AWS Security Blog

AWS achieves QI2/QC2 qualification to host critical data and workloads from the Italian Public Administration

Italian version

Amazon Web Service (AWS) is pleased to announce that it has achieved the QI2/QC2 qualification level, set out by the Italian National Cybersecurity Agency (ACN) in Determination No. 307/2022, for AWS cloud infrastructure and 130 AWS cloud services. The scope of this qualification level includes the management of Critical data and workloads for Italian public administration customers. Customers and partners who manage workloads identified as Critical, according to the rules set out in ACN Determination No. 307/2022, can now benefit from the qualification achieved by AWS.

Obtaining the ACN QI2/QC2 qualification for managing critical data and workloads means that AWS meets the 366 requirements for security, processing capacity, infrastructure reliability, and scalability of cloud services, including being certified according to security and compliance standards such as ISO 9001, ISO/IEC 27001:2013, ISO/IEC 27017:2015, ISO/IEC 27018:2019, Cloud Security Alliance – Star Level 2, ISO 22301, and ISO 20000.

Qualification of cloud infrastructure and services is an integral part of the Italian Cloud Strategy, issued by the Department for Digital Transformation and ACN. The strategy contains guidelines for migrating data and digital services of the Italian Public Administration to the cloud.

The Italian Cloud Strategy starts from the principle that public administrations manage data and workloads that operate at different levels of criticality. When migrating from an on-premises solution to the cloud, public administrations must identify which risk class their workloads and data belong to.

ACN has identified the following three classes of data in relation to the damage that could be caused to the country in the event of a breach in terms of confidentiality, integrity, and availability.

  1. Ordinary: Data and services whose deterioration does not cause the interruption of the state service nor, in any case, harm the economic and social wellbeing of the country.
  2. Critical: Data and services whose compromise could compromise the maintenance of important functions for society, health, safety, and the economic and social wellbeing of the country.
  3. Strategic: Data and services that, if compromised, can have an impact on national security.

Different levels of criticality require different levels of qualification according to the following scheme.
 

AWS achieves QI2/QC2 qualification

Figure 1. Different levels of criticality require different levels of qualification

Thanks to the presence of the AWS Europe (Milan) Region since April 2020, and the new QI2/QC2 qualification obtained by AWS, our customers and partners can now feel confident to develop innovative cloud services that manage the critical workloads of the Italian Public Administration that run on AWS cloud infrastructure. The qualification obtained by AWS will be available on the ACN Cloud Market Place in the next weeks.

Our customers can refer to the AWS QI2/QC2 qualification to confirm that the AWS control environment is designed and implemented appropriately. By receiving the qualification to manage Critical workloads, AWS demonstrates our commitment to meet the highest security expectations for cloud service providers set out by ACN.

As always, we value your feedback and questions. Reach out to the AWS Compliance team through the Contact Us page. To learn more about our other compliance and security programs, see AWS Compliance Programs.

If you have feedback about this post, submit comments in the Comments section below. If you have questions about this post, contact AWS Support.

Want more AWS Security news? Follow us on Twitter.

Giuseppe Russo

Giuseppe Russo

Giuseppe is Security Assurance Manager for Italy, based in Rome. Giuseppe has a Master’s Degree in Computer Science with a specialization in cryptography, security and coding theory. Giuseppe is a seasoned information security practitioner with many years of experience engaging regulators, key stakeholders, developing guidelines, and influencing the security market on strategic topics such as privacy and critical infrastructure protection.

Daniele Basriev

Daniele Basriev

Daniele is a security audit program manager at AWS based in Amsterdam, the Netherlands. Daniele leads security audits, attestations, and certification programs across Europe. For the past 19 years, he has worked with a wide range of technologies, control frameworks, and business risks within complex fast-paced environments. He built his expertise initially within the international consultancy environment and Big Four accounting firms, and then moved into IT security strategy, IT governance, and compliance across multiple industries. His expertise includes, but not limited to, information systems audits, third-party and vendor risk management, IT risk management, business continuity, security governance, and compliance.

Italian version

AWS ottiene la qualifica QI2/QC2 per ospitare dati e carichi di lavoro critici della Pubblica Amministrazione italiana

Amazon Web Service (AWS) è lieta di annunciare di aver ottenuto il livello di qualificazione QI2/QC2, stabilito dall’Agenzia per la Cybersicurezza Nazionale (ACN) nella Determina n. 307/2022, per la sua infrastruttura cloud e 130 servizi cloud. La qualificazione QI2/QC2 è necessaria per poter eseguire, su cloud pubblico, dati e dei workload identificati come CRITICI per i clienti della pubblica amministrazione italiana. I clienti e i partner di AWS che gestiscono carichi di lavoro identificati come critici, secondo le regole stabilite nella Determinazione ACN n. 307/2022, possono ora beneficiare della qualifica ottenuta da AWS.

