11 лютого 2025 року Кабінет Міністрів України прийняв постанову, яка врегулювала окремі питання надання та використання хмарних послуг та/або послуг центру обробки даних («Послуги»). Зокрема, постанова затвердила:
- порядок надання Послуг, пов’язаних з обробкою державних інформаційних ресурсів («ДІР») або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом («ІЗОД»);
- вимоги до надавачів Послуг;
- порядок формування та використання електронних каталогів Послуг;
- типовий договір про надання Послуг публічному користувачу хмарних послуг та оператору критичної інфраструктури щодо об’єкта критичної інформаційної інфраструктури.
Постанову прийнято відповідно до Закону України «Про хмарні послуги».
Ключові положення
- Послуги, пов’язані з обробкою ДІР або ІЗОД
Постанова врегулювала порядок надання Послуг, пов’язаних з обробкою ДІР або ІЗОД. Зокрема, такі Послуги надаються на підставі договору, строк дії якого не може бути більшим за строк дії документа про відповідність, виданого акредитованим органом з оцінки відповідності у сфері електронних комунікацій. Такий документ також є документальним підтвердженням вимогам щодо управління інформаційною безпекою, неперервністю, безпеки мережевих та інформаційних систем надавачів і враховується користувачами під час порівняння Послуг та хмарної інфраструктури.
- Вимоги до надавачів Послуг
Постановою визначено надавачів Послуг, зокрема (і) заходи, що повинні бути здійснені надавачем Послуг для внесення відомостей про нього до переліку надавачів («Перелік»), ведення якого здійснюється Адміністрацією Держспецзв’язку, та (іі) порядок підтвердження відповідності надавача Послуг цим вимогам.
Вимоги містять технічні, організаційні заходи та заходи гарантування фізичної безпеки, зокрема впровадження системи управління інформаційною безпекою («СУІБ») або комплексної системи захисту інформації («КСЗІ») з підтвердженою відповідністю, забезпечення врегулювання інцидентів кібербезпеки та управління безперервністю надання послуг, здійснення заходів з автоматизованого контролю за наданням послуг, моніторинг, аудит та випробування.
Від надавача Послуг вимагається забезпечення відповідності стандартам, зокрема міжнародному стандарту ISO/IEC 27001 або прийнятому відповідно до нього стандарту іноземної країни, або національному стандарту ДСТУ ISO/IEC 27001:2023 (ISO/IEC 27001:2022, IDT), ДСТУ ISO/IEC 27018:2019.
Для підтвердження відповідності вимогам необхідні: (і) документ про відповідність, виданий органом з оцінки відповідності, та/або документ про підтвердження відповідності КСЗІ за результатами державної експертизи у сфері технічного захисту інформації; (іі) документи, що визначають порядок обробки персональних даних; (ііі) документи, що підтверджують право власності або інші речові права на засоби та приміщення, що використовуються під час надання Послуг, а також (iv) документ про відповідність, виданий органом з оцінки відповідності у сфері електронних комунікацій, що підтверджує відповідність вимогам.
- Електронні каталоги Послуг
Постановою також врегульовано процедуру формування та використання електронних каталогів. Ключові положення включають наступне:
- каталоги мають формуватись та вестись надавачем Послуг державною мовою та публікуватись на його вебсайті;
- інформація з електронних каталогів використовується для аналізу ринку хмарних послуг, планування та підготовки до проведення закупівель відповідно до Закону України “Про публічні закупівлі” публічними користувачами хмарних послуг* та операторами критичної інфраструктури щодо об’єктів критичної інформаційної інфраструктури.
*Відповідно до ЗУ «Про хмарні послуги» публічниим користувачем хмарних послуг є орган державної влади, орган влади Автономної Республіки Крим, орган місцевого самоврядування, державне підприємство, державна установа, державна організація чи інший суб’єкт владних повноважень або інший суб’єкт, якому делеговані такі повноваження.
Інформація у каталозі має включати: (і) опис послуги та умов її використання, порядок захисту даних, місце розташування хмарних ресурсів / центру обробки даних, механізм повідомлення про інциденти, відповідність стандартам, а також (іі) код згідно з ЄДРПОУ, міжнародний ідентифікаційний код (код LEI) юридичної особи, або ж реєстраційний номер облікової картки платника податків фізичної особи-підприємця. Ці положення свідчать, що надавачем Послуг може бути як резидент, так і нерезидент України.
- Типовий договір про надання Послуг
Такий договір застосовується при наданні Послуг надавачем публічному користувачу та об’єкту критичної інформаційної інфраструктури. Типовий договір містить положення щодо порядку та умов надання доступу до Послуг, порядку розрахунків, прав та обов’язків його сторін. Наприклад, надавач зобов’язаний негайно повідомляти користувачу про інцидент кібербезпеки, що має чи може мати значний негативний вплив на надання Послуг, з наданням підтвердження інформування CERT-UA, а також надалі інформувати користувача щодо вжитих заходів з реагування на інцидент кібербезпеки.
Щодо відповідальності, то за порушення зобов’язання щодо якості Послуг стягується штраф у розмірі 20 відсотків вартості неякісних Послуг. Додаткові санкції застосовуватимуться у разі порушення строків виконання зобов’язання.
Дострокове розірвання договору допускається (і) за взаємною згодою сторін, (іі) у разі односторонньої відмови внаслідок неналежного виконання іншою стороною умов договору, або (ііі) у випадку припинення або скасування документа, який підтверджує відповідність вимогам щодо управління інформаційною безпекою, неперервністю, безпекою мережевих та інформаційних систем надавачів.
Відповідно до положень Типового договору, до не врегульованих договором правовідносин застосовується право України; також передбачено підсудність відповідних спорів судам України.
- Граничні строки для забезпечення відповідності та наступні кроки
Надавачі та користувачі хмарних послуг або послуг центру обробки даних в Україні повинні дотримуватися правил, встановлених новим регулюванням. До 31 грудня 2025 року публічні користувачі все ще можуть ініціювати закупівлю Послуг у постачальників, яких немає в Переліку. Після цієї дати лише зазначені в Переліку надавачі матимуть право брати участь у публічних закупівлях.
З огляду на це, надавачі Послуг повинні заздалегідь підготуватися до виконання вимог для включення до Переліку, щоб зберегти можливість надання Послуг публічним користувачам після 2025 року.
***
Для отримання додаткової інформації, будь ласка, звертайтеся до партнера Asters Юрія Котлярова та радника Сергія Циби
