Percorso di Qualificazione ACN per Infrastrutture e Servizi Cloud
L’Agenzia per la Cybersicurezza Nazionale (ACN) ha definito un percorso di qualificazione per le infrastrutture tecnologiche e i servizi cloud destinati alla Pubblica Amministrazione (PA). Questo processo stabilisce i requisiti tecnici e organizzativi che devono essere rispettati dai fornitori.
Il Regolamento ACN 21007/24 si inserisce nell’ambito della digitalizzazione della PA in Italia, disciplinando:
1. Qualificazione dei Fornitori Privati: un processo rigoroso per garantire servizi cloud
sicuri, efficienti e conformi alle normative italiane ed europee. in materia di protezione
dei dati, sicurezza informatica, e altri requisiti legali.
2. Adeguamento delle PA: obblighi di conformarsi a specifici standard di sicurezza e compliance per l’uso dei servizi cloud.

Qualificazione per Fornitori Privati
I fornitori privati devono seguire un percorso che prevede le seguenti fasi:

• Richiesta di Qualificazione: presentare una richiesta formale all’Agenzia per la Cybersicurezza Nazionale (ACN), che includa dettagli specifici sui servizi cloud offerti, la tipologia di qualificazione richiesta e la documentazione necessaria a dimostrare il rispetto dei requisiti minimi di sicurezza e qualità.
• Verifica: ACN, entro 60 giorni dalla ricezione della domanda, verifica la conformità ai requisiti richiesti. I controlli tecnici e le verifiche di sicurezza possono comportare l’accesso all’infrastruttura fisica e logica del fornitore.
• Valutazione: La richiesta può essere accettata, respinta o accettata con riserve (indicazione nel catalogo come “qualificato con condizioni”).
• Monitoraggio: Successivamente alla qualificazione nel catalogo, ACN verifica periodicamente che i requisiti minimi di sicurezza e qualità siano mantenuti. Nel caso in cui vengano riscontrate difformità, il fornitore deve adeguarsi entro un termine stabilito o rischia la revoca della qualificazione.

Adeguamento delle Amministrazioni Pubbliche
Le amministrazioni pubbliche non sono soggette a un processo di qualificazione, ma devono:

• Dichiarare Conformità: Fornire autodichiarazioni relative alla conformità alle normative e ai protocolli di sicurezza adottati.
• Compliance alle politiche di sicurezza interne: Le amministrazioni pubbliche devono garantire che l’uso dei servizi cloud sia compatibile con le proprie politiche di sicurezza informatica, gestione dei dati e privacy. Devono adottare misure per garantire la protezione dei dati trattati, rispettare i principi di gestione dei dati sensibili e non sensibili, e mantenere la tracciabilità delle operazioni.
• Rispettare le direttive nazionali e locali: Le amministrazioni pubbliche sono tenute a seguire le direttive e le linee guida stabilite per l’acquisizione e l’uso di servizi cloud. L’adeguamento riguarda anche la gestione dei contratti e delle procedure di gara.
• Obbligo di monitoraggio e audit: Le amministrazioni pubbliche devono attuare piani di monitoraggio e audit per verificare che i fornitori di servizi cloud mantengano gli standard di sicurezza e prestazioni previsti; sono inoltre responsabili di garantire che la loro infrastruttura cloud sia adeguata a supportare le necessità operative nonché a garantire la continuità del servizio.
• Pianificare il Disaster Recovery: Le PA devono assicurarsi che i fornitori cloud offrano soluzioni adeguate di disaster recovery e business continuità; devono altresì sviluppare e implementare proprie politiche interne di continuità operativa, nel caso in cui i servizi cloud non siano più disponibili.

Il Ruolo di PuntoZero Scarl
PuntoZero, in quanto società in-house della PA Umbra, agli effetti del regolamento ACN 21007/24, segue il percorso previsto per le pubbliche amministrazioni.
Collaborazione con ACN e CSIRT Italia: PuntoZero, al fine di condividere informazioni riguardo a compromissioni/vulnerabilità rilevate e concordare contromisure di soluzione/mitigazione che siano attuate in coerenza con le indicazioni a livello nazionale, ha attivato canali diretti con ACN e CSIRT Italia (Computer Security Incident Response Team)
Percorso di Evoluzione Cybersecurity: PuntoZero, grazie a progettualità già portate a conclusione e ad altre progettualità, finanziate da ACN stessa, ha definito un percorso di evoluzione in ambito cybersecurity coerente con i requisiti richiesti dal regolamento ACN n. 21007/24, che prevede:
- Istituzione del SOC regionale;
- Istituzione dello CSIRT regionale;
- Certificazione ISO 14001;
- Mantenimento certificazione ISO 27001,27017 e 27018;
- Automazione delle funzioni di Vulnerability Assessment e Penetration Test;
- Miglioramento continuo del livello di controllo del traffico di rete e degli eventi cyber.

Contatti
Per ulteriori chiarimenti, è possibile contattare: info@puntozeroscarl.it

Link

Agenzia per la Cybersicurezza Nazionale > Qualificazione e adeguamento infrastrutture