Bur n. 167 del 22 dicembre 2023

Materia: Informatica

Deliberazione della Giunta Regionale n. 1331 del 07 novembre 2023

Approvazione dello schema di Convenzione tra la Regione del Veneto e i Soggetti individuati dalla DGR n. 532 del 30/04/2018 e dalla DGR n. 826 del 04/07/2023 per l'adesione al Polo Strategico Regionale e per la fruizione di servizi di infrastruttura cloud. Determinazione 628/2021 dell'Agenzia per l'Italia Digitale, Decreto n. 307 del 18/01/2022 dell'Agenzia per la Cybersicurezza Nazionale (ACN).

L'Assessore Francesco Calzavara, di concerto con l'Assessore Manuela Lanzarin, riferisce quanto segue.

L'Amministrazione regionale promuove la diffusione delle tecnologie digitali per sostenere un processo ampio d'innovazione e di crescita della competitività del territorio veneto, investendo risorse destinate ad azioni complementari a quelle di tipo infrastrutturale. In tale senso nell’ottica di dare concreta attuazione al disegno costitutivo dell’ADVeneto2020 approvato con DGR n. 978 del 27/06/2017, con successiva DGR n. 532 del 30/04/2018 si è ritenuto opportuno intraprendere una linea evolutiva unitaria per il governo dei Sistemi Informativi veneti che, consolidando le esigenze espresse dai differenti attori della PA presenti sul territorio veneto (vale a dire: Regione, attori dell’area socio-sanitaria, Enti partecipati, Comuni, Centri Servizi Territoriali, consorzi ecc.), possa costituire la necessaria “massa critica” per perseguire un progetto coerente, in grado di conseguire gli obiettivi primari dell’efficienza, dell’innovazione e della flessibilità.

A tal fine con DGR n. 532/2018 è stato autorizzato l’avvio del Progetto di Convergenza Infrastrutturale per la definizione di un programma di ottimizzazione dei Sistemi Informativi regionali che ha coinvolto il Consiglio Regionale del Veneto, ARPAV, AVEPA, Azienda Zero, Veneto Agricoltura, Veneto Lavoro, Veneto Strade e Veneto Innovazione, finalizzato:

• alla definizione di un programma di ottimizzazione dei Sistemi Informativi di medio periodo (3-5 anni) e all’attivazione di un HUB-regionale capace di offrire una serie di servizi infrastrutturali condivisi tra tutti gli attori del sistema;
• ad ottenere economie di scala, servizi di migliore qualità e scalabilità nativa attraverso un mix dinamico di on-site e cloud.

In particolare il programma di ottimizzazione dei Sistemi Informativi era caratterizzato da:

• elevato livello di innovazione/flessibilità, per consentire di sperimentare (in modo non vincolante) i nuovi servizi commerciali offerti dai cloud provider, valorizzando nel contempo i percorsi evolutivi già intrapresi dai singoli Enti coinvolti nella convergenza;
• sistemi di business continuity e disaster recovery nativi, al fine di garantire un elevatissimo livello di sicurezza;
• corretto posizionamento della soluzione di regime rispetto al contesto nazionale, attraverso la valorizzazione delle infrastrutture qualificabili come Poli Strategici Nazionali (PSN);
• coerenza con le finalità/tempistiche dei programmi POR FESR 2014-2020;
• partnership e valorizzazione del mercato ICT.

Inoltre, in fase attuativa il Progetto di Convergenza avrebbe dovuto dare luogo alla condivisione di una serie di servizi infrastrutturali (sia in modalità On site che MultiCloud) relativi non solo ad infrastrutture immateriali (es. API management, Intelligenza Artificiale, Polo Archivistico, Pagamenti, Identità e Profilatura, Sicurezza Logica) ma anche ad infrastrutture fisiche (es. Hypervisor, Compute, Storage, Data Base, Networking, Sicurezza fisica).

A seguito dell’avvio del sopra citato Progetto si è addivenuti alla stipula della Convenzione di Convergenza con gli Enti individuati dalla DGR n. 532/2018, tra cui anche Azienda Zero. La Convenzione non prevedeva oneri economici connessi alla stipula della stessa, in quanto gli stessi erano integralmente sostenuti da Regione del Veneto.

