(Cybersicurezza: prorogato il regime transitorio nella Pa)
Con il decreto del direttore generale dell'Agenzia per la cybersicurezza nazionale 30 gennaio 2024, è stato prorogato il termine del regime transitorio della disciplina di qualificazione cloud nella pubblica amministrazione. L'avviso è stato pubblicato sulla Gazzetta ufficiale n. 39 del 16 febbraio 2024
In origine il termine per il regime transitorio era stabilito al 31 gennaio. Con la proroga il termine slitta al 30 giugno 2024.
Qui di seguito il testo integrale del decreto 30 gennaio 2024.
Ambiente&Sicurezza è il tuo strumento di lavoro: abbonati
Decreto del direttore generale dell'agenzia per la cybersicurezza nazionale recante: «Proroga del regime transitorio della disciplina di qualificazione Cloud per le pubbliche amministrazioni»
IL DIRETTORE GENERALE
VISTO il decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, recante: '"Ulteriori misure urgenti per la crescita del Paese”, e, in particolare, l’articolo 33-septies, che prevede il consolidamento e la razionalizzazione dei siti e delle infrastrutture digitali del Paese demandando all’Agenzia per la cybersicurezza nazionale, d’intesa con la competente struttura della Presidenza del Consiglio dei ministri e nel rispetto della disciplina introdotta dal decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, l’adozione di un regolamento per stabilire i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la pubblica amministrazione nonché le caratteristiche di qualità, di sicurezza, di performance e scalabilità, interoperabilità, portabilità dei servizi cloud per la pubblica amministrazione e, infine, i termini e le modalità con cui le amministrazioni devono effettuare le migrazioni previste ai commi 1 e \-bis dello stesso articolo 33-septies e le modalità del procedimento di qualificazione dei servizi cloud per la pubblica amministrazione;
VISTO il decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, recante: “Disposizioni urgenti in materia di cybersicurezza, definizione dell 'architettura nazionale di cybersicurezza e istituzione dell 'Agenzia per la cybersicurezza nazionale", e, in particolare, l’articolo 7, comma 1, lettere m) e m-ter), che attribuisce all’Agenzia per la cybersicurezza nazionale tutte le funzioni in materia di cybersicurezza già attribuite all’Agenzia per l’Italia digitale, i compiti di cui all’articolo 33-septies, comma 4, del decreto-legge n. 179 del 2012, e la qualificazione dei servizi cloud per la pubblica amministrazione, nonché l’articolo 17, comma 6, secondo periodo;
VISTO il decreto del Presidente del Consiglio dei ministri del 9 dicembre 2021, n. 223, recante: “Regolamento di organizzazione efunzionamento dell 'Agenzia per la cybersicurezza nazionale ”;
VISTO il decreto del Presidente del Consiglio dei ministri del 1° settembre 2022, pubblicato nella Gazzetta Ufficiale delle Repubblica italiana n. 246 del 20 ottobre 2022, recante: “Modalità e termini per assicurare il trasferimento delle funzioni, dei beni strumentali e della documentazione dall’Agenzia per l’Italia digitale e dal Dipartimento per la trasformazione digitale all'Agenzia per la cybersicurezza nazionale”'.
VISTA la determinazione del 15 dicembre 2021, n. 628, dell’Agenzia per l’Italia digitale, di adozione del “Regolamento reeante i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la PA e le caratteristiche di qualità, sicurezza, performance e scalabilità, portabilità dei servizi cloud per la pubblica amministrazione, le modalità di migrazione, nonché le modalità di qualiifcazione dei cloud per la pubblica amministrazione ”, di cui è stato dato avviso nella Gazzetta Ufifciale delle Repubblica italiana n. 19 del 25 gennaio 2022 (c.d. regolamento "'Cloud della PA”); VISTA la determina del 18 gennaio 2022, n. 306, dell’Agenzia per la cybersicurezza nazionale, recante l’adozione del modello per la predisposizione dell’elenco e della classificazione di dati e di servizi; VISI A la determina del 18 gennaio 2022, n. 307, dell’Agenzia per la cybersicurezza nazionale, di adozione dell’ “Aggiornamento degli ulteriori livelli minimi di sicurezza, capacità elaborativa, e affidabilità delle infrastrutture digitali per la pubblica amministrazione e delle ulteriori caratteristiche di qualità, sicurezza, performance e scalabilità dei servizi cloud per la pubblica amministrazione, nonché requisiti di qualificazione dei servizi cloud per la pubblica amministrazione ”;
VISTO il decreto del Direttore generale dell’Agenzia per la cybersicurezza nazionale del 2 gennaio 2023, prot. n. 29, recante, in attesa della definizione di un regime ordinario e a garanzia di un passaggio graduale verso un nuovo sistema di qualificazione, l’istituzione di un regime transitorio relativo alla qualificazione cloud per la Pubblica Amministrazione per garantire la continuità dei servizi qualificati già in uso dalle amministrazioni e per consentire una progressiva armonizzazione della nonnativa nazionale;
