell'ACN, il servizio cloud per le pubbliche amministrazioni viene pubblicato nel catalogo delle infrastrutture e dei servizi cloud per le pubbliche amministrazioni, con l'indicazione "servizio cloud per le pubbliche amministrazioni adeguato".
4. Il catalogo, reso disponibile sulla piattaforma digitale, è aggiornato dall'ACN entro trenta giorni dalla ricezione della relazione di conformità di cui al comma 1, fatta salva la possibilità per la stessa ACN di chiedere modifiche e integrazioni della relazione che presenti carenze formali. In tale ultimo caso, il termine di trenta giorni decorre dalla ricezione, da parte di ACN, della documentazione recante le modifiche e le integrazioni richieste.
5. La validità dell'adeguamento decorre:
a. per i casi di cui al comma 3, dal momento l'ACN riscontra la richiesta di non pubblicazione di cui al medesimo comma;
b. per i casi di cui al comma 4, dalla data di pubblicazione nel catalogo.
6. In caso di ricorso a infrastrutture di prossimità, la relazione di conformità reca le evidenze dell'analisi volta a riscontrare l'assenza di detrimento delle caratteristiche di cui all'articolo 8 e dei requisiti di cui all'articolo 15, anche sulla scorta delle prescrizioni di cui al paragrafo 2.4 dell'allegato 4, con l'indicazione delle relative infrastrutture digitali per le pubbliche amministrazioni.
7. Qualora siano realizzate modifiche sostanziali delle modalità di adozione delle caratteristiche di cui all'Allegato 3, il fornitore di servizi cloud per le pubbliche amministrazioni ne comunica, tempestivamente e senza ingiustificato ritardo, le relative modalità all'ACN ai sensi del presente articolo, aggiornando, in ogni caso, la predetta relazione di conformità almeno ogni trentasei mesi.
8. La richiesta di passaggio di un servizio cloud per le pubbliche amministrazioni ad un diverso livello di adeguamento ai sensi dell'articolo 15 ("promozione") avviene con le medesime modalità per l'adeguamento definite nel presente articolo.
Qualificazione dei servizi cloud per le pubbliche amministrazioni
1. La qualificazione dei servizi cloud per le pubbliche amministrazioni a cui sono tenuti i fornitori dei servizi cloud diversi da quelli di cui all'articolo 15, comma 1, è articolata nei seguenti quattro livelli:
a) cloud di livello 1 (QC1);
b) cloud di livello 2 (QC2);
c) cloud di livello 3 (QC3);
d) cloud di livello 4 (QC4).
2. I requisiti corrispondenti ai livelli di cui al comma 1 sono elaborati:
a) in relazione al rischio e all'evoluzione della minaccia tecnica di natura cibernetica;
b) tenuto conto della normativa e degli standard nazionali, europei e internazionali;
c) in considerazione degli schemi di certificazione nazionali ed europei progressivamente adottati;
d) tenuto conto delle migliori pratiche, delle linee guida, dei quadri di disciplina di riferimento e degli standard nazionali, europei nonché internazionali.
3. Al fine della qualificazione:
a) al livello 1 (QC1) di cui al comma 1, il servizio cloud deve rispettare i requisiti elencati nella sezione 2 dell'Allegato 4;
b) al livello 2 (QC2) di cui al comma 1, il servizio cloud deve rispettare i requisiti elencati nella sezione 3 dell'Allegato 4;
c) al livello 3 (QC3) di cui al comma 1, il servizio cloud deve rispettare i requisiti elencati nella sezione 4 dell'Allegato 4;
d) al livello 4 (QC4) di cui al comma 1, il servizio cloud deve rispettare i requisiti elencati nella sezione 5 dell'Allegato 4.
4. I dati e i servizi digitali classificati, ai sensi dell'articolo 3, quali:
a) «ordinari» possono essere erogati tramite servizi cloud accreditati nell'ambito delle tipologie di cui al comma 1, lettere a), b), c) e d);
b) «critici» possono essere erogati tramite servizi cloud accreditati nell'ambito delle tipologie di cui al comma 1, lettere b), c) e d);
c) «strategici» possono essere erogati tramite servizi cloud accreditati nell'ambito delle tipologie di cui al comma 1, lettere c) e d).
