Requisiti hardware / cloud avvisi PNRR

Buongiorno,
negli avvisi PNRR relativi ai comuni (misure 1.4.x) pubblicati il 1 Aprile è presente un allegato relativo alle linee guida DNSH. Per quanto riguarda i requisiti cloud sembra sia necessaria la certificazione ISO 14001 del fornitore, cosa che non è necessaria per quel che sono a conoscenza affinché un fornitore sia presente nel registro pubblico dei CSP qualificati nel Marketplace AGID.
Ne deduco quindi che un servizio erogato (correttamente e obbligatoriamente) in modalità SAAS tramite un fornitore cloud qualificato non sia ammissibile per uno degli avvisi PNRR, esempio l’integrazione con AppIO o SPID / CIE?
Grazie.

Molto molto interessante. Io non so rispondere ma spero altri si.

Sono curioso della fattibilità della richiesta, ne microsoft(azure/365) ne google (gcp/workspace) la forniscono. Microsoft ha la cert solo per le attività interne, non per la fornitura di servizi.

anch’io sono curiosa e seguo

Aggiungo per completezza che oltre alla ISO 14001 è possibile avere altri requisiti alternativi:

…possesso della Registrazione Emas / UNI EN ISO 14001 / CLC/TR 50600-99-1 oppure sia iscritto al Code of Conduct for energy efficiency of data centers
(rispetti le best practices).

In alternativa, il fornitore deve dare evidenza di rispettare congiuntamente i seguenti requisiti: requisito 1, 2, 3 e 4.

➔ 1: EPA ENERGY STAR / ISO/IEC 30134-4:2017 [standard di
efficienza energetica per nuovo HW]
➔ 2: EN 50625 [Gestione Rifiuti]
➔ 3: UNI EN ISO IEC 50001 / EN 50600/ISO IEC 22237 / ANSI
TIA-942 pertinente [Potenziale di riscaldamento Globale
GWP]
➔ 4: EN IEC 63000:2018 [Sostanze pericolose]

In aggiunta ai suddetti 4 requisiti bisognerà presentare evidenza anche di uno tra i requisiti a1 o a2 per la gestione ambientale dei centri

➔ a1: ISO 55000/ISO 14040/ISO 14044/ EN 15978
➔ a2: ISO 30134:2016

Rimane comunque il fatto che questi requisiti non siano per quel che so richiesti per i CSP qualificati…

Questo è il problema, ma saranno quelli richiesti dalla nuova qualificazione ACN?

e soprattutto perchè farli verificare a noi, quando avrebbero potuto aggiornare il marketplace agid inserendo anche questa certificazione …

come dice Asterix S.P.Q.PNRR Sono Pazzi Questi (del) PNRR

Giusto come riferimento, le certificazioni microsoft (365/azure) le trovate qui:

Mentre google (workplace/gcp) sono queste:

Vedo comunque la maggiorparte dell’elenco fornito da @MarcoTesta-EP assente quindi noi utilizzatori di provider internazionali che facciamo? Spostiamo tutto su ovh e preghiamo non prenda fuoco una seconda volta?

Vedo comunque la maggiorparte dell’elenco fornito da @MarcoTesta-EP assente quindi noi utilizzatori di provider internazionali che facciamo? Spostiamo tutto su ovh e preghiamo non prenda fuoco una seconda volta?

Puntare su provider europei (o meglio: dello Spazio Economico Europeo - SEE) sarebbe una saggia decisione anche dal punto di vista privacy, dato che per ora quelli con sede in USA sono fortemente a rischio di non adeguatezza GDPR, viste le conseguenze della sentenza Schrems II.

1 Mi Piace

@fabrizio Vedo il problema da un altro frangente, imporre normative capestro che i provider internazionali non hanno un diretto interesse ad esporre potrebbe costringere a chiamare in causa provider locali con servizi più scadenti. La parte di nazionalità dei dati esula da questo discorso (soprattutto visto che i due provider indicati nel mio post sono compliant a GDPR). Investigherò internamente per la compliance Microsoft, magari hanno già ma non pubblicizzano (ad esempio ISO/IEC 30134-4:2017 richiede di fornire informazioni strategiche per l’acquisto di nuovo materiale che dubito siano ansiosi di condividere).

Io invece vedo questo periodo di incertezza normativa come un’opportunità per le imprese europee di recuperare terreno. È vero, i servizi sono generalmente peggiori -non sempre- ma anche perché attualmente la concorrenza USA è in posizione dominante e non c’è spazio di crescita per le nostre imprese (anche per colpa nostra, si intende. Sono stati bravi).
Di capestro, viceversa, vedo solo il potere del governo e delle agenzie di intelligence statunitensi nel poter ottenere i nostri dati dalle aziende americane, anche le due che indichi tu, a prescindere dalla region in cui si trovano, che è alla base della sentenza che definisce “non equivalenti” le garanzie offerte dalla legge USA a noi europei.

Interessante questo post, in teoria viene riportata questa dicitura:

Il Soggetto Attuatore, limitatamente alle spese che includono hardware deve acquisire evidenza che il fornitore rispetti il possesso della Registrazione Emas / UNI EN ISO 14001 / CLC/TR 50600-99-1 oppure sia iscritto al Code of Conduct for energy efficiency of data centers (rispetti le best practices).

Microsoft

Stavo seguendo la vs.discussione relativamente ai requisiti Registrazione Emas / UNI EN ISO 14001 / CLC/TR 50600-99-1; premetto che non conosco assolutamente la materia, ma mi par di capire, googlando, che la registrazione Emas e la ISO 14000 sono equivalenti ( una ha valenza UE e l’altra mondiale) ; la 50600 invece dovrebbe essere relativa al TIA942;
Non ho capito però se è necessaria solo una di queste ( aruba.it ha la 14001) o servono tutte ( però secondo me si sovrapporrebbero). Se qualcuno facesse un po di chiarezza in questa materia per me misteriosa…