Qualifica ACN: da dove si comincia (e perché serve capirla bene)

“Avete ottenuto la qualifica ACN?”
“Ma per ottenerla… da dove si parte?”
“Cosa significa esattamente ‘qualificare un servizio cloud’?”

La qualifica ACN – quella dell’Agenzia per la Cybersicurezza Nazionale – è oggi il requisito formale per poter offrire servizi cloud alla Pubblica Amministrazione.
È, di fatto, un’autodichiarazione strutturata: si compila, si carica in piattaforma, si ottiene la qualifica. Nessun audit immediato, nessun controllo preventivo.
Ma attenzione: proprio perché è una dichiarazione, quanto si inserisce dev’essere accurato, coerente, dimostrabile. Perché il controllo può arrivare dopo – e a quel punto, tutto deve essere in regola.

Senza qualifica ACN, non si entra nel Catalogo dei servizi qualificati. E senza quel catalogo, non si lavora con la PA.
Per questo, anche se l’ottenimento può sembrare semplice, sottovalutarlo è un errore: è un impegno che va affrontato con metodo, competenza e visione tecnica.

Ecco le fasi principali:

1. Autovalutazione e analisi tecnica
   Mappatura del servizio: infrastruttura, stack tecnologico, sicurezza, gestione dei dati.
2. Requisiti di sicurezza
   Rispetto delle normative (ISO 27001, 27017, 27018, GDPR…). Bisogna saperlo dimostrare.
3. Documentazione
   Policy, piani di sicurezza, gestione incidenti, continuità operativa… tutto dev’essere scritto, coerente, verificabile.
4. Upload sulla piattaforma ACN
   Si compila e si carica la dichiarazione secondo l’iter previsto.
5. Qualifica automatica
   In assenza di errori formali, la qualifica è concessa. Ma ACN si riserva la possibilità di verifiche successive.

La qualifica ACN non è (ancora) un audit. Ma è un patto: chi dichiara, deve poter dimostrare. E chi lavora con la PA, deve essere pronto a farlo con serietà.