Conflitto iraniano e cyberwar, attacchi in Italia, colpiti LeakBase e Tycoon 2FA

Le ultime dall’Italia, novità nel panorama APT, sfruttate ITW diverse vulnerabilità

 Vedi tutte
Legal

Il ruolo delle certificazioni ISO nella qualifica cloud ACN: sicurezza e qualità per la PA

Trattandosi di standard riconosciuti dal punto di vista internazionale e che definiscono i requisiti di riferimento per i sistemi di gestione in svariati ambiti e settori operativi, le certificazioni rilasciate dall’Organizzazione Internazionale per la Standardizzazione (ISO) assumono un’importanza non solo raccomandata per le aziende, ma spesso obbligatoria, stabilendo un ponte tra gli standard stabiliti a livello globale e i requisiti adottati a livello nazionale.

In questo contesto, tra i settori coinvolti dalle ISO, vi è l’utilizzo del Cloud da parte della Pubblica Amministrazione italiana, che ha subìto una profonda trasformazione con l’entrata in vigore del Regolamento per le Infrastrutture Digitali e per i Servizi Cloud per le Pubbliche Amministrazioni, adottato dall’Agenzia per la Cybersicurezza Nazionale (ACN) con il Decreto Direttoriale n. 21007/2024, ponendo la qualificazione dei servizi forniti come elemento centrale per garantire sicurezza, affidabilità e qualità degli stessi.

 

Il ruolo delle certificazioni ISO nella qualifica cloud ACN

La creazione di standard tecnici e qualitativi comuni per uniformare le practices aziendali all’interno della comunità internazionale è avvenuta al termine della Seconda guerra mondiale, con l’istituzione dell’International Organization for Standardization (ISO), incaricata di definire e di emanare gli standard ISO.

Lo scopo di questi standard si deduce anche dall’etimologia del termine “ISO” che, contrariamente a quanto si possa pensare, non è un mero acronimo, ma deriva dal greco ἴσος “uguale”, facendo desumere che l’obiettivo ricercato fosse proprio l’uniformità e l’armonizzazione a livello internazionale.

Tali standard non riguardano solo settori altamente tecnologici, bensì interessano anche numerosi aspetti della vita quotidiana. Ad esempio, in ambito medico, in tema di garanzia di qualità ed efficacia dei dispositivi medici e prodotti sanitari, gli standard ISO prevedono, a livello internazionale, l’uniformità delle modalità di progettazione e realizzazione dei presidi medici, allineando i criteri legali di commercializzazione nei mercati di riferimento, nonché sfruttando un approccio basato sul risk assessment e risk management, strutturato lungo tutto il ciclo vitale dei prodotti medici.

Inoltre, con riferimento alla sicurezza nella circolazione stradale, gli standard internazionali definiscono specifiche per le mobile driver’s licenses (mDLs), fissando requisiti in tema di storage sicuro, semplificazione della ID verification, con molteplici implicazioni funzionali (dalla verifica dell’identità in fase di check-in nelle strutture alberghiere all’apertura di conti correnti bancari), improntate all’interoperability tra diversi sistemi giurisdizionali, nonché sicurezza e scalabilità nella conservazione dei dati personali trattati.

Anche rispetto a tematiche fortemente attuali, come la promozione di una cultura organizzativa aziendale basata sul binomio “Diversity & Inclusion”, gli standard ISO incentivano una logica di reclutamento delle risorse umane nelle realtà coinvolte, pubbliche e private, mediante l’adozione di modelli fondati sulla sostenibilità sociale, bilanciando le eterogenee istanze provenienti dai diversi portatori di interesse coinvolti. Inoltre, al fine di garantire l’employee wellbeing, con particolare riguardo alle esigenze psicologiche dei lavoratori, le certificazioni ISO promuovono la creazione di una struttura che riesca a bilanciare le esigenze produttive aziendali con i bisogni personali dei dipendenti, tenendo in considerazione il cd. fattore umano.

Altro settore profondamente segnato dagli standard ISO è quello digitale, con particolare riferimento alle infrastrutture cloud. Infatti, con l’entrata in vigore del Regolamento per le Infrastrutture Digitali e per i Servizi Cloud, per le Pubbliche Amministrazioni (il Decreto Direttoriale n. 21007/2024, entrato in vigore il 1° agosto 2024), adeguarsi agli standard ISO, risulta imprescindibile per tutte quelle realtà che intendono interfacciarci con la PA offrendo servizi cloud. Ciò in quanto la qualificazione dei servizi è divenuto elemento centrale per garantire uniformità, sicurezza, affidabilità e qualità degli stessi. In particolare, in linea con gli obiettivi strategici individuati dall’Autorità per l’adozione dei citati standard, i fornitori dei suddetti servizi hanno adottato un meccanismo di monitoraggio e miglioramento continuo (Plan-Do-Check-Act), necessario ai fini del mantenimento del loro accreditamento presso l’ACN.