Domanda di qualificazione dei servizi cloud per le pubbliche amministrazioni
1. Le domande di qualificazione e quelle di promozione di cui al comma 4, rese ai sensi del decreto del Presidente della Repubblica del 28 dicembre 2000, n. 445, sono sottoscritte dal legale rappresentante del fornitore dei servizi cloud o da un suo delegato e sono presentate telematicamente nel rispetto delle previsioni di cui all'articolo 65, del decreto legislativo 7 marzo 2005, n. 82.
2. I fornitori dei servizi cloud diversi da quelli di cui all'articolo 15, comma 1, trasmettono telematicamente le domande di cui al comma 1 con le informazioni necessarie, la documentazione a corredo, laddove richiesto, e le modalità indicate sulla piattaforma digitale nel rispetto delle previsioni di cui all'articolo 27, elaborate in forma graduale in accordo al livello di qualifica richiesto.
3. Le informazioni necessarie di cui al comma 2, includono, almeno:
a) la tipologia di qualificazione richiesta di cui all'articolo 17;
b) il servizio cloud sottostante ovvero, in caso erogazione senza il ricorso ad altri servizi cloud, l'infrastruttura digitale ovvero l'infrastruttura dei servizi cloud utilizzata, ai sensi dell'articolo 20;
c) la descrizione dei servizi cloud per i quali viene richiesta la qualificazione;
d) l'indicazione dei requisiti posseduti ai fini della qualificazione richiesta e la relativa documentazione;
e) la specifica e l'esito delle attività di verifica della sicurezza effettuate dal fornitore sul servizio oggetto di qualifica;
f) nel caso di richieste a partire dal livello 3 di qualificazione, la descrizione degli elementi architetturali dell'infrastruttura o del servizio cloud.
4. La richiesta di passaggio di un servizio cloud per le pubbliche amministrazioni ad un diverso livello di qualificazione ("promozione") ai sensi dell'articolo 15, avviene con le medesime modalità per la qualificazione definite nel presente articolo.
5. In caso di ricorso a infrastrutture di prossimità, la relazione di conformità reca le evidenze dell'analisi volta a riscontrare l'assenza di detrimento delle caratteristiche di cui all'articolo 8 e dei requisiti di cui all'articolo 17, anche sulla scorta delle prescrizioni di cui al paragrafo 2.4 dell'Allegato 4, con l'indicazione delle relative infrastrutture digitali per le pubbliche amministrazioni.
Modalità di qualificazione dei servizi cloud per le pubbliche amministrazioni
1. Entro sessanta giorni dalla ricezione di una domanda di qualificazione da parte di un soggetto richiedente, trasmessa secondo le modalità di cui all'articolo 18, l'ACN verifica la conformità ai requisiti previsti per i livelli di qualificazione di cui all'articolo 17, e ai livelli minimi di cui all'articolo 8, in relazione alla tipologia di qualificazione richiesta.
2. Nell'ambito della verifica di conformità di cui al comma 1, l'ACN può:
a) formulare quesiti;
b) richiedere integrazioni, informazioni aggiuntive e la produzione di ulteriore documentazione;
c) svolgere accertamenti di carattere tecnico, incluse le verifiche di sicurezza mirate ad accertare la presenza di vulnerabilità nei sistemi, anche mediante accesso all'infrastruttura fisica e logica dell'infrastruttura dei servizi cloud ovvero del servizio cloud;
d) audire il soggetto richiedente.
3. Qualora sia necessario svolgere approfondimenti, ivi inclusi quelli di cui al comma 2, riguardanti aspetti tecnici nell'ambito della verifica di conformità, il termine di cui al comma 1 è prorogato fino a trenta giorni, prorogabili ulteriormente di trenta giorni in casi di particolare complessità.
4. Ove si renda necessario chiedere informazioni e documentazione al soggetto richiedente la qualificazione, ivi incluse quelle di cui al comma 2, i termini sono sospesi e ricominciano a decorrere dalla data di ricevimento delle informazioni e della documentazione, che sono rese entro il termine di quindici giorni dalla richiesta, decorsi i quali l'istanza si intende non accolta.
5. Al termine della verifica di conformità di cui al presente articolo, l'ACN comunica, entro quindici giorni, al domicilio digitale del soggetto richiedente:
a) il rigetto, fornendone le motivazioni, della qualificazione del servizio cloud;
b) il rilascio, con condizioni motivate, della qualificazione del servizio cloud, specificandone la durata;
c) il rilascio, senza condizioni, della qualificazione del servizio cloud, specificandone la durata.
