- Правова система ipLex360
- Законодавство
- Закон України
ЗАКОН УКРАЇНИ
Про хмарні послуги
(Відомості Верховної Ради України (ВВР), 2023, № 15, ст.52)
( Із змінами, внесеними згідно із Законами
№ 3343-IX від 23.08.2023, ВВР, 2023, № 92, ст.357
№ 3549-IX від 16.01.2024, ВВР, 2024, № 18, ст.76
№ 3783-IX від 05.06.2024 )
Стаття 1. Сфера дії Закону
Цей Закон визначає правові відносини, що виникають при наданні хмарних послуг, та встановлює особливості використання хмарних послуг органами державної влади, органами влади Автономної Республіки Крим, органами місцевого самоврядування, військовими формуваннями, утвореними відповідно до законів України, державними підприємствами, установами та організаціями, суб’єктами владних повноважень та іншими суб’єктами, яким делеговані такі повноваження.
Стаття 2. Визначення термінів
1. У цьому Законі терміни вживаються у такому значенні:
комунікаційні послуги - хмарні послуги та послуги центрів обробки даних;
користувач хмарних послуг - фізична або юридична особа, яка використовує хмарні послуги для забезпечення власних потреб;
надавач хмарних послуг - юридична особа або фізична особа - підприємець, яка надає одну або більше хмарні послуги самостійно або спільно з іншими надавачами хмарних послуг;
публічний користувач хмарних послуг (далі - публічний користувач) - орган державної влади, орган влади Автономної Республіки Крим, орган місцевого самоврядування, державне підприємство, державна установа, державна організація чи інший суб’єкт владних повноважень або інший суб’єкт, якому делеговані такі повноваження;
регулятор комунікаційних послуг - центральний орган виконавчої влади, що забезпечує формування та реалізацію державної політики у сферах організації спеціального зв’язку, захисту інформації;
технологія хмарних обчислень - технологія забезпечення дистанційного доступу на вимогу користувача до хмарної інфраструктури через електронні комунікаційні мережі;
хмара (хмарна інфраструктура) - сукупність динамічно розподілюваних та налаштовуваних хмарних ресурсів, що можуть бути оперативно надані користувачу хмарних послуг і вивільнені через глобальну та локальні мережі передачі даних;
хмарна послуга - послуга з надання хмарних ресурсів за допомогою технології хмарних обчислень;
хмарні ресурси - будь-які технічні та програмні засоби або інші компоненти інформаційної (автоматизованої) системи, доступ до яких забезпечують технології хмарних обчислень, зокрема процесорний час (обчислювальна потужність), місце у сховищах даних, обчислювальні мережі, бази даних і комп’ютерні програми;
центр обробки даних - спеціалізований технічний комплекс, що складається з інженерної (системи безперебійного електроживлення, вентиляції, охолодження та регулювання вологості, пожежної безпеки, фізичної охорони), інформаційної, електронної комунікаційної та програмно-апаратної інфраструктури, засоби якого забезпечують або реалізують надання послуг із зберігання та обробки даних, у тому числі, але не обмежуючи: надання хмарних послуг, резервного копіювання даних, передачі даних, оренди комунікаційних стійок, послуг хостингу.
2. Інші терміни в цьому Законі вживаються у значеннях, наведених у
Цивільному кодексі України, законах України
"Про інформацію",
"Про електронні довірчі послуги",
"Про електронні документи та електронний документообіг",
"Про захист інформації в інформаційно-телекомунікаційних системах",
"Про стандартизацію",
"Про технічні регламенти та оцінку відповідності",
"Про наукову і науково-технічну експертизу",
"Про Національний банк України",
"Про захист персональних даних",
"Про авторське право і суміжні права",
"Про основні засади забезпечення кібербезпеки України",
"Про національну безпеку",
"Про електронні комунікації".
Стаття 3. Види хмарних послуг
1. Хмарні послуги надаються користувачам хмарних послуг на договірних засадах надавачами хмарних послуг.
2. До хмарних послуг належать:
інфраструктура як послуга - хмарна послуга, що полягає у наданні користувачу хмарних послуг обчислювальних ресурсів, ресурсів зберігання або систем електронних комунікацій за допомогою технології хмарних обчислень;
платформа як послуга - хмарна послуга, що полягає у наданні користувачу хмарних послуг доступу до інфраструктури та наборів комп’ютерних програм (операційних систем, системних комп’ютерних програм, програмних засобів для комп’ютерного програмування, програмних засобів управління базами даних) за допомогою технології хмарних обчислень;
програмне забезпечення як послуга - хмарна послуга, що полягає у наданні користувачу хмарних послуг доступу до прикладних комп’ютерних програм за допомогою технології хмарних обчислень через онлайн-сервіс або комп’ютерні програми-агенти;
безпека як послуга - послуга з кіберзахисту, що надається користувачу хмарних послуг з використанням хмарних ресурсів;
інші послуги, що відповідають визначенню хмарних послуг.
