Che cos’è la Strategia Cloud Italia per il Cloud di Stato

Tre le sfide che la Strategia Cloud Italia intende affrontare: assicurare l’autonomia tecnologica del Paese, garantire il controllo sui dati e aumentare la resilienza dei servizi digitali

Il Ministro per l’innovazione tecnologica e la transizione digitale, Vittorio Colao, ha alzato il sipario sulla Strategia Cloud Italia, alla base della digitalizzazione della nostra PA (e non solo), a sua volta fulcro del Piano nazionale di ripresa e resilienza finanziato coi fondi del Recovery comunitario.

CHE COS’È LA STRATEGIA CLOUD ITALIA

Strategia Cloud Italia illustra i criteri di classificazione e la composizione della infrastruttura ad alta affidabilità (Polo Strategico Nazionale) che ospiterà i servizi strategici e critici. “La digitalizzazione della Pubblica Amministrazione – commentano dal dicastero creato appositamente per ricostruire e innovare il Paese dopo la pandemia – si impone oggi come obiettivo prioritario del Piano Nazionale di Ripresa e Resilienza per garantire ai cittadini e alle imprese servizi pubblici di maggiore qualità, efficienza ed efficacia, oltre che per creare nuove opportunità di sviluppo per l’economia digitale del Paese”.

Mediante l’approccio cloud first, spiegano sempre dal dicastero guidato da Colao, la Strategia Cloud Italia intende guidare e favorire l’adozione sicura, controllata e completa delle tecnologie cloud da parte del settore pubblico, in linea con i principi di tutela della privacy e con le raccomandazioni delle istituzioni europee e nazionali.

“In tal modo – è il commento del ministero – le infrastrutture digitali saranno più affidabili e sicure, e la Pubblica Amministrazione potrà rispondere in maniera organizzata agli attacchi informatici, garantendo continuità e qualità nella fruizione di dati e servizi”.

Tre le sfide che la Strategia Cloud Italia intende affrontare: assicurare l’autonomia tecnologica del Paese, garantire il controllo sui dati e aumentare la resilienza dei servizi digitali. La strategia, infatti, si sviluppa secondo altrettante direttrici che guideranno gli enti nelle scelte da compiere rispetto alle diverse soluzioni di migrazione al cloud.

Anzitutto, occorrerà regolamentare l’ampia offerta di servizi cloud disponibili sul mercato al fine di mitigare i rischi sistemici di sicurezza e affidabilità. In quest’ottica la classificazione di dati e servizi, introdotta dalla strategia, li cataloga in base al danno che una loro compromissione potrebbe provocare al sistema Paese (strategici, critici e ordinari).

In secondo luogo, il governo intende semplificare e regolamentare, dal punto di vista tecnico e amministrativo, l’acquisizione di servizi cloud da parte delle amministrazioni. Gli aspetti presi in considerazione sono: la gestione operativa dei servizi, in particolare gli standard tecnico-organizzativi applicativi e le misure di controllo sui dati; i requisiti di sicurezza per la gestione dei dati, l’erogazione di servizi e le condizioni contrattuali relative all’erogazione e alla rendicontazione del servizio.

COLAO: “PROPOSTE ENTRO LA FINE DI SETTEMBRE”

Infine, l’esecutivo di Mario Draghi intende realizzare il Polo Strategico Nazionale (terzultimo paragrafo), che avrà l’obiettivo di dotare la Pubblica Amministrazione di tecnologie e infrastrutture cloud che possano beneficiare delle più alte garanzie di affidabilità, resilienza e indipendenza. “Entro settembre ci aspettiamo che arrivino proposte per il polo strategico nazionale”, ha spiegato Colao. Il bando “non è aperto ai paesi extra Ue, come ad esempio la Cina. C’è un muro che si chiama Europa, con le sue regole”. Questo in quanto “gli italiani devono potersi fidare che i loro dati nella Pubblica amministrazione siano al sicuro”. “La selezione – ha poi illustrato – non avverrà tramite una gara vera è propria ma tramite una proposta, che verrà pubblicata come da norme Ue, da parte di soggetti pubblici e privati che abbiano le competenze per farlo”.

Sul tema della sicurezza, Roberto Baldoni, neo direttore generale di quell’Agenzia per la Cybersicurezza Nazionale fresca di apertura, ha rimarcato gli obiettivi: “mantenere il controllo dei dati nazionali facendo leva sulla flessibilità della tecnologia cloud e garantire la resilienza delle infrastrutture, soprattutto alla luce degli incidenti cyber che hanno colpito il Paese. Per fare questo utilizzeremo ogni tipo di cloud, pubblico, privato e on premise”.

Attualmente, la maggior parte dei servizi pubblici vengono erogati tramite data center della PA che spesso non possiedono caratteristiche sufficienti per assicurare adeguati standard di affidabilità e resilienza. Raggiungere e mantenere tali standard richiede investimenti e competenze che oggi non sono a disposizione di molte delle pubbliche amministrazioni centrali e locali.

La Strategia Cloud Italia si pone in questo contesto come metodologia implementativa della policy “Cloud-First”, pilastro del progetto di digitalizzazione della PA enunciato nel PNRR italiano. Questa policy permetterà di guidare, e favorire l’adozione sicura, controllata e completa delle tecnologie Cloud per la PA, con l’obiettivo, a tendere, che tutti i servizi erogati siano basati su applicazioni “Cloud-native”, sviluppate cioè nativamente sulla base dei paradigmi Cloud.

