AWS Security Blog

AWS achieves QI2/QC2 qualification to host critical data and workloads from the Italian Public Administration

Italian version

June 24, 2024: This post has been updated to inform you that all AWS cloud services have been qualified by the Italian National Cybersecurity Agency (ACN).

Amazon Web Service (AWS) is pleased to announce that, starting from April 15, 2024, all AWS cloud services are now QC2 qualified according to the Italian Agency for National Cybersecurity (ACN) “Cloud Qualification” process. The AWS infrastructure and AWS cloud services qualified by the ACN are listed in the new Catalog of Digital Infrastructures and Cloud Services (Cloud Catalogue). AWS achieved QC2 qualification for 23 service categories, for a total amount of 228 AWS products (including services and tools), according to the service categories listed in https://aws.amazon.com/products/.

The cloud qualification process provided by the ACN is a qualification and control process aimed at ensuring the security and reliability of cloud services used by the Italian public administration (PA). This process was introduced to verify that cloud service providers adhere to a set of specific security, quality, and reliability requirements, thereby contributing to the protection of the country’s critical data and infrastructure.

The scope of this qualification level includes the management of Critical data and workloads for Italian public administration customers. Customers and partners who manage workloads identified as Critical, according to the rules set out in ACN Regulations, can now benefit from the qualification achieved by AWS.

Obtaining the ACN QI2/QC2 qualification for managing Critical data and workloads means that AWS aligns with the 366 requirements for security, processing capacity, infrastructure reliability, and scalability of cloud services, including being certified according to security and compliance standards such as ISO 9001, ISO/IEC 27001:2013, ISO/IEC 27017:2015, ISO/IEC 27018:2019, Cloud Security Alliance – Star Level 2, ISO 22301, and ISO 20000.

Qualification of cloud infrastructure and services is an integral part of the Italian Cloud Strategy, issued by the Department for Digital Transformation and ACN. The strategy contains guidelines for migrating data and digital services of the Italian Public Administration to the cloud.

The Italian Cloud Strategy starts from the principle that public administrations manage data and workloads that operate at different levels of criticality. When migrating from an on-premises solution to the cloud, public administrations must identify which risk class their workloads and data belong to.

ACN has identified the following three classes of data in relation to the damage that could be caused to the country in the event of a breach in terms of confidentiality, integrity, and availability.

  1. Ordinary: Data and services whose deterioration does not cause the interruption of the state service nor, in any case, harm the economic and social wellbeing of the country.
  2. Critical: Data and services whose compromise could compromise the maintenance of important functions for society, health, safety, and the economic and social wellbeing of the country.
  3. Strategic: Data and services that, if compromised, can have an impact on national security.

Different levels of criticality require different levels of qualification according to the following scheme.

 

AWS achieves QI2/QC2 qualification

Figure 1. Different levels of criticality require different levels of qualification

Thanks to the presence of the AWS Europe (Milan) Region since April 2020, and the new QI2/QC2 qualification obtained by AWS, our customers and partners can now feel confident to develop innovative cloud services that manage the critical workloads of the Italian Public Administration that run on AWS cloud infrastructure.

Our customers can refer to the AWS QI2/QC2 qualification to confirm that the AWS control environment is designed and implemented appropriately. By receiving the qualification to manage Critical workloads, AWS demonstrates our commitment to adhering to the highest security expectations for cloud service providers set out by ACN.

As always, we value your feedback and questions. Reach out to the AWS Compliance team through the Contact Us page. To learn more about our other compliance and security programs, see AWS Compliance Programs.

If you have feedback about this post, submit comments in the Comments section below. If you have questions about this post, contact AWS Support.

Want more AWS Security news? Follow us on Twitter.

Giuseppe Russo

Giuseppe Russo

Giuseppe is Security Assurance Manager for Italy, based in Rome. Giuseppe has a Master’s Degree in Computer Science with a specialization in cryptography, security and coding theory. Giuseppe is a seasoned information security practitioner with many years of experience engaging regulators, key stakeholders, developing guidelines, and influencing the security market on strategic topics such as privacy and critical infrastructure protection.

Daniele Basriev

Daniele Basriev

Daniele is a security audit program manager at AWS based in Amsterdam, the Netherlands. Daniele leads security audits, attestations, and certification programs across Europe. For the past 19 years, he has worked with a wide range of technologies, control frameworks, and business risks within complex fast-paced environments. He built his expertise initially within the international consultancy environment and Big Four accounting firms, and then moved into IT security strategy, IT governance, and compliance across multiple industries. His expertise includes, but not limited to, information systems audits, third-party and vendor risk management, IT risk management, business continuity, security governance, and compliance.

Italian version

June 24, 2024: Questo post è stato aggiornato per informare che tutti i servizi cloud di AWS sono stati qualificati dalla Agenzia di Cybersicurezza Nazionale Italiana (ACN).

AWS ottiene la qualifica QI2/QC2 per ospitare dati e carichi di lavoro critici della Pubblica Amministrazione italiana

Amazon Web Service (AWS) è lieta di annunciare che, a partire dal 15 aprile 2024, tutti i servizi cloud AWS sono ora qualificati QC2 secondo il regolamento ACN “Cloud Qualification”. L’infrastruttura AWS e i servizi cloud, qualificati dall’ACN sono ora elencati nel nuovo Catalogo delle Infrastrutture digitali e dei Servizi cloud. AWS ha ottenuto la qualifica QC2 per 23 categorie di servizi, per un totale di 228 prodotti AWS (compresi servizi e strumenti), secondo le categorie di servizi elencate in https://aws.amazon.com/products/.