6. La qualificazione ha una durata massima pari a trentasei mesi.
7. L'ACN, nell'ipotesi in cui intende procedere nei sensi di cui al comma 5, lettera a), prima della formale adozione del provvedimento negativo, comunica al soggetto richiedente, entro il termine di cui al medesimo comma 5, i motivi che ostano all'accoglimento della domanda. Il soggetto richiedente, entro il termine di dieci giorni dal ricevimento della comunicazione, può presentare le proprie osservazioni, eventualmente corredate da documentazione a supporto. La comunicazione di ACN sospende i termini di conclusione del procedimento, che ricominciano a decorrere dieci giorni dopo la presentazione delle osservazioni o, in mancanza delle stesse, dalla scadenza dei termini previsti per il soggetto richiedente. Qualora il soggetto richiedente abbia presentato osservazioni, del loro eventuale mancato accoglimento ACN è tenuta a dare ragione nella motivazione del provvedimento finale di rigetto indicando, se ve ne sono, i soli motivi ostativi ulteriori che sono conseguenza delle osservazioni.
8. L'ACN, nelle ipotesi di cui al comma 5, lettere b) e c), pubblica il servizio cloud per le pubbliche amministrazioni nel catalogo delle infrastrutture e dei servizi cloud per le pubbliche amministrazioni, con l'indicazione "servizio cloud per le pubbliche amministrazioni qualificato con condizioni" ovvero "servizio cloud per le pubbliche amministrazioni qualificato". Il catalogo, reso disponibile sulla piattaforma digitale, è aggiornato dall'ACN entro quindici giorni dal termine della verifica di conformità di cui al presente articolo.
9. Tenuto conto dei termini di conclusione del procedimento di qualifica di cui al presente articolo, ove sia necessario rinnovare la qualificazione di un servizio cloud, le relative istanze sono presentate novanta giorni prima della scadenza della stessa qualifica secondo le medesime modalità previste nel presente articolo. L'ACN, in questo caso, potrà autorizzare il soggetto richiedente ad operare in continuità fino alla data di conclusione del procedimento di rinnovo. Il soggetto richiedente informa di tale periodo di transizione e del procedimento in corso i soggetti con i quali intende stipulare contratti connessi all'applicazione del presente Regolamento.
Monitoraggio delle infrastrutture digitali, delle infrastrutture dei servizi cloud e dei servizi cloud per le pubbliche amministrazioni
1. Successivamente all'adeguamento di cui agli articoli 13, 14 e 16 ovvero al rilascio delle qualifiche ai sensi dell'articolo 18, l'ACN può effettuare verifiche per accertare il possesso e il mantenimento dei requisiti di cui agli articoli 7, 8, 12, 15 e 17 in relazione alla tipologia e al livello di adeguamento o di qualificazione, con le modalità di cui all'articolo 19, comma 2.
2. Laddove, successivamente alle verifiche effettuate ai sensi del comma 1, dovessero emergere profili relativi al mancato rispetto dei requisiti prescritti dal presente Regolamento, anche a seguito degli eventuali supplementi istruttori condotti con la collaborazione dei soggetti interessati, l'ACN richiede, prima dell'avvio delle procedure di revoca, all'operatore di infrastrutture digitali ovvero al fornitore di servizi cloud di garantire il rispetto dei suddetti requisiti entro quarantacinque giorni dalla stessa richiesta fatte salve specifiche, diverse, esigenze per le quali sia necessario prevedere un termine diverso.
3. A seguito della richiesta di cui al comma 2, e fino al positivo accertamento, da parte dell'ACN, dell'avvenuto adempimento della stessa, l'operatore di infrastrutture digitali ovvero il fornitore di servizi cloud ha l'obbligo di comunicare, ai soggetti con i quali ha già in essere o con i quali intende stipulare contratti connessi all'applicazione del presente Regolamento, di essere sottoposto a verifica da parte dell'ACN. Durante il periodo di verifica l'operatore garantisce comunque la continuità delle prestazioni previste dai contratti in essere.
4. Al termine del periodo di cui al comma 2, l'ACN:
a) in caso di adempimento da parte dell'operatore, comunica allo stesso l'esito positivo delle verifiche effettuate. L'operatore a sua volta ne dà informazione ai soggetti con i quali ha in essere contratti connessi all'applicazione del presente Regolamento;
b) in caso di inadempimento, attiva le procedure previste dagli articoli 21 e 23.
