ACN ha pubblicato a fine giugno 2024 il nuovo regolamento che le PA devono rispettare quando usano servizi cloud. Si può reperire qui, con il titolo "Regolamento ACN n. 21007/24 del 27 giugno 2024": https://www.acn.gov.it/portale/cloud/documentazione-utile.

Trovo sempre utile (oltre che per dare supporto ai miei clienti) leggere le misure richieste perché stabiliscono un livello di riferimento, che piaccia o meno.

Mi sembra che il testo non riporti grandi modifiche rispetto al precedente (mi sono concentrato sulle misure per i dati ordinari). Dovevano aggiornarlo perché il precedente era a nome AgID e poco in più hanno fatto. Alcuni piccoli refusi e alcune piccole incoerenze sono state corrette.

Rimane sempre una lettura ostica e ci ho messo parecchio a capire la distinzione tra requisiti di adeguamento e di qualificazione (per questo ringrazio Marco Gemo che mi ha segnalato la figura all’URL https://www.acn.gov.it/portale/cloud/regolamento-cloud-per-la-pa). In sostanza, se ho capito correttamente:

• le infrastrutture possono solo essere “adeguate” (articolo 12);
• i servizi cloud “per le pubbliche amministrazioni erogati da un soggetto pubblico, da società in house, ovvero, per espressa previsione normativa, da società a controllo pubblico [...] sono sottoposti al processo di adeguamento” (articolo 15);
• i servizi cloud per le PA offerti da altre società rispetto alle precedenti sono invece da sottoporre al processo di adeguamento (articolo 17).

Importante il fatto che le PA dovranno comunque migrare verso servizi adeguati o qualificati.

Continuo a non capire perché a fronte di 3 tipologie di dati (ordinari, critici e strategici) siano presenti 4 livelli di qualificazione (o adeguamento).

Nota positiva, per rimanere sulle parti non tecniche, è che, a differenza della versione precedente di AgID, qui è possibile fare un comodo copia-incolla del testo (anche se, per evitarci troppa fatica, potevano pubblicare un Excel, magari anche con una comparazione tra le versioni del 2022 e del 2024; per me poco male, visto che fatturerò al cliente; però non posso fare a meno di pensare che faremo questo stesso lavoro in tanti, alcuni ci guadagneranno, altri ci perderanno e sicuramente l'entropia verrà alimentata).

Considerazioni tecniche (questa però non è una comparazione precisa, ma solo una lista delle cose per me più significative per i dati ordinari):

- viene chiesto al CSP (per servizi, privato, a cui si applica la qualificazione) di avere un'assicurazione (cloud service provider, ossia il fornitore del servizio cloud);

- viene chiesto un supporto in lingua inglese in orario lavorativo; il supporto in lingua italiana e 24/7/365 va fornito solo su richiesta; segnalo questo come questione culturale, ma non so esattamente come giudicarla;

- viene chiesto, per gli accessi da remoto, di impiegare l'autenticazione a più fattori;

- viene chiesto di fare prove di ripristino dei backup (era incredibilmente assente nel 2022) e di proteggere i backup ponendoli off-line;

- viene chiesto di tenere aggiornati e in sicurezza i sistemi di sicurezza di rete (era incredibilmente assente nel 2022);

- viene chiesto di fare VA-PT e di seguire piani di rientro (sempre stranamente assente nel 2022);

- viene chiarito, se già prima non lo era, che per chi offre "solo" un servizio, questo deve essere su un’infrastruttura IaaS o PaaS già adeguata;

- c'è un po' di confusione con le certificazioni (per il QC1 in un punto chiede di "adottare formalmente" ISO 9001 e ISO/IEC 20000-1 e in un altro chiede un'autocertificazione ISO 9001 e la certificazione ISO/IEC 27001 con i controlli delle ISO/IEC 27017 e 27018).

Solo alla fine ringrazio Marco Gemo di Ecocerved per avermi segnalato la pubblicazione di questo Regolamento. Io non l'avevo proprio notata.  A questo proposito, spero che ACN istituisca un servizio di newsletter, oltre ai canali di aggiornamento sui social (LinkedIn e YouTube, oltre a quelli del CSIRT su X e Telegram), che obbligano a iscriversi a servizi offerti dagli USA.

NOTA: Questo post ne aggiorna uno precedente.