La qualificazione cloud prevista dall’Agenzia per la Cybersicurezza Nazionale (ACN) Italiana è un processo di certificazione e controllo che mira a garantire la sicurezza e l’affidabilità dei servizi cloud utilizzati dalla pubblica amministrazione (PA) italiana. Questo processo è stato introdotto per verificare che i fornitori di servizi cloud rispettino una serie di requisiti di sicurezza, qualità e affidabilità specifici, contribuendo così alla protezione dei dati e delle infrastrutture critiche del paese.

La qualificazione QI2/QC2 è necessaria per poter eseguire, su cloud pubblico, dati e dei workload identificati come CRITICI per i clienti della pubblica amministrazione italiana. I clienti e i partner di AWS che gestiscono carichi di lavoro identificati come critici, secondo le regole stabilite nella Determinazione ACN n. 307/2022, possono ora beneficiare della qualifica ottenuta da AWS.

Conseguire la qualifica QI2/QC2 della ACN, per la gestione di dati e carichi di lavoro Critici, significa che AWS soddisfa 366 requisiti di sicurezza, capacità di elaborazione, affidabilità dell’infrastruttura e scalabilità dei servizi cloud, incluso il possesso di certificazioni e standard di sicurezza e conformità quali ISO 9001, ISO/IEC 27001:2013, ISO/IEC 27017:2015, ISO/IEC 27018:2019, Cloud Security Alliance – Star Level 2, ISO 22301 e ISO 2000.

La qualificazione dell’infrastruttura e dei servizi cloud è parte integrante della Strategia Cloud Italiana, emessa dal Dipartimento per la Trasformazione Digitale e da ACN. La Strategia contiene le linee guida per la migrazione dei dati e dei servizi digitali della Pubblica Amministrazione italiana verso il cloud.

La Strategia Cloud italiana si sviluppa sul principio che le pubbliche amministrazioni gestiscono dati e carichi di lavoro che operano a diversi livelli di criticità. Nel processo di migrazione dei loro dati/workload da on-premise al cloud, le pubbliche amministrazioni devono identificare a quale classe di criticità appartengono i loro workload e i loro dati.

La Strategia Cloud italiana ha identificato tre classi sulla base del danno che una loro compromissione, in termini di confidenzialità, integrità e disponibilità, provocherebbe al sistema Paese.

Tali classi sono:

  1. Ordinario: dati e servizi la cui compromissione non provochi l’interruzione di servizi dello Stato o, comunque, un pregiudizio per il benessere economico e sociale del Paese
  2. Critico: dati e servizi la cui compromissione potrebbe determinare un pregiudizio al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza e il benessere economico e sociale del Paese
  3. Strategico: dati e servizi la cui compromissione può avere un impatto sulla sicurezza nazionale.

Livelli di criticità diversi richiedono differenti livelli di qualifica della infrastruttura e dei servizi cloud che li ospiteranno.

Figura 1: Livelli di criticità diversi richiedono diversi livelli di qualifica

Figura 1: Livelli di criticità diversi richiedono diversi livelli di qualifica

Grazie alla presenza della regione italiana di AWS Europe (Milano), fin da aprile 2020, e grazie alla nuova qualifica QI2/QC2 ottenuta da AWS i nostri clienti e i nostri partner possono sviluppare servizi cloud innovativi che gestiscono i carichi di lavoro critici della Pubblica Amministrazione italiana e mandarli in esecuzione sull’infrastruttura cloud AWS.

Infine, i nostri clienti possono fare riferimento alla qualifica QI2/QC2 di AWS per confermare che l’ambiente di controllo AWS è progettato e implementato in modo appropriato e in linea con i requisiti di qualità, sicurezza e resilienza previsti da ACN. Ricevendo la qualifica per la gestione dei carichi di lavoro CRITICI, AWS dimostra il suo impegno a soddisfare le più elevate aspettative di sicurezza per i fornitori di servizi cloud stabilite da ACN.

Come sempre, apprezziamo il tuo feedback e le tue domande. Contatta il team di conformità di AWS tramite la pagina Contattaci. Per ulteriori informazioni sugli altri nostri programmi di conformità e sicurezza, consulta AWS Compliance Programs.

Giuseppe Russo

Giuseppe Russo

Giuseppe è Security Assurance Manager per l’Italia, con sede a Roma. Giuseppe ha una laurea in Computer Science con una specializzazione in Crittografia, Sicurezza e Teoria della Informazione. Giuseppe è un esperto professionista della sicurezza informatica con molti anni di esperienza nel settore. La sua attività primaria è lavorare a stretto contatto con le autorità di regolamentazione, e le principali parti interessate, allo scopo di favorire l’adozione dei un cloud sicuro e nel predisporre ambienti cloud che soddisfino requisiti di sicurezza relativamente argomenti strategici come la privacy e la protezione delle infrastrutture critiche.

Daniele Basriev

Daniele Basriev

Daniele è Security Audit Program Manager di AWS, con sede ad Amsterdam, Paesi Bassi. Daniele conduce controlli di sicurezza, attestazioni e programmi di certificazione in tutta Europa. Negli ultimi 19 anni, ha lavorato con un’ampia gamma di tecnologie, framework di controllo e rischi aziendali all’interno di ambienti complessi e frenetici. Ha sviluppato la sua esperienza inizialmente nell’ambiente di consulenza internazionale e nelle quattro grandi società di contabilità, per poi passare alla strategia di sicurezza IT, alla governance IT e alla conformità in diversi settori.