Reg. Unico Infrastrutture e Cloud PA: Focus su GDPR e Sostenibilità

Reg. Unico Infrastrutture e  Cloud PA: Focus su GDPR e Sostenibilità

L’Agenzia per la Cybersicurezza Nazionale (ACN), in collaborazione con il Dipartimento per la Trasformazione Digitale, ha recentemente approvato un Regolamento unico per le infrastrutture e i servizi cloud destinati alla Pubblica Amministrazione (PA) che è entrato in vigore dal 1° agosto 2024.

Questo regolamento rappresenta un passo fondamentale verso la creazione di una Pubblica Amministrazione più sicura, efficiente e sostenibile dal punto di vista ambientale. Tra i punti salienti del regolamento, il Capitolo 4 si distingue per il suo focus sulle Caratteristiche di Base per Dati e Servizi Strategici, con particolare attenzione alla conformità al Regolamento Generale sulla Protezione dei Dati (GDPR) e alle pratiche di sostenibilità ambientale.

Conformità al GDPR

Protezione dei Dati e Certificazioni di Sicurezza

Il GDPR, entrato in vigore nel maggio 2018, ha rivoluzionato il modo in cui le organizzazioni trattano i dati personali all’interno dell’Unione Europea. Il Capitolo 4 del Regolamento unico impone che tutte le soluzioni cloud utilizzate dalla PA siano pienamente conformi al GDPR. Questo significa che i fornitori di servizi cloud devono adottare tutte le misure necessarie per garantire la protezione e la privacy dei dati personali.

Una delle misure principali è l’implementazione di certificazioni di sicurezza riconosciute a livello internazionale, come la ISO/IEC 27001. Questa certificazione attesta che un’organizzazione ha messo in atto un sistema di gestione della sicurezza delle informazioni conforme ai più alti standard di protezione dei dati. L’obiettivo è assicurare che i dati siano trattati in modo sicuro e che siano protetti da accessi non autorizzati, perdite o danni.

Gestione dei Metadati e Audit Regolari

Oltre alle certificazioni di sicurezza, il regolamento richiede anche una gestione accurata dei metadati. I metadati, che includono informazioni sul contesto, il contenuto e la struttura dei dati, devono essere gestiti in modo da garantire la loro integrità e riservatezza. Questo processo deve essere supportato da audit regolari per verificare che le misure di sicurezza siano efficaci e che i dati siano protetti in modo adeguato.

Interoperabilità

Un ulteriore aspetto critico per la conformità al GDPR è l’interoperabilità. Le soluzioni cloud devono supportare standard aperti che consentano l’integrazione con altre piattaforme e servizi utilizzati dalla PA. Questo non solo facilita la gestione dei dati, ma assicura anche che le informazioni possano essere facilmente trasferite e utilizzate in modo sicuro e conforme alle normative.

Sostenibilità Ambientale

Energia Rinnovabile e Efficienza Energetica

Il Capitolo 4 del Regolamento unico pone una forte enfasi sulla sostenibilità ambientale, promuovendo l’uso di energie rinnovabili e l’efficienza energetica nelle infrastrutture cloud. I datacenter, che ospitano le apparecchiature IT e di telecomunicazione, sono noti per il loro elevato consumo energetico e la produzione di calore. Per affrontare queste sfide, il regolamento impone l’adozione di tecnologie a basso consumo energetico e sistemi di raffreddamento innovativi.

Power Usage Effectiveness (PUE)

Un indicatore chiave dell’efficienza energetica dei datacenter è il Power Usage Effectiveness (PUE). Il PUE misura il rapporto tra la totale energia consumata dal datacenter e l’energia utilizzata esclusivamente dalle apparecchiature IT. Il regolamento richiede che i datacenter mantengano un PUE massimo di 1,5, riflettendo un alto livello di efficienza energetica. Questo standard incoraggia l’uso di tecnologie avanzate per ridurre il consumo energetico e migliorare l’efficienza operativa.

Implementazione di Fonti di Energia Rinnovabile

Il regolamento sottolinea l’importanza di utilizzare energie rinnovabili per alimentare le infrastrutture IT. Le soluzioni cloud devono integrare fonti di energia sostenibile, come pannelli solari e altre tecnologie di energia rinnovabile. Questa pratica non solo riduce l’impatto ambientale delle infrastrutture IT, ma contribuisce anche a un modello di sviluppo eco-sostenibile.

Data Center Green

In linea con queste direttive, il regolamento promuove l’adozione dei cosiddetti “data center green”. Un data center green è progettato per minimizzare l’impatto ambientale massimizzando l’efficienza energetica. Questi centri dati utilizzano configurazioni di sistema interne e tecnologie che riducono efficacemente il consumo di energia e l’impronta di carbonio. Ad esempio, i data center green possono impiegare sistemi di raffreddamento avanzati che sfruttano tecnologie di gestione termica per mantenere temperature ottimali senza sprechi energetici.

Pratiche di Sostenibilità Ambientale

Standard di Gestione Energetica

Oltre all’uso di energie rinnovabili, il regolamento incoraggia altre pratiche di sostenibilità ambientale. Una di queste è l’adozione di standard di gestione energetica come ISO 50001, che fornisce un quadro per migliorare continuamente la gestione dell’energia e ridurre i costi operativi. Le organizzazioni devono adottare procedure formali per la gestione delle emissioni dei gas prodotti e dell’energia consumata, assicurando che le loro operazioni siano il più possibile eco-sostenibili.

Valutazione Annuale dell’Efficienza Energetica

Il regolamento richiede una valutazione annuale dell’efficienza energetica dei datacenter, utilizzando l’indicatore PUE. Questo processo di valutazione è essenziale per monitorare e migliorare continuamente le prestazioni energetiche, garantendo che le infrastrutture IT siano gestite in modo sostenibile.

Conclusioni

Il Regolamento unico per le infrastrutture e i servizi cloud della PA rappresenta un passo significativo verso una Pubblica Amministrazione più sicura, efficiente e sostenibile. L’attenzione alla conformità al GDPR assicura che i dati personali siano protetti e gestiti in modo responsabile, mentre le misure di sostenibilità ambientale riducono l’impatto ecologico delle infrastrutture IT. Adeguarsi a queste nuove disposizioni non è solo un obbligo normativo, ma un’opportunità per contribuire a un futuro più verde e sostenibile. Le amministrazioni pubbliche italiane sono così chiamate a diventare pionieri di un modello di sviluppo che può essere seguito da altre istituzioni e imprese, promuovendo una cultura della sicurezza e della sostenibilità che beneficia l’intera società.

Il Comitato Tecnico Scientifico Cybersecurity di ASSO DPO

Insieme al Gruppo di Lavoro Cybersecurity del Comitato Tecnico Scientifico di ASSO DPO – di cui sono onorato di farne parte e infiniti sono i ringraziamenti al coordinatore Marco Armoni,  a Dany Elie Aronovitch, a Stefano Aterno, a Manuela Bianchi e a Francesco Nesta – è stato steso un contributo e creato delle linee guida che aiutino tutti gli operatori a navigare all’interno dell’articolato testo, evidenziandone non solo gli argomenti e le novità rilevanti, ma anche le intersezioni con altri dettati normativi, nazionali ed europei, non ultimo il Regolamento UE 679/21016 in materia di trattamento dei dati personali.

Approfondite qui