Le classi dei dati e servizi sono identificate sulla base del danno che una loro compromissione, in termini di confidenzialità, integrità e disponibilità, provocherebbe al sistema Paese. Tali classi sono:

• Strategico: dati e servizi la cui compromissione può avere un impatto sulla sicurezza nazionale;

• Critico: dati e servizi la cui compromissione potrebbe determinare un pregiudizio al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza e il benessere economico e sociale del Paese;

• Ordinario: dati e servizi la cui compromissione non provochi l’interruzione di servizi dello Stato o, comunque, un pregiudizio per il benessere economico e sociale del Paese.

I servizi Cloud qualificati potranno essere utilizzati, in accordo alla classificazione dei dati, con i seguenti vincoli:

● le offerte di Cloud Pubblico Qualificato e Pubblico Criptato, potranno ospitare dati e servizi ordinari;

● le offerte di Cloud Pubblico Criptato, Privato/Ibrido “su licenza“ e Privato Qualificato potranno ospitare dati e servizi critici;

● le offerte di Cloud Privato/Ibrido “su licenza“ e Privato Qualificato potranno ospitare dati e servizi strategici; Questo processo di adozione dei servizi Cloud nella PA, dovrà culminare con la realizzazione di un mercato elettronico dei servizi Cloud qualificati12. Tale mercato dovrà rappresentare il mezzo mediante il quale le amministrazioni saranno guidate, in accordo al processo di classificazione dei dati e dei servizi, nella scelta dei servizi Cloud per loro più idonei e all’acquisto diretto con strumenti amministrativi semplificati e pre-negoziati.

CHE COS’È IL POLO STRATEGICO NAZIONALE

Come abbiamo già anticipato presentando le tre direttive della Strategia Cloud Italia, al centro di tutto troveremo il Polo Strategico Nazionale (PSN). Il PSN avrà infatti l’obiettivo di dotare la PA di tecnologie e infrastrutture Cloud che possano beneficiare delle più alte garanzie di affidabilità, resilienza e indipendenza. A tal fine, si prevede che il PSN sia distribuito geograficamente sul territorio nazionale presso siti opportunamente identificati14, al fine di garantire adeguati livelli di continuità operativa e tolleranza ai guasti. La gestione operativa del PSN, sarà affidata a un fornitore qualificato sulla base di opportuni requisiti tecnico-organizzativi.

Il fornitore dovrà garantire il controllo sui dati in conformità con la normativa in materia, nonché rafforzare la possibilità della PA di negoziare adeguate condizioni contrattuali con i fornitori di servizi Cloud. Il PSN dovrà permettere alla PA di garantire, sin dalla progettazione (by-design), il rispetto dei requisiti in materia di sicurezza, ad esempio PSNC e NIS, e di abilitare la migrazione, almeno inizialmente con un processo lift-and-shift, verso tipologie di servizi Cloud IaaS e PaaS.

In accordo alla classificazione fornita nella sezione precedente, il PSN offrirà servizi di Cloud Pubblico Criptato (IT), ovvero permetterà di gestire, ad esempio, strumenti di cifratura on-premise integrati su Cloud pubblico per la PA, e offrirà lo spettro di servizi Cloud privato/ibrido, ovvero il Cloud Privato/Ibrido “su licenza” (IT), il Cloud Privato Qualificato (IT). A tendere, l’obiettivo del PSN, in accordo alle procedure di classificazione e qualificazione, è di offrire supporto alle amministrazioni centrali e alle principali amministrazioni locali, ad esempio Regioni, ASL e città metropolitane.

COME FUNZIONA LA MIGRAZIONE SU CLOUD?

La migrazione verso i diversi servizi Cloud qualificati e eventualmente all’interno del PSN dovrà essere governata tramite un processo centralizzato, agevole e uniforme per tutte le amministrazioni. I piani di migrazione saranno quindi definiti in accordo con il risultato della classificazione dei dati e dei servizi. La classificazione e la redazione del piano di migrazione saranno definiti e supportati, per i rispettivi profili di competenza, dell’Agenzia per la Cybersicurezza Nazionale (ACN) e del Dipartimento per la Trasformazione Digitale (DTD). Questo processo non potrà prescindere dalla responsabilizzazione del soggetto pubblico e permetterà di individuare e catalogare i dati e i servizi gestiti, applicando poi una categorizzazione rispetto agli impatti di eventuali compromissioni, dei vincoli normativi e di sicurezza. L’esito della classificazione dei dati e servizi da migrare sul Cloud (ovvero dati strategici, critici o ordinari) permetterà di individuare i piani di migrazione al Cloud più idonei. Tali piani saranno validati e confermati dal Dipartimento e dall’Agenzia al fi ne di assicurare la congruità e il rispetto delle linee strategiche.

TRE FASI PER LA STRATEGIA CLOUD ITALIA

La Strategia Cloud Italia si articolerà in fasi successive secondo la scansione temporale di seguito proposta:

FASE 1 – Pubblicazione del bando di gara per la realizzazione del PSN: al più tardi entro la fi ne del 2021 si procederà a pubblicare il bando di gara per la realizzazione del PSN.

FASE 2 – Aggiudicazione e Realizzazione del PSN: al più tardi entro la fi ne del 2022 dovrà avvenire l’aggiudicazione del bando di gara.

FASE 3 – Migrazione delle amministrazioni: a partire dalla fine del 2022 dovrà iniziare la migrazione della PA verso il PSN, da concludersi entro la fine del 2025. Nella fase di migrazione verrà data precedenza alle PAC che attualmente operano con data center propri classificati, secondo il censimento AgID del patrimonio ICT della PA, in Categoria B (con carenze strutturali e/o organizzative o che non garantiscono la continuità dei servizi).