Dopo una lunga e trasparente collaborazione tra Amazon Web Services e l’Agenzia per la Cybersicurezza Nazionale arriva il via libera dalla ACN ad eseguire workload critici sul cloud di AWS.

Amazon Web Service (AWS) ha ottenuto dall’Agenzia per la Cybersicurezza Nazionale (ACN) la qualificazione per gestire i workload CRITICI del settore pubblico italiano su public cloud. ACN ha qualificato sia l’infrastruttura cloud di AWS sia 130 servizi cloud di AWS, che erano già qualificati per gestire i workload ORDINARI.

Tale livello di qualificazione, identificato come livello QI2/QC2 nei requisiti previsti nella Determinazione n. 307/2022 di ACN, autorizza i clienti e i partner di AWS ad utilizzare il cloud di AWS per gestire workload critici, come ad esempio i workload sanitari.

Aver conseguito la qualifica ACN QI2/QC2 per la gestione di dati e carichi di lavoro critici significa che l’infrastruttura e servizi cloud di AWS soddisfano oltre 360 requisiti di sicurezza, capacità di elaborazione, affidabilità dell’infrastruttura e scalabilità dei servizi cloud, inclusi il possesso delle più importanti certificazione di qualità e sicurezza come ISO 9001, ISO/IEC 27001:2013, ISO/IEC 27017:2015, ISO/IEC 27018:2019, Cloud Security Alliance – Star Level 2, ISO 22301 e ISO 20000.

La qualificazione dell’infrastruttura e dei servizi cloud, sviluppata dal Dipartimento per la Trasformazione Digitale (DTD) e dall’Agenzia per la Cybersicurezza Nazionale ACN, è parte integrante della Strategia Cloud italiana. La strategia Cloud per la PA, che contiene le linee guida per la migrazione di dati e servizi digitali della Pubblica Amministrazione italiana verso il cloud, si declina sulla base delle seguenti linee di indirizzo strategico:

1. Classificazione dei Dati e dei Servizi: definizione di un processo di classificazione dei dati per guidare e supportare la migrazione dei dati e servizi della PA sul Cloud;
2. Qualificazione dei Servizi Cloud: realizzazione di un processo sistematico di scrutinio e qualificazione dei servizi Cloud utilizzabili dalla PA;
3. Polo Strategico Nazionale: creazione di un’infrastruttura nazionale per l’erogazione di servizi Cloud, la cui gestione e controllo siano autonomi da soggetti extra UE.

La strategia cloud italiana si fonda sul principio che le pubbliche amministrazioni gestiscono dati e carichi di lavoro che operano a diversi livelli di criticità. Quando esse migrano da una soluzione locale al cloud, le pubbliche amministrazioni devono identificare a quale classe di criticità appartengono i propri carichi di lavoro e i propri dati, prima di migrarli in cloud.

ACN ha identificato le seguenti tre classi di criticità in relazione ai danni che potrebbero essere causati al Paese in caso di violazione in termini di riservatezza, integrità e disponibilità.

• Ordinario: dati e servizi la cui compromissione non provochi l’interruzione di servizi dello Stato o, comunque, un pregiudizio per il benessere economico e sociale del Paese.
• Critico: dati e servizi la cui compromissione potrebbe determinare un pregiudizio al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza e il benessere economico e sociale del Paese.
• Strategico: dati e servizi la cui compromissione può avere un impatto sulla sicurezza nazionale.

Classi diverse di criticità richiedono livelli diversi di qualifica secondo lo schema seguente.

Grazie alla presenza della regione AWS Europa (Milano), fin da aprile 2020, e alla qualifica QI2/QC2, i clienti e partner di AWS possono essere confidenti nel progettare e sviluppare servizi cloud innovativi che gestiscono i carichi di lavoro CRITICI della Pubblica Amministrazione italiana, che sono in esecuzione sull’infrastruttura cloud AWS e che sono conformi alla strategia Cloud per la PA.

I clienti e i partner di AWS possono fare riferimento alla qualifica AWS QI2/QC2 per confermare che l’ambiente di controllo AWS è progettato e implementato in modo conforme ai requisiti tecnici ed operativi previsti da ACN per la gestione dei workload critici della PA. Ricevendo tale qualifica, AWS dimostra il proprio impegno a soddisfare le più elevate aspettative di sicurezza per i fornitori di servizi cloud stabilite da ACN.