Nel corso dell’ultimo anno e mezzo abbiamo assistito a un incremento degli attacchi cyber in ambito nazionale che hanno coinvolto anche i dati sanitari. La relazione annuale al Parlamento 2023 dell’Agenzia per la cybersicurezza nazionale (ACN) fornisce un interessante spaccato dettagliato sia delle tipologie di attacco, sia dei settori di attività dei soggetti target. Nello stesso tempo, grazie ai fondi del PNRR, stiamo assistendo a una fase di potenziamento del Fascicolo Sanitario Elettronico (si parla infatti di FSE 2.0) con i conseguenti temi e potenziali rischi in ambito di cybersicurezza.
La Strategia Cloud Italia
In questo quadro occorre tenere presente la scelta del nostro Paese, intrapresa a fine 2021, con l’adozione della Strategia Cloud Italia, realizzata dal Dipartimento per la trasformazione digitale e dall’Agenzia per la cybersicurezza nazionale (ACN), che contiene gli indirizzi strategici per il percorso di migrazione verso il cloud di dati e servizi digitali della Pubblica Amministrazione (c.d. approccio basato cloud first).
La strategia si fonda su tre obiettivi:
1) l’autonomia tecnologica per garantire l’autonomia nel controllo delle infrastrutture digitali del cloud e, di conseguenza, nello stoccaggio e nell’elaborazione dei dati;
2) il controllo sui dati per assicurare che i dati gestiti dalla PA non siano esposti a rischi sistemici da parte di fornitori extra-UE, ad es. l’accesso da parte di governi di Paesi terzi;
3) gli aspetti di resilienza per innalzare il livello di resilienza nei confronti di incidenti, ad es. cyber, e/o guasti tecnici, attraverso controlli di sicurezza e requisiti che garantiscano la continuità di servizio.
La Strategia Cloud Italia si muove quindi secondo tre direttrici volte a guidare gli Enti della PA nelle scelte che devono intraprendere rispetto alle diverse soluzioni di migrazioni su cloud, ovvero:
- La classificazione dei dati e dei servizi sulla base del danno che una loro compromissione potrebbe provocare al sistema Paese, la classificazione si fonda su tre classi in ordine decrescente:
- strategico ovvero dati e servizi la cui compromissione può avere un impatto sulla sicurezza nazionale (ad es. Aziende del Perimetro di Sicurezza Nazionale Cibernetica, Infrastrutture critiche secondo la direttiva NIS con servizi a valenza nazionale);
- critico ovvero dati e servizi la cui compromissione potrebbe determinare un pregiudizio al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza e il benessere economico e sociale del Paese (ad es. Aziende Sanitarie);
- ordinario ovvero dati e servizi la cui compromissione non provochi l’interruzione di servizi dello Stato o, comunque, un pregiudizio per il benessere economico e sociale del Paese.
Classificazione
È bene chiarire che la classificazione avviene attraverso un processo di autoanalisi svolto dall’Ente pubblico, sulla base di un questionario predisposto da ACN da inviare telematicamente che può sempre essere aggiornare o modificare in presenza di nuovi servizi o variazioni delle caratteristiche dei servizi già classificati. Su questo, ACN ha la possibilità di chiedere un approfondimento. Al momento non esite, invece, una indicazione di ACN per una classificazione analoga da parte delle aziende private.
- La qualificazione dei servizi cloud finalizzata a regolamentare l’acquisizione di servizi cloud offerti dai privati alla PA. I privati, fornitori di servizi cloud, per potersi qualificare presso ACN devono infatti possedere specifici requisiti di certificazioni (ad es. ISO 9001, ISO/IEC 27001:2013 con estensione ISO/IEC 27017 e ISO/IEC 27018:2019 o in alternativa la CSA Star Level 2, ecc.) nonché specifiche caratteristiche di qualità, sicurezza, performance e scalabilità, interoperabilità e portabilità dei servizi cloud, o livelli minimi di sicurezza e affidabilità, capacità elaborativa, risparmio energetico delle infrastrutture digitali. I livelli di qualificazione sono suddivisi in quattro (QC1-QC4 per i servizi e QI1-QI4 per le infrastrutture, questi ultimi con la nomenclatura di AI1-AI4, a partire dal 1° agosto) sulla base della possibilità di poter trattare dati e servizi classificati come ordinari, critici o strategici. Il punto di arrivo è la pubblicazione da parte di ACN della scheda del servizio cloud che ha ottenuto la qualificazione nel Catalogo delle infrastrutture e dei servizi cloud per le pubbliche amministrazioni, consultabile qui.
- Il Polo Strategico Nazionale, che ha il compito di gestire l’infrastruttura fisica server cloud per la PA, è articolato su quattro data center distribuiti in due aree al Nord (Rozzano e Santo Stefano Ticino in Lombardia) e due al Centro-Sud (Acilia e Pomezia nel Lazio). L’obiettivo è quello di ospitare entro il 2026 i dati ed i servizi critici e strategici del 75% di tutte le amministrazioni centrali (circa 200), delle Aziende Sanitarie Locali (ASL) e delle principali amministrazioni locali (Regioni, città metropolitane, comuni con più di 250 mila abitanti). Il PSN è gestito, in virtù di una convenzione della durata di 13 anni complessivi, dalla Società Polo Strategico Nazionale S.p.A, composta da Tim, Leonardo, Cassa Deposito e Prestiti (attraverso la controllata CDP Equity) e SOGEI.
In tale quadro le aziende private, che vogliono fornire servizi cloud alla PA in ambito sanitario, devono quindi pensare di qualificarsi presso ACN con il livello QC1 e QC2, tenendo conto che il regime di qualificazione in essere è, sino al 31 luglio 2024, un regime transitorio e che in ogni caso la qualificazione ottenuta sino a tale dura, al momento, 12 mesi.
Il Regolamento per le infrastrutture digitali e per i servizi cloud
Si deve infine ricordare che il 27 giugno scorso, ACN ha adottato con Decreto Direttoriale n. 21007/24 il nuovo Regolamento per le Infrastrutture Digitali e per i Servizi Cloud per le Pubbliche Amministrazioni che sarà applicabile a partire dal 1° agosto 2024, dando il via al regime ordinario. Il Regolamento, che abroga e pone fine ai vari provvedimenti del regime transitorio, ha aggiornato i livelli minimi di sicurezza e le caratteristiche richieste per la qualificazione delle infrastrutture e dei servizi cloud introducendo, inoltre, anche un termine differito di sei mesi per l’applicazione di alcuni requisiti aggiuntivi rispetto a quelli minimi. Viene inoltre normato un processo di adeguamento dei servizi cloud per le PA erogati da un soggetto pubblico, da società in house, ovvero, per espressa previsione normativa, da società a controllo pubblico (qualificazione AC1-AC4).
La classificazione ottenuta, per ogni servizio cloud offerto, avrà una durata di trentasei mesi, con la possibilità di ACN di effettuare delle verifiche per accertare il possesso e il mantenimento dei requisiti richieste dalla normativa.
A conclusione di questa breve disamina, è interessante notare come, nell’ambito di questo framework normativo-organizzativo, le aziende ospedaliere e le ASL abbiano classificato i lori dati e servizi per il 38% come ordinari e per il 62% come critici (fonte: relazione annuale al Parlamento 2022 di ACN) e ciò a dimostrazione come sia chiara l’importanza dei dati sanitari per il Sistema Paese e per i singoli cittadini.
