Vai al contenuto principaleVai al footer
Dipartimento per la trasformazione digitaleDTD + Agenzia per la Cybersicurezza NazionaleACN
Logo Cloud Italia
Cloud Italia
Il Cloud della Pubblica Amministrazione

Novità PNRR

Scopri come accedere ai fondi per la migrazione al cloud di Comuni e scuole
Vai al sito PA digitale 2026

Quadro regolatorio

Il percorso attuale indicato dall'Agenzia Nazionale per la Cybersicurezza

La qualificazione dei servizi cloud rappresenta una delle linee di indirizzo della Strategia Cloud Italia, e ha l’obiettivo di semplificare e regolamentare, dal punto di vista tecnico e amministrativo, l’acquisizione di servizi cloud da parte della PA. Da un punto di vista generale, la Strategia Cloud Italia guida e favorisce l’adozione sicura, controllata e completa delle tecnologie cloud da parte del settore pubblico, in linea con i principi di tutela della privacy e con le raccomandazioni delle istituzioni europee e nazionali.

L'evoluzione del quadro normativo: la determina di ACN

Dal 19 gennaio 2023 la qualificazione dei servizi cloud per la Pubblica Amministrazione diventa di competenza dell’Agenzia per la cybersicurezza nazionale, che subentra all’Agenzia per l’Italia digitale (AGID).

La nuova procedura di qualificazione è indicata nel Decreto direttoriale n. 29 del 2 gennaio 2023 ed è stata aggiornata con il Decreto direttoriale n. 20610 del 28 luglio 2023 (PDF, 681 KB). Per garantire la continuità dei servizi qualificati già in uso dalle pubbliche amministrazione e per consentire una graduale armonizzazione della normativa nazionale, la determina prevede un regime transitorio prima della gestione ordinaria della qualificazione.

Fino al gennaio 2024 è previsto un regime transitorio. Durante questo periodo, i fornitori già in possesso di una qualificazione ancora valida, ottenuta ai sensi delle circolari AGID n. 2 e n. 3 del 2018, rientreranno nelle nuove qualifiche corrispondenti al trattamento di dati e ai servizi di natura ordinaria: livello QC1 per i servizi e livello Ql1 per le infrastrutture. Le nuove qualifiche saranno valide fino al 18 gennaio 2024.

Le qualifiche QC1 e QI1 in corso di validità consentono di continuare, in deroga fino al 30 aprile 2023, il trattamento di dati e servizi critici e strategici delle PA già in essere.

Tutte le pubbliche amministrazioni che, applicando la metodologia di classificazione indicata nella determina ACN n. 306 del 18 gennaio 2022, utilizzano fornitori cloud per la gestione di dati e servizi critici e strategici devono entro il 28 febbraio 2023:

  • informare i fornitori interessati per valutare eventuali adeguamenti;
  • inviare alla Pec di ACN (acn@pec.acn.gov.it) i dettagli relativi ai dati e servizi critici o strategici gestiti tramite servizi e infrastrutture cloud.

I fornitori privi di una qualificazione valida o che intendano promuovere un servizio o una infrastruttura già qualificati possono inviare ad ACN un’autodichiarazione per attestare di aver attuato le misure previste dalla determina n. 307 del 18 gennaio 2022, per il livello di qualificazione desiderato (QC1-QC4 per i Servizi, QI1-QI4 per le Infrastrutture). La qualificazione che ne risulterà sarà valida un anno a partire dalla data di concessione.

Il regime ordinario di qualificazione partirà dal 1 agosto 2023 con la pubblicazione del nuovo Regolamento ACN relativo all’aggiornamento delle misure tecnico-organizzative e delle modalità di qualificazione di servizi e infrastrutture cloud. La nuova procedura di qualificazione avverrà attraverso una nuova piattaforma dedicata.

Scopri le modalità e le tempistiche di qualificazione sul sito di ACN.

Gli atti successivi al Regolamento Cloud

A gennaio 2022 e seguendo le disposizioni del Regolamento AGID, l’Agenzia nazionale per la cybersicurezza ha predisposto, con determina n. 307 (PDF, 1.3 MB e allegato (PDF, 2.3 MB), i livelli minimi e le caratteristiche che devono assicurare le infrastrutture digitali e i servizi cloud di cui si avvalgono le pubbliche amministrazioni ulteriori rispetto a quelli definiti dal Regolamento Cloud. ACN fornirà le indicazioni sul nuovo percorso di qualificazione dei servizi cloud per la PA che i fornitori dovranno adottare entro il 18 gennaio 2023 per poter qualificare i propri servizi cloud ed erogarli alle pubbliche amministrazioni.

Allo stesso tempo, con determina n. 306 (PDF, 1.4 MB) e allegato (PDF, 39 KB), ACN ha diffuso il modello che definisce un processo sistematico di classificazione dei dati e dei servizi gestiti dalle PA.

Vai al sito di ACN

A dicembre 2021, l’Agenzia per l’Italia Digitale (AGID) ha indicato, nel Regolamento per il Cloud della PA (PDF, 758 KB), pubblicato il 15 dicembre 2021, le evoluzioni del percorso di qualificazione cloud per servizi e infrastrutture cloud per la Pubblica Amministrazione. Il regolamento illustra i requisiti minimi per le infrastrutture digitali, le caratteristiche e le modalità di qualificazione e migrazione dei servizi cloud.

Inoltre, il regolamento:

  • stabilisce i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la pubblica amministrazione;
  • definisce le caratteristiche di qualità, di sicurezza, di performance e scalabilità, interoperabilità, portabilità dei servizi cloud per la pubblica amministrazione;
  • individua i termini e le modalità con cui le amministrazioni devono effettuare le migrazioni, anche stabilendo il processo e le modalità per la classificazione dei dati e dei servizi digitali delle pubbliche amministrazioni;
  • indica le modalità del procedimento di qualificazione dei servizi cloud per la PA.