Nel 2021 l’Agenzia per l’Italia Digitale (AGID) ha pubblicato la "Strategia Cloud Italia" con l'obiettivo di fornire l'indirizzo strategico per l'implementazione e il controllo di soluzioni Cloud nella Pubblica Amministrazione. La migrazione al Cloud permette alle pubbliche amministrazioni di fornire servizi digitali e di disporre di infrastrutture tecnologiche sicure, efficienti ed affidabili, in linea con i principi di tutela della privacy, con le raccomandazioni delle istituzioni europee e nazionali, mantenendo le necessarie garanzie di autonomia strategica del Paese, di sicurezza e controllo nazionale sui dati.

AGID inoltre con Determinazione 628/2021, in attuazione dell’art. 33 septies, comma 4, del Decreto Legge 18 ottobre 2012, n. 170, convertito, con modificazioni, dalla Legge 17 dicembre 2012, n. 221, ha adottato il "Regolamento recante i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la PA e le caratteristiche di qualità, sicurezza, performance e scalabilità, portabilità dei servizi cloud per la pubblica amministrazione, le modalità di migrazione nonché le modalità di qualificazione dei servizi cloud per la pubblica amministrazione", che costituisce il tassello abilitante della Strategia Cloud Italia per l'evoluzione tecnologica delle infrastrutture digitali della Pubblica Amministrazione e per l'adozione del modello cloud per i servizi pubblici. Tale Regolamento stabilisce che le amministrazioni pubbliche devono migrare dati e servizi digitali verso le infrastrutture digitali (PSN o infrastrutture PA qualificata) oppure verso i servizi cloud che rispettino i requisiti e abbiano la qualificazione come indicato nei punti precedenti, entro il 30 giugno 2026, secondo un piano di migrazione presentato dalle amministrazioni stesse.

L’Agenzia per la Cybersicurezza Nazionale (ACN) con Decreto n. 307 del 18/01/2022 ha provveduto:

- ad aggiornare i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture per la pubblica amministrazione che possono trattare i dati e i servizi digitali classificati quali ordinari, critici e strategici ai sensi dell’art. 3 del Regolamento;

- ad aggiornare le caratteristiche di qualità, di sicurezza, di performance e scalabilità, interoperabilità, portabilità dei servizi cloud per la pubblica amministrazione che possono trattare i dati e i servizi digitali classificati quali ordinari, critici e strategici ai sensi dell’art. 3 del Regolamento;

- a definire i requisiti per la qualificazione dei servizi cloud per la pubblica amministrazione.

Con tale decreto ACN ha predisposto quindi l’elenco dei requisiti strutturali, organizzativi e tecnici che le infrastrutture per la pubblica amministrazione devono avere per poter operare con Cloud Service Provider; tali infrastrutture devono disporre di catalogo dei servizi offerti ed esporre i livelli di servizio garantiti.

In linea con le disposizioni nazionali la Giunta regionale con DGR n. 156 del 22/02/2022 ha approvato il documento programmatico "Linee Guida dell'Agenda Digitale del Veneto – ADVeneto 2025", in attuazione della DGR n. 880 del 30/06/2021, e ha previsto l’azione “Cloud del futuro” dove si afferma che è di fondamentale importanza che si acceleri il passaggio al cloud in quanto offre maggior flessibilità, minori o assenti costi legati di gestione e manutenzione delle macchine fisiche, maggior sicurezza, minori consumi di energia elettrica; inoltre, consente l’uso di applicazioni basate sul cloud ovunque e in qualsiasi momento.

La Regione del Veneto, nell’ambito dell'avviso pubblico finanziato dalla Presidenza del Consiglio dei Ministri, Dipartimento per la trasformazione digitale con fondi P.N.R.R. per sostenere le Pubbliche Amministrazioni, ivi comprese le Aziende del Sistema Sanitario regionale, nella migrazione dei dati critici (ovvero dati medicali o sanitari) e dei dati ordinari (ossia dati amministrativi) al Polo Strategico Nazionale, a valere sulle risorse dell’Investimento 1.1 o in altri cloud qualificati a valere sull’Investimento 1.2., con DGR n. 826 del 04/07/2023 ha inoltre approvato la Strategia di migrazione cloud 2023-2026 per tutta la sanità regionale, incaricando Azienda Zero di coordinare le Aziende del Sistema Sanitario regionale nelle azioni previste nel piano in questione.

