Держава у хмарі: що змінить Закон України «Про хмарні послуги»?

17 лютого Верховна Рада прийняла довгоочікуваний Закон «Про хмарні послуги» (проєкт № 2655).

Проєкт було доопрацьовано в грудні на основі зауважень і коментарів, а остаточним аргументом для його прийняття можна вважати нещодавній круглий стіл за участю спеціалістів НАТО, Міноборони України та Мінцифри України. Міжнародні експерти підтримали ухвалення цього закону та дали зелене світло застосуванню хмарних ресурсів для зберігання та захисту інформації в Україні на основі успішного досвіду впровадження подібних систем регулювання в інших країнах.

Команда MK Legal Service у складі керуючого партнера Максима Курочка та керівника практики ІТ і ТМТ Олексія Ільющенкова брала участь у розробленні проєкту та підготовці юридичної аргументації на захист ключових положень для розвитку ІТ-інфраструктури України.

Отже, попри всю критику, поступово проєкт закону набув більшої правової визначеності. Наразі текст прийнятого закону ще відсутній на сайті Верховної Ради. У зв’язку з цим пропонуємо вам ознайомитися в цьому матеріалі з найбільш суттєвими оновленнями, відображеними у фінальному тексті законопроєкту, який було скеровано на голосування.

Потреба визначення самостійного предмета правового регулювання

Хмара, хмарні ресурси перебувають на межі електронних комунікацій та програмного забезпечення, а їх спрощене віднесення до електронних комунікацій може призвести до неналежного правового регулювання цього досить складного явища.

Крім того, прийняття окремого закону має на меті впровадження в правове поле України проривної стратегії Cloud First, яка дасть змогу скоротити державні витрати, а також має посилити захищеність та професійність послуг в ІТ-галузі на рівні державного сектору.

Замість більш загального визначення супутніх послуг зазначено послуги центрів обробки даних (ЦОД)

Водночас це призводить до того, що в договорах на послуги ЦОД для публічних користувачів (тобто з державного сектору) теж треба буде враховувати визначені законопроєктом істотні умови, яких зараз у цих договорах немає.

Конкретно визначено державний орган, який буде реалізовувати державну політику у сфері хмарних послуг

Це буде регулятор комунікаційних послуг, тобто новостворена Національна комісія, що здійснює державне регулювання у сферах електронних комунікацій, радіочастотного спектра та надання послуг поштового зв’язку, відповідно до нещодавно скерованого на підпис Президента України закону.

Крім того, до системи державних органів, які також здійснюють повноваження у сфері хмарних послуг, додано Міністерство оборони України, Національний банк України, Центральну виборчу комісію. Таким чином, державне регулювання у сфері хмарних послуг буде ще більш суттєво посилено, на відміну від ситуації зараз, коли взагалі немає спеціальної системи регулювальних державних органів.

Уточнено вимоги до постачальників (надавачів) хмарних послуг для публічних користувачів

А саме встановлено:

• обов’язок не використовувати для надання хмарних послуг технічні засоби, розміщені на території, на якій органи державної влади України тимчасово не здійснюють свої повноваження, на території держави, визнаної Верховною Радою України державою-агресором або державою окупантом, а також не використовувати технічні засоби, якими володіють держави або суб’єкти, до яких застосовано санкції відповідно до Закону України «Про санкції»;
• заборону на обробку інформації, що становить державну таємницю, службової інформації, державних та єдиних реєстрів, створення та забезпечення функціонування яких встановлено законом, за допомогою хмарних ресурсів та/або центрів обробки даних, що розміщені за кордоном чи на тимчасово окупованій території України, або належать державі, визнаній Верховною Радою України державою-агресором чи державою окупантом, або належать суб’єктам, діяльність яких підпадає під дію Закону України «Про санкції» та щодо яких прийнято рішення про застосування санкцій в Україні;
• обов’язок вжити відповідних пропорційних технічних та організаційних заходів для управління ризиками, що виникають, для безпеки електронної комунікаційної мережі, електронної комунікаційної послуги та інформаційних систем, які використовуються для надання хмарних послуг та мають містити такі елементи, як безпека систем та устаткування, врегулювання інцидентів, управління безперервністю бізнесу, моніторинг, аудит та випробування, відповідність міжнародним стандартам;
• обов’язок повідомляти про інциденти регулятору та в CERT-UA, здійснювати управління ризиками та повідомляти про них публічних користувачів тощо.

Питання відповідальності за шкоду третім особам унаслідок хмарних послуг має регулюватися договором

• Уточнено перелік документів, які мають подаватися для внесення в перелік компаній, що мають право надавати хмарні послуги публічним користувачам, а саме документи про наявність системи КСЗІ або ISO; документи про політики обробки персональних даних; документи на право власності чи використання засобів для надання послуг; документ про відповідність, виданий органом з оцінки відповідності у сфері електронних комунікацій.

Загалом ухвалений закон посилює державне регулювання галузі з надання хмарних послуг, що призводитиме до зростання витрат на входження на ринок. Проте чинним гравцям буде легше пристосуватися та виконати ці вимоги, ніж новим компаніям.

Тож завдяки активній роботі Комітету з питань цифрової трансформації, експертів і народних депутатів у сесійній залі в Україні нарешті було запроваджено законодавче регулювання хмарних послуг.