Revoca della qualifica e dichiarazione di inadeguatezza
1. Nelle ipotesi previste dall'articolo 20, comma 4, lettera b), l'ACN dispone la revoca della qualificazione ovvero dichiara l'inadeguatezza dell'infrastruttura digitale per le pubbliche amministrazioni, dell'infrastruttura per i servizi cloud per le pubbliche amministrazioni o del servizio cloud per le pubbliche amministrazioni di cui all'articolo 15.
2. Contestualmente alla revoca o alla dichiarazione di inadeguatezza di cui al comma 1, comunicate al domicilio digitale del soggetto interessato, l'ACN contrassegna l'infrastruttura digitale per le pubbliche amministrazioni, l'infrastruttura per i servizi cloud per le pubbliche amministrazioni ovvero il servizio cloud per le pubbliche amministrazioni pubblicata sul catalogo delle infrastrutture e dei servizi cloud per le pubbliche amministrazioni, con l'indicazione "infrastruttura/servizio inadeguato" ovvero "qualificazione revocata".
3. I provvedimenti di revoca e le dichiarazioni di inadeguatezza di cui al comma 1 sono pubblicati, in ogni caso, sulla piattaforma digitale.
4. L'operatore di infrastrutture digitali e il fornitore di servizi cloud, a seguito della revoca o della dichiarazione di inadeguatezza di cui al comma 1, devono:
a) informare, senza ritardo, dell'intervenuta revoca o dichiarazione di inadeguatezza le eventuali amministrazioni clienti;
b) supportare le eventuali amministrazioni clienti nelle attività di migrazione verso altro operatore di infrastruttura digitale ovvero fornitore di servizi cloud, scelto dalla medesima amministrazione cliente, garantendo un'agevole esportazione dei dati e fornendo la piena collaborazione per l'instaurazione dei flussi di comunicazione e migrazione verso l'infrastruttura del nuovo fornitore, per il trasferimento automatico dei dati e dei servizi previsti;
c) eliminare definitivamente, all'esito della positiva migrazione, tutti i dati dell'amministrazione eventualmente memorizzati o ancora nella propria disponibilità.
5. Le amministrazioni, in caso di intervenuta revoca o dichiarazione di inadeguatezza di cui al comma 1, possono continuare a fruire del servizio revocato per un periodo massimo di sei mesi decorrenti dalla data di revoca o dalla dichiarazione di inadeguatezza, eventualmente prorogabili, su specifica istanza, in presenza di documentati elementi di complessità tecnica, fatta salva ogni diversa determinazione dell'ACN.
Trattamento dei dati personali
1. Le amministrazioni sono titolari dei trattamenti di dati personali effettuati nell'ambito delle infrastrutture digitali per le pubbliche amministrazioni, delle infrastrutture dei servizi cloud per le pubbliche amministrazioni e dei servizi cloud per le pubbliche amministrazioni.
2. Gli operatori di infrastrutture digitali, i fornitori di servizi cloud e gli ulteriori soggetti coinvolti nei trattamenti di dati personali di cui al comma 1 o nelle attività di migrazione dei dati e dei servizi digitali della pubblica amministrazione di cui al capo IV, nonché i soggetti di cui questi si avvalgono per l'esecuzione di specifiche attività di trattamento per conto delle amministrazioni, operano come responsabili del trattamento ai sensi dell'articolo 28 del regolamento (UE) 2016/679.
3. I soggetti di cui al comma 2 adottano misure tecniche e organizzative idonee a garantire una tempestiva e adeguata informazione delle amministrazioni in caso di violazione dei dati personali, ai sensi dell'articolo 33, paragrafo 2, del regolamento (UE) 2016/679.
4. Il ricorso ad altri responsabili del trattamento da parte dei soggetti di cui al comma 2 è disciplinato in conformità all'articolo 28, paragrafi 2 e 4, del regolamento (UE) 2016/679, prevedendo misure tecniche e organizzative per fornire alle amministrazioni idonei strumenti di controllo delle attività di trattamento effettuate sotto la propria responsabilità.
5. In caso di trasferimento di dati personali al di fuori dello Spazio economico europeo, i responsabili del trattamento di cui ai commi 2 e 4 sono tenuti ad attenersi alle istruzioni delle amministrazioni impartite ai sensi dell'articolo 28, paragrafo 3, lettera a), del regolamento (UE) 2016/679 e a mettere a disposizione delle stesse ogni informazione necessaria per valutare l'effettività delle misure appropriate poste in essere ai sensi del capo V del regolamento (UE) 2016/679.