Trattasi di strategia che ha lo scopo di definire la costituzione di un Polo Strategico Regionale (PSR) - Infrastruttura PA qualificata - a supporto della PA Veneta e prevede la realizzazione di un HUB unico che integra il costituendo Polo Strategico Regionale (PSR) con il Polo Strategico Nazionale (PSN) al fine di permettere alla Regione la gestione e l'orchestrazione integrata e unica delle risorse computazionali PSR/PSN.

Tale Polo Strategico Regionale denominato “Infrastruttura PA di Regione del Veneto”, che coincide con il Data Center regionale ospitato presso la Direzione ICT e Agenda Digitale, è qualificato per il livello QI1 in quanto in data 03/07/2023 ha conseguito il Certificato RINA n. 44187/23/S UNI EN ISO 9001:2015 che gli permette la gestione di dati e servizi ordinari.

Con nota in data 13/07/2023, prot. n. 377037 la Direzione ICT e Agenda Digitale ha trasmesso ad ACN le dichiarazioni sostitutive circa l’adeguamento e il rispetto dei requisiti di cui ai commi 1 e 2 del Decreto direttoriale ACN n. 5489 del 08/02/2023 ai fini della qualificazione del proprio Data Center in relazione alla tipologia di dati o servizi trattati mediante infrastrutture o servizi cloud per la pubblica amministrazione.

Si precisa altresì che per il Data Center regionale sono state attivate le procedure per conseguire le certificazioni ISO 27001 e ISO22301 necessarie per ottenere il secondo livello di qualificazione dei servizi cloud e delle infrastrutture (QI2), che consentirà di ospitare anche i servizi e i dati più critici, ovverosia quelli sanitari, nel rispetto dei requisiti fissati dall’Agenzia Nazionale della Cybersicurezza.

Ciò premesso, sulla base delle certificazioni fin qui ottenute dal Data Center regionale, con il presente provvedimento si dispone limitatamente alla gestione di dati e servizi ordinari.

Si dà atto, pertanto, che presso la Direzione ICT e Agenda Digitale è insediato il Polo Strategico Regionale, qualificato per il livello QI1 che opera come un Cloud Service Provider Pubblico per la gestione di dati e servizi ordinari.

In continuità della DGR n. 532/2018 e in attuazione della DGR n. 826/2023 con il presente provvedimento si propone pertanto di estendere la fruizione dei servizi di infrastruttura cloud del Polo Strategico Regionale anche alle Aziende del Sistema Sanitario regionale, al fine di supportare le stesse negli adempimenti su esposti, in particolare quelli di cui alla Determinazione Agid n. 628/2021 e del Decreto dell’Agenzia per la Cybersicurezza Nazionale (ACN) n. 307 del 18/01/2022.

Tale processo di Convergenza Infrastrutturale consentirà di fornire un insieme di servizi infrastrutturali a tutti gli attori del sistema, generando economie di scala e servizi di migliore qualità/scalabilità “nativa” attraverso un mix dinamico tra dotazioni informatiche fisse (server on-site) e dinamiche (in cloud).

Per consentire la fruizione di tali servizi, si propone l’approvazione dello schema di Convenzione, allegata al presente atto (Allegato A) e dei relativi allegati tecnici costituti dal Catalogo dei servizi (Allegato A1), dalla scheda tecnica (Allegato A2) e dal modello di nomina del responsabile del trattamento (Allegato A3), da sottoscrivere tra la Regione del Veneto e ciascuno dei Soggetti aderenti al Polo Strategico Regionale, come precedentemente individuati dalla DGR n. 532 del 30/04/2018 (Consiglio regionale del Veneto, ARPAV, AVEPA, Azienda Zero, Veneto Agricoltura, Veneto Lavoro, Veneto Strade e Veneto Innovazione) e dalla DGR n. 826 del 04/07/2023 (Aziende del Sistema Sanitario regionale, con il coordinamento di Azienda Zero).

In questo contesto, ogni soggetto aderente potrà richiedere l’erogazione dei servizi individuati nel Catalogo dei servizi.

