Requisiti hardware / cloud avvisi PNRR

Buongiorno,
negli avvisi PNRR relativi ai comuni (misure 1.4.x) pubblicati il 1 Aprile è presente un allegato relativo alle linee guida DNSH. Per quanto riguarda i requisiti cloud sembra sia necessaria la certificazione ISO 14001 del fornitore, cosa che non è necessaria per quel che sono a conoscenza affinché un fornitore sia presente nel registro pubblico dei CSP qualificati nel Marketplace AGID.
Ne deduco quindi che un servizio erogato (correttamente e obbligatoriamente) in modalità SAAS tramite un fornitore cloud qualificato non sia ammissibile per uno degli avvisi PNRR, esempio l’integrazione con AppIO o SPID / CIE?
Grazie.

Molto molto interessante. Io non so rispondere ma spero altri si.

Sono curioso della fattibilità della richiesta, ne microsoft(azure/365) ne google (gcp/workspace) la forniscono. Microsoft ha la cert solo per le attività interne, non per la fornitura di servizi.

anch’io sono curiosa e seguo

Aggiungo per completezza che oltre alla ISO 14001 è possibile avere altri requisiti alternativi:

…possesso della Registrazione Emas / UNI EN ISO 14001 / CLC/TR 50600-99-1 oppure sia iscritto al Code of Conduct for energy efficiency of data centers
(rispetti le best practices).

In alternativa, il fornitore deve dare evidenza di rispettare congiuntamente i seguenti requisiti: requisito 1, 2, 3 e 4.

➔ 1: EPA ENERGY STAR / ISO/IEC 30134-4:2017 [standard di
efficienza energetica per nuovo HW]
➔ 2: EN 50625 [Gestione Rifiuti]
➔ 3: UNI EN ISO IEC 50001 / EN 50600/ISO IEC 22237 / ANSI
TIA-942 pertinente [Potenziale di riscaldamento Globale
GWP]
➔ 4: EN IEC 63000:2018 [Sostanze pericolose]

In aggiunta ai suddetti 4 requisiti bisognerà presentare evidenza anche di uno tra i requisiti a1 o a2 per la gestione ambientale dei centri

➔ a1: ISO 55000/ISO 14040/ISO 14044/ EN 15978
➔ a2: ISO 30134:2016

Rimane comunque il fatto che questi requisiti non siano per quel che so richiesti per i CSP qualificati…

Questo è il problema, ma saranno quelli richiesti dalla nuova qualificazione ACN?

e soprattutto perchè farli verificare a noi, quando avrebbero potuto aggiornare il marketplace agid inserendo anche questa certificazione …

come dice Asterix S.P.Q.PNRR Sono Pazzi Questi (del) PNRR

Giusto come riferimento, le certificazioni microsoft (365/azure) le trovate qui:

Mentre google (workplace/gcp) sono queste:

Vedo comunque la maggiorparte dell’elenco fornito da @MarcoTesta-EP assente quindi noi utilizzatori di provider internazionali che facciamo? Spostiamo tutto su ovh e preghiamo non prenda fuoco una seconda volta?

Vedo comunque la maggiorparte dell’elenco fornito da @MarcoTesta-EP assente quindi noi utilizzatori di provider internazionali che facciamo? Spostiamo tutto su ovh e preghiamo non prenda fuoco una seconda volta?

Puntare su provider europei (o meglio: dello Spazio Economico Europeo - SEE) sarebbe una saggia decisione anche dal punto di vista privacy, dato che per ora quelli con sede in USA sono fortemente a rischio di non adeguatezza GDPR, viste le conseguenze della sentenza Schrems II.

1 Mi Piace

@fabrizio Vedo il problema da un altro frangente, imporre normative capestro che i provider internazionali non hanno un diretto interesse ad esporre potrebbe costringere a chiamare in causa provider locali con servizi più scadenti. La parte di nazionalità dei dati esula da questo discorso (soprattutto visto che i due provider indicati nel mio post sono compliant a GDPR). Investigherò internamente per la compliance Microsoft, magari hanno già ma non pubblicizzano (ad esempio ISO/IEC 30134-4:2017 richiede di fornire informazioni strategiche per l’acquisto di nuovo materiale che dubito siano ansiosi di condividere).

Io invece vedo questo periodo di incertezza normativa come un’opportunità per le imprese europee di recuperare terreno. È vero, i servizi sono generalmente peggiori -non sempre- ma anche perché attualmente la concorrenza USA è in posizione dominante e non c’è spazio di crescita per le nostre imprese (anche per colpa nostra, si intende. Sono stati bravi).
Di capestro, viceversa, vedo solo il potere del governo e delle agenzie di intelligence statunitensi nel poter ottenere i nostri dati dalle aziende americane, anche le due che indichi tu, a prescindere dalla region in cui si trovano, che è alla base della sentenza che definisce “non equivalenti” le garanzie offerte dalla legge USA a noi europei.

Interessante questo post, in teoria viene riportata questa dicitura:

Il Soggetto Attuatore, limitatamente alle spese che includono hardware deve acquisire evidenza che il fornitore rispetti il possesso della Registrazione Emas / UNI EN ISO 14001 / CLC/TR 50600-99-1 oppure sia iscritto al Code of Conduct for energy efficiency of data centers (rispetti le best practices).

