Cos'è l'Agenzia per la Cybersicurezza Nazionale
L'Agenzia per la Cybersicurezza Nazionale (ACN) è l'Autorità nazionale per la cybersicurezza a tutela degli interessi nazionali nel campo della cybersicurezza. L'Agenzia ha il compito di tutelare la sicurezza e la resilienza nello spazio cibernetico. Si occupa di prevenire e mitigare il maggior numero di attacchi cibernetici e di favorire il raggiungimento dell'autonomia tecnologica. Tra i principali compiti dell'Agenzia c'è l'attuazione della
Strategia Nazionale di Cybersicurezza, adottata dal Presidente del Consiglio, che contiene gli obiettivi da perseguire entro il 2026.
Cos'è la qualifica ACN
La qualifica ACN è il procedimento previsto dalla normativa nazionale in materia di cybersicurezza attraverso cui l'Agenzia per la Cybersicurezza Nazionale (ACN) verifica che i fornitori di servizi Cloud destinati alla Pubblica Amministrazione (PA) rispettino specifici requisiti di: sicurezza informatica, affidabilità e resilienza dei sistemi, qualità del servizio e conformità normativa.
I servizi Cloud destinati alla PA possono ottenere diversi livelli di qualificazione (QC1, QC2, QC3, QC4). Il livello richiesto dipende dalla tipologia di dati e servizi che la Pubblica Amministrazione intende gestire tramite il Cloud e dal livello di rischio associato. Maggiore è la criticità dei dati o dei servizi trattati, più elevati saranno i requisiti tecnici, organizzativi e di sicurezza richiesti al fornitore.
I Dati e Servizi vengono classificati in base al danno che una loro compromissione potrebbe provocare al sistema Paese:
- Strategico: Dati e servizi la cui compromissione può avere un impatto sulla sicurezza nazionale.
- Critico: Dati e servizi la cui compromissione potrebbe determinare un pregiudizio al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza e il benessere economico e sociale del Paese.
- Ordinario: Dati e servizi la cui compromissione non provochi l'interruzione di servizi dello Stato o, comunque, un pregiudizio per il benessere economico e sociale del Paese.
I servizi Cloud erogati da fornitori privati sono qualificati dall'Agenzia per la Cybersicurezza Nazionale secondo livelli QC (QC1-QC4), in funzione della classificazione dei dati e dei servizi trattati.
| Livello QC |
Ambito di utilizzo dei servizi cloud |
Classificazione Dati e Servizi |
| QC1 |
Per dati e servizi a basso impatto |
Ordinario |
| QC2 |
Con requisiti di sicurezza rafforzati |
Critico |
| QC3 |
Con requisiti elevati di sicurezza e resilienza |
Strategico |
| QC4 |
Con requisiti massimi di sicurezza |
Strategico |
Le Pubbliche Amministrazioni sono obbligate ad acquistare un servizio cloud qualificato dall'Agenzia per la Cybersicurezza Nazionale (ACN) con il livello coerente sulla base della tipologia di dati e servizi che gestisce. Di conseguenza, anche aziende private, operatori IT o system integrator, che offrono servizi alla Pubblica Amministrazione appoggiandosi a servizi IaaS o PaaS di un Cloud Server Provider, devono utilizzare servizi Cloud qualificati per garantire la conformità lungo tutta la filiera digitale.
La verifica della conformità deve essere effettuata prima della messa in esercizio del servizio e mantenuta per tutta la durata dell'utilizzo del servizio.
Per la conformità ai requisiti dell'Agenzia per la Cybersicurezza Nazionale (ACN) per la gestione dei dati e servizi ordinari, critici e strategici delle Pubblicazioni Amministrazioni (livello QC3 di qualifica), è necessario configurare specifiche funzionalità:
Hai bisogno di assistenza per la corretta configurazione del servizio conforme alla qualifica ACN?
CONTATTACI.
I servizi Aruba Cloud presuppongono un coinvolgimento attivo del cliente nella gestione e nella protezione del proprio ambiente. La conformità ai requisiti ACN deve essere mantenuta nel tempo attraverso una corretta configurazione e gestione operativa. A titolo esemplificativo e non esaustivo, il cliente è responsabile di:
- Attivare e mantenere la cifratura con chiavi gestite tramite KMS per tutte le risorse attive nel servizio.
- Configurare e monitorare correttamente i piani di backup, garantendo la presenza della seconda copia e dimensionando adeguatamente lo storage.
- Eseguire periodicamente test di ripristino (restore) e verifiche di integrità dei backup.
- Abilitare l'autenticazione a due fattori (2FA) per tutti gli accessi amministrativi ai pannelli di gestione e alle console di controllo del servizio.
- Limitare gli accessi privilegiati secondo il principio del "least privilege".
- Valutare l'attivazione di un servizio di Disaster Recovery, dimensionato in coerenza con i propri obiettivi di RTO e RPO, ed eseguire periodicamente test di failover.