Si propone di incaricare il Direttore della Direzione ICT e Agenda Digitale di tenere aggiornato, mediante propri provvedimenti, l'elenco dei servizi disponibili presso il Polo Strategico Regionale, esposti nel Catalogo dei servizi (Allegato A1) e di definirne i costi sulla base degli standard di mercato per la Pubblica Amministrazione.

A fronte dei costi sostenuti dalla Regione del Veneto per la gestione del Polo Strategico Regionale, i Soggetti aderenti riconosceranno tali costi alla Regione, quale rimborso, per la durata della Convenzione.

L’importo stabilito nel Catalogo dei servizi (Allegato A1) e quantificato sulla base dei servizi richiesti da ogni Soggetto aderente, come indicati nella scheda tecnica (Allegato A2) rappresenterà il costo finale del servizio erogato.

Per quanto concerne le Aziende del Sistema Sanitario regionale, ai sensi della DGR n. 1025 del 22/08/2023, gli oneri economici sono già stati assegnati ad Azienda Zero nell’ambito del Progetto di Convergenza delle Infrastrutture Informatiche per la definizione di un programma di ottimizzazione dei Sistemi Informativi regionali. Pertanto, per tali Soggetti non sono previsti oneri economici connessi alla stipula del presente schema di Convenzione.

La Direzione ICT e Agenda Digitale, nell’ambito dell’esecuzione delle attività inerenti il Polo Strategico Regionale si qualificherà come Responsabile del Trattamento, ai sensi dell’art. 28 del GDPR, al fine di supportare i Soggetti aderenti (Titolari del trattamento).

La responsabilità della Direzione ICT sarà limitata alla gestione dell’infrastruttura cloud (data center, reti e server fisici), mentre ai Soggetti sottoscrittori è riconducibile la responsabilità in tema di sicurezza, configurazione e gestione dei propri servizi applicativi.

Tra i sottoscrittori della Convenzione potranno essere avviate forme di collaborazione per la condivisione, a favore del Polo Strategico Regionale, di abilità e competenze professionali anche mediante forme di assegnazione temporanea di personale incardinato presso i Soggetti aderenti.

Si propone di incaricare il Direttore della Direzione ICT e Agenda Digitale dell'adozione di ogni atto connesso, consequenziale e comunque necessario a dar corso all'iniziativa di cui si tratta, incluse la sottoscrizione della Convenzione di cui all'Allegato A, con facoltà di introdurre se del caso, nell'interesse dell'Amministrazione regionale, eventuali modifiche/integrazioni/aggiornamenti non sostanziali allo stesso e ai relativi allegati tecnici.

Considerato che allo stato attuale ulteriori Enti hanno manifestato l’interesse ad aderire al Polo Strategico Regionale e alla fruizione dei servizi di infrastruttura cloud, si rinvia a successivo provvedimento della Giunta regionale la disciplina e l’autorizzazione per l’adesione di ulteriori Enti/Soggetti al medesimo Polo Strategico Regionale.

Il relatore conclude la propria relazione e propone all'approvazione della Giunta regionale il seguente provvedimento.

LA GIUNTA REGIONALE

UDITO il relatore, il quale dà atto che la struttura competente ha attestato, con i visti rilasciati a corredo del presente atto, l'avvenuta regolare istruttoria della pratica, anche in ordine alla compatibilità con la vigente legislazione statale e regionale, e che successivamente alla definizione di detta istruttoria non sono pervenute osservazioni in grado di pregiudicare l'approvazione del presente atto;

• Vista la Legge n. 241 del 1990;
• VISTO il D.Lgs. n. 118/2011 e ss.mm.ii.;
• VISTO il D.Lgs. n. 33 del 14/03/2013;
• VISTA la Determinazione 628/2021 di Agid;
• VISTO il Decreto n. 307 del 18/01/2022 di ACN;
• VISTO l’art. 2, comma 2, della Legge regionale n. 54 del 31/12/2012;
• VISTE le DGR n. 978 del 27/06/2017, n. 532 del 30/04/2018, n. 156 del 22/02/2022, n. 826 del 04/07/2023 e n. 1025 del 22/08/2023;

delibera

1. di approvare le premesse quale parte integrante e sostanziale del presente provvedimento;

2. di dare atto che presso la Direzione ICT e Agenda Digitale è insediato il Polo Strategico Regionale, qualificato per il livello QI1, che opera come un Cloud Service Provider Pubblico per la gestione di dati e servizi ordinari;