Conseguire la qualifica QI2/QC2 della ACN, per la gestione di dati e carichi di lavoro critici, significa che AWS soddisfa 366 requisiti di sicurezza, capacità di elaborazione, affidabilità dell’infrastruttura e scalabilità dei servizi cloud, incluso il possesso di certificazioni e standard di sicurezza e conformità quali ISO 9001, ISO/IEC 27001:2013, ISO/IEC 27017:2015, ISO/IEC 27018:2019, Cloud Security Alliance – Star Level 2, ISO 22301 e ISO 2000.

La qualificazione dell’infrastruttura e dei servizi cloud è parte integrante della Strategia Cloud Italiana, emessa dal Dipartimento per la Trasformazione Digitale e da ACN. La Strategia contiene le linee guida per la migrazione dei dati e dei servizi digitali della Pubblica Amministrazione italiana verso il cloud.

La Strategia Cloud italiana si sviluppa sul principio che le pubbliche amministrazioni gestiscono dati e carichi di lavoro che operano a diversi livelli di criticità. Nel processo di migrazione dei loro dati/workload da on-premise al cloud, le pubbliche amministrazioni devono identificare a quale classe di criticità appartengono i loro workload e i loro dati.

La Strategia Cloud italiana ha identificato tre classi sulla base del danno che una loro compromissione, in termini di confidenzialità, integrità e disponibilità, provocherebbe al sistema Paese.

Tali classi sono:

  1. Ordinario: dati e servizi la cui compromissione non provochi l’interruzione di servizi dello Stato o, comunque, un pregiudizio per il benessere economico e sociale del Paese
  2. Critico: dati e servizi la cui compromissione potrebbe determinare un pregiudizio al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza e il benessere economico e sociale del Paese
  3. Strategico: dati e servizi la cui compromissione può avere un impatto sulla sicurezza nazionale.

Livelli di criticità diversi richiedono differenti livelli di qualifica della infrastruttura e dei servizi cloud che li ospiteranno.

Figura 1: Livelli di criticità diversi richiedono diversi livelli di qualifica

Figura 1: Livelli di criticità diversi richiedono diversi livelli di qualifica

Grazie alla presenza della regione italiana di AWS Europe (Milano), fin da aprile 2020, e grazie alla nuova qualifica QI2/QC2 ottenuta da AWS i nostri clienti e i nostri partner possono sviluppare servizi cloud innovativi che gestiscono i carichi di lavoro critici della Pubblica Amministrazione italiana e mandarli in esecuzione sull’infrastruttura cloud AWS. La qualifica ottenuta da AWS sarà disponibile su ACN Cloud Market Place nelle prossime settimane.

Infine, i nostri clienti possono fare riferimento alla qualifica QI2/QC2 di AWS per confermare che l’ambiente di controllo AWS è progettato e implementato in modo appropriato e in linea con i requisiti di qualità, sicurezza e resilienza previsti da ACN. Ricevendo la qualifica per la gestione dei carichi di lavoro CRITICI, AWS dimostra il suo impegno a soddisfare le più elevate aspettative di sicurezza per i fornitori di servizi cloud stabilite da ACN.

Come sempre, apprezziamo il tuo feedback e le tue domande. Contatta il team di conformità di AWS tramite la pagina Contattaci. Per ulteriori informazioni sugli altri nostri programmi di conformità e sicurezza, consulta AWS Compliance Programs.

Giuseppe Russo

Giuseppe Russo

Giuseppe è Security Assurance Manager per l’Italia, con sede a Roma. Giuseppe ha una laurea in Computer Science con una specializzazione in Crittografia, Sicurezza e Teoria della Informazione. Giuseppe è un esperto professionista della sicurezza informatica con molti anni di esperienza nel settore. La sua attività primaria è lavorare a stretto contatto con le autorità di regolamentazione, e le principali parti interessate, allo scopo di favorire l’adozione dei un cloud sicuro e nel predisporre ambienti cloud che soddisfino requisiti di sicurezza relativamente argomenti strategici come la privacy e la protezione delle infrastrutture critiche.

Daniele Basriev

Daniele Basriev

Daniele è Security Audit Program Manager di AWS, con sede ad Amsterdam, Paesi Bassi. Daniele conduce controlli di sicurezza, attestazioni e programmi di certificazione in tutta Europa. Negli ultimi 19 anni, ha lavorato con un’ampia gamma di tecnologie, framework di controllo e rischi aziendali all’interno di ambienti complessi e frenetici. Ha sviluppato la sua esperienza inizialmente nell’ambiente di consulenza internazionale e nelle quattro grandi società di contabilità, per poi passare alla strategia di sicurezza IT, alla governance IT e alla conformità in diversi settori.