Microsoft

Stavo seguendo la vs.discussione relativamente ai requisiti Registrazione Emas / UNI EN ISO 14001 / CLC/TR 50600-99-1; premetto che non conosco assolutamente la materia, ma mi par di capire, googlando, che la registrazione Emas e la ISO 14000 sono equivalenti ( una ha valenza UE e l’altra mondiale) ; la 50600 invece dovrebbe essere relativa al TIA942;
Non ho capito però se è necessaria solo una di queste ( aruba.it ha la 14001) o servono tutte ( però secondo me si sovrapporrebbero). Se qualcuno facesse un po di chiarezza in questa materia per me misteriosa…

Ciao @LuigiB , da quanto ho capito la 14001 è alternativa alla registrazione Emas, mentre la 50600 è alternativa alla ANSI TIA-942 o alle ISO 14040 / ISO 14044 / EN15978.

Son finito qui cercando di capire se il nostro CSP, ossia Aruba.it, sia compliant alle linee guida DNSH, e da quel che ho capito provando a compilare l’allegato 4 (basandomi sulle certificazioni che riporta aruba sulla sua pagina Rating 4, ISO 27001, ISO 9001, GO Certifications | Datacenter.it) le mancherebbe la EN IEC 63000:2018. Inoltre non sarebbe compliant anche al punto 0.8 / 8 non essendo presente nel registro linkato da @Giuovanni .

Qualcuno mi può dire se sto interpretando la check list correttamente?

Ciao, Per quanto riguarda la checklist dell allegato 4 delle linee guida, ai punti 6/8 , il fornitore Aruba.it, e’in possesso della certificazione ISO14001, ed e’sufficiente, in quanto, in base a quanto mi hanno risposto dal supporto della PA DIgitale, le slash tra le varie certificazioni principali vanno letto come" Oppure " e non come AND ;
Le certificazioni dei 4 punti successivi sono alternative alla suddetta e da utilizzare in mancanza appunto di una delle principali.

Grazie, se può essere utile ieri ho scritto anche ad Aruba chiedendo delucidazioni sulle certificazioni in loro possesso, e mi hanno risposto direttamente con la tabella dell’allegato 4 compilata.

1 Mi Piace

Per curiosità può inviare come l’hanno compilata? Perché la scheda 6 check List parte 1, mi viene già un dubbio, il punto 0.1 sembra obbligatorio, ma se basta la 14001 perché inseriscono quel punto? o si compila solamente la prima riga e il resto no? perché i punti successivi riguardano tutte quelle certificazioni in alternativa a quelle richieste inizialmente?

Ciao Giuovanni, ho chiesto ad Aruba se potessi pubblicare direttamente il file per intero e mi hanno chiesto di non farlo, penso che comunque basti aprirgli un ticket per riceverlo.
Ad ogni modo anche io l’ho interpretata come alternativa, loro però al punto 0.1 hanno risposto:
“A tutti i nostri fornitori viene richiesta la certificazione secondo lo standard internazionale sull’efficienza energetica EnergyStar”.
In sintesi dal file che mi hanno mandato Aruba mi sembra compliant su tutto, o, come ad esempio sul punto 8 (per cui al momento in cui ho chiesto non erano ancora disponibili enti accreditati per svolgere le verifiche) sono in fase di allineamento sulle nuove direttive.

1 Mi Piace

ciao a tutti, continuo su questo Thread non per dare risposte ma per aggiungere dubbi:
io francamente sono confuso anche dalla separazione tra la scheda 6 e la scheda 8 (oltre che dalle checklist che non vedo allineate con le checkbox da compilare nella definizione dei fornitori).
Se non ho capito male la scheda 6 (che è esattamente uguale alla scheda 8 anche per il titolo “Servizi informatici di hosting e cloud” ) dovrebbe essere riferita all’infrastruttura che ospita i servizi mentre la scheda 8 si riferisce ai servizi.
Ora mi chiedo ma ha senso compilare la scheda 8 per un servizio ospitato in un datacenter per il quale compilo già la scheda 6? il servizio non erediterebbe automaticamente le certificazioni del datacenter che lo ospita? può un servizio digitale emettere sostanze pericolose o avere una errata gestione dei rifiuti? Sicuramente mi sfugge qualcosa ma la lettura dell’allegato 4 del bando francamente non mi aiuta…qualcuno ha delle opinioni?
Grazie

Aggiungo: Se considero la misura relativa a PagoPa e la tassonomia relativa al Canone Unico Corporate che praticamente tutti i comuni ereditano semplicemente attraverso le impostazioni le portale dei pagamenti, chi è il fornitore da considerare? Se considero direttamente PagoPa come fornitore come compilo le schede DNSH?
Ancora: se invio delle comunicazioni sporadiche, per un determinato servizio, all’appIO dei cittadini, direttamente attraverso l’interfaccia di definizione dei servizi dell’app , caricando dei CSV con i codici fiscali dei destinatari, anche qui il fornitore risulta direttamente PagoPa ?
Grazie ancora a tutti

1 Mi Piace