QTSP e cloud - Regolamenti Accredia, eIDAS e ACN

Ciao,
volevo sapere se c’erano evoluzioni su questo fronte, in quanto accredia nel 2020 pubblicò la Circolare Tecnica N. 5/2020 Rev.02 che parlava di come gestire i servizi in cloud. Diciamo non era molto esplicita e a mio parere puramente personale, ancora oggi ci sono dei “buchi” o comunque poca chiarezza.
Un QTSP che offre servizi qualificati di firma digitale, marca temporale e tra non molto REM, può ospitare liberamente questi servizi su un cloud provider qualificato (vedi AWS, Azure, per citarne alcuni che sono sul Marketplace di agid e ora su ACN).
Si parla di livelli di sicurezza QC1-QC4 per i Servizi, QI1-QI4 per le Infrastrutture cloud, necessari a garantire il rispetto di certi requisiti di sicurezza che vuole l’ACN. Se non erro per esempio AWS al momento è QI1 per quanto riguarda la sua infrastruttura e non mi sembra ci siano CSP che abbiamo un livello maggiore. Leggevo poi sempre in qualche regola tecnica dell’ACN che se vengono trattate informazioni confidenziali/critiche (con servizi che girano su cloud) il livello deve essere necessariamente Q3 o superiore.
Con tutte questi requisiti di sicurezza, e quelli già in essere per i servizi eIDAS secondo voi è possibile erogare servizi in cloud nella loro totalità (forse gli HSM per la generazione di chiavi devono necessariamente stare nel bunker di un CA qualificata on-prem) oppure si sta sponsorizzando molto il cloud soprattutto per la PA, ma poi non siamo pronti a questo passo?
I QTSP che vorrebbero delegare tutto al CSP cosa dovrebbero fare se poi accredia e i CAB, insieme ad ACN/AGID, magari richiedono l’impossibile e una miriade di requisiti da espletare per qualificarsi?
Spero di trovare pareri e un confronto su questo tema.
Se ho scritto inesattezze chiedo venia.
Un saluto.