6. Fermi restando la competenza del Garante per la protezione dei dati personali per le violazioni delle disposizioni contenute nel presente articolo e gli obblighi di comunicazione allo stesso Garante da parte dei soggetti di cui ai commi 1 e 2, l'Agenzia per la cybersicurezza nazionale comunica al Garante le evidenze, di cui venga a conoscenza, relative a possibili violazioni di dati persona.
Segnalazioni all'Agenzia per l'Italia digitale
1. L'ACN, in tutti i casi in cui rilevi il mancato rispetto, da parte delle Amministrazioni, delle previsioni di cui al presente Regolamento, segnala la violazione riscontrata all'Agenzia per l'Italia digitale al fine dell'applicazione dell'articolo 33-septies, comma 4-quinquies, del decreto-legge n. 179 del 2012.
Passaggio al regime ordinario
1. A decorrere dalla data di entra in vigore del presente Regolamento:
a) le infrastrutture dei servizi cloud in possesso di qualifica valida, rilasciata dall'ACN entro la data di applicazione del presente Regolamento, si intendono adeguate, ai sensi dell'articolo 12, con il medesimo livello e fino alla scadenza previsti dalla qualifica ottenuta;
b) i servizi cloud in possesso di qualifica valida, rilasciata dall'ACN entro la data di applicazione del presente Regolamento, si intendono qualificati, ai sensi dell'articolo 17, con il medesimo livello e fino alla scadenza previsti della qualifica ottenuta.
Disposizioni transitorie
1. Gli elenchi dei dati e servizi di cui all'articolo 3 e i piani di migrazione di cui all'articolo 10trasmessi precedentemente all'adozione del presente Regolamento, si intendono trasmessi anche ai fini del presente Regolamento.
2. Gli operatori di infrastrutture digitali che, nella relazione inviata entro il 18 gennaio 2024, di cui all'articolo 13, comma 2, hanno dichiarato di aver adottato, entro il 30 settembre 2023, la decisione di contrarre rispetto a documentati interventi di adeguamento, di maggiore complessità, ai livelli minimi di cui all'articolo 7 e ai requisiti di cui all'articolo 12, completano le attività di adeguamento entro il 18 ottobre 2024. Fino al completamento delle attività di adeguamento, gli stessi operatori continuano a trattare i propri dati e servizi con le infrastrutture i servizi cloud già in uso.
3. I fornitori di servizi cloud che, nella relazione inviata entro il 18 gennaio 2024 di cui all'articolo 16, comma 2, hanno dichiarato di aver adottato, entro il 30 settembre 2023, la decisione di contrarre rispetto a documentati interventi di adeguamento, di maggiore complessità, ai livelli minimi di cui all'articolo 8 e ai requisiti di cui all'articolo 15, completano le attività di adeguamento entro il 18 ottobre 2024. Fino al completamento delle attività di adeguamento, gli stessi fornitori continuano a trattare i propri dati e servizi con le infrastrutture i servizi cloud già in uso.
Abrogazioni
1. Sono abrogati, a decorrere dalla data di applicazione del presente Regolamento:
a) Il regolamento adottato dall'Agenzia per l'Italia digitale con Determinazione del 15 dicembre 2021, n. 628;
b) la determina n. 306 del 18 gennaio 2022, dell'Agenzia per la cybersicurezza nazionale;
c) la determina n. 307 del 18 gennaio 2022, dell'Agenzia per la cybersicurezza nazionale;
Applicazione del Regolamento e dei requisiti
1. Il presente Regolamento si applica a decorrere dal 1 agosto 2024. Fino a tale data, resta in vigore il regime transitorio previsto dal decreto del Direttore generale dell'Agenzia per la cybersicurezza nazionale del 2 gennaio 2023, prot. n. 29.
2. I requisiti previsti dagli articoli 7, 8, 12, 15 e 17, di cui agli Allegati 2, 3 e 4, si applicano secondo le modalità e i tempi indicati nei medesimi Allegati.
3. Il presente Regolamento è pubblicato sul sito istituzionale dell'Agenzia per la cybersicurezza nazionale (www.acn.gov.it), sulla piattaforma digitale e ne sarà data, altresì, comunicazione tramite pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.