Disaster RecoveryGDPRSovranità

Geo-ridondanza in Italia: GDPR, NIS2 e sovranità dei dati

Avere il DR in cloud "europeo" non basta più: cosa cambia con NIS2, AgID e Polo Strategico Nazionale, e perché un cloud italiano fa la differenza.

2 min di lettura

TL;DR

Per il DR in Italia nel 2026, "cloud europeo" non basta più. NIS2, AgID, Polo Strategico Nazionale e gare PA spingono verso il cloud sovrano italiano: dati, infrastrutture e personale operativo entro i confini nazionali. Sefthy è nato così.

Cosa significa "cloud sovrano italiano"

Tre condizioni minime:

  1. datacenter in territorio italiano, di proprietà o in operatività italiana;
  2. personale operativo italiano, soggetto al diritto italiano;
  3. proprietà dell'operatore non soggetta a giurisdizioni extra-UE (es. CLOUD Act statunitense).

Solo i provider che soddisfano tutte e tre le condizioni si qualificano davvero come "sovrani". Gli altri sono "europei", che è una garanzia GDPR ma non NIS2-PA.

Perché conta per il DR

In un evento di disaster recovery, i dati lasciano i sistemi del cliente. Se il cloud DR è extra-UE, il trasferimento è soggetto a SCC e DPIA. Se è UE ma operato da entità US-controlled, c'è il rischio CLOUD Act.

Il cloud sovrano elimina entrambi i rischi: il dato resta sotto giurisdizione italiana per costruzione.

Il quadro normativo 2026

GDPR

Definisce le regole per il trattamento dei dati personali. Il trasferimento extra-UE richiede SCC, DPIA, eventualmente certificazioni come EU Cloud Code of Conduct.

NIS2

Articolo 21 richiede sicurezza della supply chain. Per le entità essenziali, l'uso di provider extra-UE per dati critici diventa fattore di rischio documentato.

AgID e PSN

Per la PA italiana, l'AgID gestisce un elenco di provider qualificati. Il Polo Strategico Nazionale è la nuova infrastruttura cloud per la PA.

CAD (Codice Amministrazione Digitale)

Definisce i requisiti per i sistemi della PA. Articoli 50-bis e seguenti su continuità operativa allineati a ISO 22301.

Cosa chiedere a un provider DR

Cinque domande dirette:

  1. Dove sono fisicamente i datacenter?
  2. Chi controlla la società operativa?
  3. Ci sono provider sub-fornitori extra-UE?
  4. Quali certificazioni: ISO 27001, 27017, 27018, 9001?
  5. Qualificazione AgID o equivalente?

Senza risposte chiare a tutte e cinque, non è cloud sovrano.

Sefthy: cloud italiano per costruzione

Sefthy ha tre datacenter in Italia, personale operativo italiano, società italiana, certificazioni complete (ISO 27001:2022, 27017:2015, 27018:2019, 9001:2015). Per le entità NIS2 italiane è una scelta naturale.

FAQ

"Cloud europeo" non basta?

Per la PA italiana e le entità essenziali NIS2, no. Per le PMI normali, è sufficiente al GDPR ma sub-ottimale per il NIS2 della supply chain.

Posso usare un cloud non italiano e dichiararmi NIS2-compliant?

Sì, ma con DPIA aggiuntiva e gestione documentata del rischio supply chain. Più carta da produrre.

La sovranità impatta la latenza?

Positivamente. Latenze fra siti italiani sono nell'ordine dei 5-15 ms. Verso datacenter europei (es. Dublino, Francoforte): 25-50 ms.

Per il confronto cloud vs on-prem, DR cloud vs on-prem. Per certificazioni nelle gare PA, Certificazioni e gare pubbliche.

Vuoi vedere Sefthy in azione?

Stesso IP, stessa subnet, RTO in minuti. Provalo gratis per 7 giorni o parla con un nostro specialista.

Vedi i piani Richiedi una demo