3. di dare atto che sono in corso di conseguimento le certificazioni ISO 27001 e ISO 22301 necessarie al raggiungimento del secondo livello di qualificazione dei servizi cloud e delle infrastrutture (QI2) che permetterà a Regione del Veneto di ospitare presso il proprio Data Center anche i servizi e i dati più critici, ovverosia quelli sanitari;

4. di dare atto che al Polo Strategico Regionale potranno aderire i Soggetti già coinvolti nel progetto di Convergenza autorizzato con DGR n. 532/2018 (Consiglio regionale del Veneto, ARPAV, AVEPA, Azienda Zero, Veneto Agricoltura, Veneto Lavoro, Veneto Strade e Veneto Innovazione) e le Aziende del Sistema Sanitario regionale, con il coordinamento di Azienda Zero, in attuazione della DGR n. 826/2023;

5. di approvare lo schema di Convenzione per l’adesione al Polo Strategico Regionale e per la fruizione di servizi di infrastruttura cloud da parte dei Soggetti indicati al precedente punto 4 (Allegato A) e dei relativi allegati tecnici:

- Catalogo dei servizi (Allegato A1),

- scheda tecnica (Allegato A2),

- modello nomina responsabile del trattamento (Allegato A3),

quali parte integranti e sostanziali del presente provvedimento;

6. di incaricare il Direttore della Direzione ICT e Agenda Digitale dell'adozione di ogni atto connesso, consequenziale e comunque necessario a dar corso all'iniziativa di cui si tratta, incluse la sottoscrizione della Convenzione di cui all'Allegato A, con facoltà di introdurre se del caso, nell'interesse dell'Amministrazione regionale, eventuali modifiche/integrazioni/aggiornamenti non sostanziali allo stesso e ai relativi allegati tecnici;

7. di incaricare il Direttore della Direzione ICT e Agenda Digitale di tenere aggiornato, mediante propri provvedimenti, l'elenco dei servizi disponibili presso il Polo Strategico Regionale, esposti nel Catalogo dei servizi (Allegato A1) e di definirne i costi sulla base degli standard di mercato per la Pubblica Amministrazione;

8. di stabilire che a fronte dei costi sostenuti dalla Regione del Veneto per la gestione del Polo Strategico Regionale, i Soggetti aderenti rimborseranno per la durata della Convenzione l’importo stabilito nel Catalogo dei servizi (Allegato A1), e quantificato sulla base dei servizi richiesti da ogni Soggetto aderente, come indicati nella scheda tecnica (Allegato A2), quale costo finale del servizio erogato;

9. di dare atto che per le Aziende del Sistema Sanitario regionale, ai sensi della DGR n. 1025 del 22/08/2023, gli oneri economici sono già stati assegnati ad Azienda Zero nell’ambito del Progetto di Convergenza delle Infrastrutture Informatiche per la definizione di un programma di ottimizzazione dei Sistemi Informativi regionali, pertanto per tali Soggetti non sono previsti oneri economici connessi alla stipula dello schema di Convenzione di cui al punto 5;

10. di stabilire che tra i Soggetti sottoscrittori della Convenzione potranno essere avviate forme di collaborazione per la condivisione a favore del Polo Strategico Regionale di abilità e competenze professionali anche mediante forme di assegnazione temporanea di personale incardinato presso i Soggetti sottoscrittori;

11. di dare atto che la Direzione ICT e Agenda Digitale, nell’ambito dell’esecuzione delle attività inerenti il Polo Strategico Regionale, si qualificherà come Responsabile del Trattamento, ai sensi dell’art. 28 del GDPR, al fine di supportare gli Enti aderenti (Titolari del trattamento);

12. di rinviare a successivo provvedimento della Giunta regionale la definizione della disciplina e l’autorizzazione per l’adesione di ulteriori Enti/Soggetti al Polo Strategico Regionale;

13. di incaricare la Direzione ICT e Agenda Digitale dell'esecuzione del presente provvedimento;

14. di dare atto che il presente provvedimento è soggetto a pubblicazione ai sensi dell'art. 23 del D.Lgs. 14 marzo 2013, n. 33;

15. di pubblicare la presente deliberazione nel Bollettino ufficiale della Regione.

(seguono allegati)

Torna indietro