In questo contesto, le certificazioni rilasciate assumono un’importanza non solo raccomandata per le organizzazioni, ma spesso di fatto obbligatoria, stabilendo un ponte tra gli standard stabiliti a livello globale e i requisiti normativi nazionali richiesti. Non a caso, oggi le certificazioni non possono essere concepite come un semplice plus, ma diventano elementi probatori indispensabili per dimostrare l’aderenza delle aziende ai requisiti tecnici e organizzativi previsti dall’ACN ed ottenere, così, il livello di qualificazione richiesto per operare ed interfacciarsi con la PA.

logo ACNIn particolar modo, l’ACN ha riconosciuto centrali le certificazioni “Service Management” (ISO/IEC 20000) e “Business Continuity” (ISO 22301). Nel settore Cloud e IT, invece, alcune certificazioni ISO sono diventate dei pilastri di conformità ai più elevati livelli di best practice. In particolare, si possono citare la ISO/IEC 2700 per il Sistema di Gestione della Sicurezza delle Informazioni (SGSI), la ISO/IEC 27017 e ISO/IEC 27018 per la fornitura e l’utilizzo dei servizi Cloud, nel rispetto dei principi dettati dal GDPR. Inoltre, vi è la ISO/IEC 20000-1 sul Service Management System (SMS) per la qualità dei servizi IT erogati e la ISO 22301 sul Sistema di Gestione della Continuità Operativa (BCMS) nella gestione degli eventi di disaster recovery.

Il Regolamento ACN, inoltre, definisce diversi livelli di qualificazione (QC1-QC4 per i fornitori privati e AC1-AC4 per gli operatori pubblici, a seconda della classificazione dei dati in ordinari, critici, strategici). Ad esempio, per i livelli di qualifica più elevati, l’ACN richiede il possesso di diverse certificazioni ISO. Ad esempio, per QC2 e superiori, è richiesta la certificazione alla ISO/IEC 20000 (Service Management), mentre per QC3 e superiori, sono richieste la certificazione ISO 22301 (Business Continuity).

In conclusione, il Regolamento ACN non solo ha disciplinato in maniera formale il ruolo delle certificazioni ISO, individuandone le caratteristiche e le funzionalità, ma lo ha istituzionalizzato, poiché ha trasformato tali standard da benchmark di mercato in prerequisiti normativi per l’accesso, da parte di organizzazioni e fornitori di servizi, al mercato cloud della PA italiana. Questo approccio ha notevoli ripercussioni fattuali poiché, non solo eleva la soglia di sicurezza informatica nazionale richiesta, ma promuove anche l’adozione del cloud basata su standard di eccellenza e trasparenza, fondamentali per la digitalizzazione sicura del Paese.

 

Per altri articoli relativi alla normativa sulla cybersecurity si rimanda alla categoria Legal nel blog Telsy

Gli autori

Erica Onorati, laureata in Giurisprudenza all’Università LUISS Guido Carli di Roma con una tesi in diritto civile intitolata “Le clausole di rinegoziazione”, incentrata sull’analisi e sull’applicabilità della rinegoziazione in materia contrattuale. Ha poi conseguito un Executive Master presso il Sole 24 Ore Business School in Cybersecurity e Data Protection, avente ad oggetto l’analisi delle strategie per proteggere gli asset aziendali e prevenire i rischi informatici. Specializzata nel profilo di diritto civile, ha approfondito temi legati alla responsabilità contrattuale ed extracontrattuale e al diritto societario e commerciale. Dopo diverse esperienze maturate in ambito legale in contesti aziendali come giurista d’impresa, attualmente ricopre il ruolo di Legal Supervisor in Telsy, con un focus incentrato sulla gestione della contrattualistica d’impresa, sulla consulenza legale fornita alle linee di business coinvolte nei vari settori di operatività aziendale, sulle operazioni straordinarie e sulla segreteria societaria.

Federico Severoni è un professionista Senior con oltre 6 anni di esperienza nella Governance, Risk e Compliance (GRC), specializzato in infrastrutture critiche e settore ICT. Attualmente ricopre il ruolo di Quality e GRC Specialist presso Telsy S.p.A. (Gruppo TIM). Lead Auditor certificato per gli standard ISO 27001 e ISO 9001 , ha diretto i processi di conformità per il Laboratorio Accreditato di Prova riconosciuto dall’Agenzia per la Cybersicurezza Nazionale (ACN). Possiede un MBA e una formazione specialistica in IT Management presso la SDA Bocconi.

Federica Lucrezia Romeo, laureata in Giurisprudenza presso l’Università “La Sapienza” di Roma con una tesi in diritto penale dal titolo “Nesso di rischio ed interruzione del rapporto causale nella più recente evoluzione giurisprudenziale”, con la quale ha ottenuto un Tirocinio presso la Procura della Repubblica di Frosinone. In precedenza, ha svolto la professione legale ed attualmente ricopre il ruolo di Legal Specialist in Telsy.

Niccolò Francesco Terracciano, studente di Giurisprudenza presso l’Università LUISS Guido Carli di Roma, ha maturato esperienza in associazioni senza scopo di lucro, avendo modo di approfondire le tematiche relative al diritto commerciale e alla consulenza d’impresa. Attualmente, ricopre il ruolo di Legal Specialist in Telsy dove sta sviluppando in ambito aziendale le conoscenze teoriche apprese durante il percorso di studi in materia di diritto civile, societario e delle nuove tecnologie.