VISTO il decreto del Direttore generale dell’Agenzia per la cybersicurezza nazionale dell’8 febbraio 2023, prot. n. 5489, relativo al regime transitorio per l’adeguamento delle infrastrutture e dei servizi cloud per la pubblica amministrazione gestite on premise o tramite affidamento a società in house ovvero, per espressa previsione normativa, da società a controllo pubblico, come definite nel decreto legislativo 19 agosto 2016, n. 175;
VISTO il decreto del Direttore generale dell’Agenzia per la cybersicurezza nazionale del 28 luglio 2023, prot. n. 20610, recante modifiche ai livelli minimi delle infrastrutture e alle caratteristiche dei servizi cloud per le Pubbliche Amministrazioni, con il quale è stato, altresì, prorogato il regime transitorio fino al 31 gennaio 2024;
VISTO il decreto del Presidente del Consiglio dei ministri del 10 marzo 2023, con cui è stato conferito al Prefetto Bruno Frattasi l’incarico di Direttore generale dell’Agenzia;
CONSIDERATO che è stata completata la fase di predisposizione dello schema di Regolamento unico per le infrastrutture e i servizi cloud per la PA, di cui articolo 33-septies, comma 4, decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, destinato a razionalizzare gli interventi regolamentari vigenti, aggiornare le modalità di qualificazione delle infrastrutture digitali e caratteristiche dei servizi cloud per la pubblica amministrazione e adeguare i livelli minimi degli stessi, anche in servizi 2 di 4 relazione al rischio e aH’evoluzione della minaccia di natura cibernetica e tenuto conto degli standard di riferimento;
CONSIDERATO che il Regolamento contiene regole tecniche per le quali è necessario avviare la procedura di informazione alla Commissione europea ai sensi della Direttiva (UE) n. 2015/1535 del Parlamento europeo e del Consiglio del 9 settembre 2015;
CONSIDERATO che è stata avviata presso l’Unità centrale di notifica del Ministero imprese e del made in Italy, la procedura di informazione alla Commissione europea ai sensi della Direttiva (UE) n. 2015/1535 del Parlamento europeo e del Consiglio del 9 settembre 2015;
CONSIDERATO che nell’ambito di tale procedura di informazione è previsto che a partire dalla data di notifica del progetto, decorre un periodo di status quo di tre mesi, durante il quale lo Stato membro notificante non può adottare la regolamentazione tecnica notificata;
PRESO ATTO, pertanto, dell’esigenza di dover prorogare il regime transitorio fino al termine del periodo di osservazione del Regolamento da parte della Commissione europea;
CONSIDERATO che è stato trasmesso il testo del Regolamento al Garante per la protezione dei dati personali ai sensi dell’articolo 57, paragrafo 1, lettera c), del regolamento (UE) 2016/679;
D’INTESA con il Dipartimento per la trasformazione digitale della Presidenza del Consigi dei ministri; per
DECRETA
Articolo 1 (Definizioni)
1. Ai fini del presente decreto valgono le definizioni contenute nell’Allegato 1 della determina n. 307 del 18 gennaio 2022, dell'Agenzia per la cybersicurezza nazionale, di seguito denominata «ACN».
Articolo 2
(Modifiche ai livelli minimi delle infrastrutture e dei servizi cloud per le pubbliche amministrazioni)
1. All Allegato C della Determinazione n. 307 del 2022, sono apportate le seguenti modificazioni; a. al paragrafo 2.2, il primo sottoparagrafo è “un ’autocertifìcazione che attesti la conformità allo standard ISO 9001 sostituito dal seguente; Sistemi di 3 di 4 Gestione per la Qualità (SGQ). Il relativo campo di applicazione deve espressamente prevedere almeno le fasi di erogazione del servizio oggetto di qualifica e la prestazione del servizio di assistenza tecnica alla Pubblica Amministrazione italiana b. al sottoparagrafo 3.1, dopo il primo periodo è aggiunto il seguente: «Con riferimento al sottoparagrafo 3.1.7 di cui all’Allegato B2, il requisito descritto nel punto 7 della misura PR.DS-1 non si applica alle richieste di qualificazione QC2 avanzate durante il regime transitorio di cui al decreto del Direttore generale dell’ACN del 2 gennaio 2023, prot. n. 29.».
Articolo 3
(Proroga del regime transitorio)
1. Al decreto del Direttore generale dell’ACN del 2 gennaio 2023, prot. n. 29, sono apportate le seguenti modificazioni: articolo 3, al comma 1 le parole «31 gennaio 2024» sono sostituite dalle seguenti: «30 giugno 2024 o comunque dall’entrata in vigore del Regolamento antecedente».
Articolo 4
(Disposizioni finali e pubblicazione)
1. Per tutto quanto non espressamente disciplinato dal presente decreto si richiama quanto previsto dal regolamento adottato dall’AglD con Determinazione del 15 dicembre 2021 628, dalle determine n. 306 e n. 307 del 18 gennaio 2022 dell’ACN, dal decreto dell’ACN del 2 gennaio 2023, prot. n. 29, dal decreto dell’ACN del 8 febbraio 2023, prot. n. 5489 e dal decreto dell’ACN del 28 luglio 2023, prot. n. 20610. 2. Il presente decreto è pubblicato sul sito istituzionale dell’Agenzia per la cybersicurezza nazionale (www.acn.gov.it) e ne sarà data, altresì, notizia tramite pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana.
(Cybersicurezza: prorogato il regime transitorio nella Pa)