3. Хмарні послуги надаються в один із таких способів:
приватна хмара - хмарна інфраструктура, що підготовлена для використання єдиним користувачем хмарних послуг та контролюється ним;
колективна хмара - хмарна інфраструктура, що поділена між визначеною групою взаємопов’язаних користувачів хмарних послуг, які мають спільні потреби, та контролюється користувачами хмарних послуг самостійно або їх представниками;
публічна хмара - хмарна інфраструктура, що потенційно доступна для невизначеного кола користувачів хмарних послуг та контролюється надавачем хмарних послуг;
гібридна хмара - хмарна інфраструктура, що є композицією з двох або більше різних хмарних інфраструктур (приватні, колективні або публічні), що є самостійними об’єктами, пов’язаними між собою технологіями, що дозволяють переносити дані або комп’ютерні програми між цими об’єктами.
4. До послуг центру обробки даних належать послуги з:
технічного адміністрування інформаційних (автоматизованих), електронних комунікаційних мереж та інформаційно-комунікаційних систем;
технічної підтримки користувача хмарних послуг;
розміщення обладнання у центрі обробки даних, включаючи надання у користування окремих приміщень для розміщення обладнання;
надання у користування технічних засобів, розміщених у центрі обробки даних;
кіберзахисту.
5. Кожна хмарна послуга може надаватися окремо і в сукупності з іншими послугами центру обробки даних.
Стаття 4. Використання хмарних послуг
1. Вимоги у сфері електронних довірчих послуг за допомогою технології хмарних обчислень затверджуються Кабінетом Міністрів України.
3. Порядок застосування технології хмарних обчислень та надання хмарних послуг банками, особами, що провадять діяльність на ринках фінансових послуг, державне регулювання та нагляд за діяльністю яких здійснює Національний банк України, платіжними організаціями та/або учасниками платіжних систем, операторами послуг платіжної інфраструктури визначається Національним банком України відповідно до вимог цього Закону.
4. Особливості порядку застосування технології хмарних обчислень та надання хмарних послуг та послуг центру обробки даних з питань національної безпеки у воєнній і оборонній сферах, у тому числі питання, пов’язані із зверненням за одержанням хмарних послуг в інтересах оборони та порядок отримання хмарних послуг, вирішуються Міністерством оборони України з урахуванням вимог цього Закону, виходячи із позиції посилення національної безпеки у воєнній і оборонній сферах та виконання завдань у сфері оборони з урахуванням міжнародних договорів України, згоду на обов’язковість яких надано Верховною Радою України.
Стаття 5. Учасники відносин у сфері хмарних послуг
1. Учасниками відносин у сфері хмарних послуг є:
користувач хмарних послуг, включаючи публічного користувача;
надавач хмарних послуг;
надавач послуг центру обробки даних;
органи державної влади.
Стаття 6. Державне управління і регулювання у сфері хмарних послуг
1. Організаційну систему державного управління і регулювання у сфері хмарних послуг становлять:
1) Кабінет Міністрів України;
2) регулятор комунікаційних послуг;
3) центральний орган виконавчої влади, що забезпечує формування та реалізує державну політику у сфері хмарних послуг;
4) орган, уповноважений здійснювати контроль за додержанням законодавства про захист персональних даних;
5) Міністерство оборони України;
6) Національний банк України;
7) Центральна виборча комісія.
Стаття 7. Повноваження регулятора комунікаційних послуг
1. Регулятор комунікаційних послуг:
реалізує державну політику у сфері хмарних послуг;
веде Перелік надавачів хмарних послуг та/або послуг центру обробки даних (далі - перелік), вносить, змінює або виключає відомості про надавачів хмарних послуг та/або послуг центру обробки даних;
здійснює реєстрацію надавачів хмарних послуг та/або послуг центру обробки даних;
затверджує порядок ведення переліку;
розглядає заяви про внесення до переліку, подані надавачами хмарних послуг та/або послуг центру обробки даних, приймає та оприлюднює рішення за результатами розгляду таких заяв;
перевіряє інформацію, що міститься у заявах про внесення відомостей до переліку, поданих надавачами хмарних послуг та/або послуг центру обробки даних, щодо відповідності вимогам до надавачів кожного виду хмарних послуг та/або послуг центру обробки даних;
розробляє пропозиції щодо вдосконалення законодавства та подає їх в установленому порядку на розгляд Кабінету Міністрів України;
готує пропозиції до визначення структури, порядку формування та використання електронних каталогів хмарних послуг та/або послуг центру обробки даних;
узагальнює практику застосування законодавства та надає методичні рекомендації з питань, що належать до його компетенції;
готує зауваження і пропозиції до прийнятих Верховною Радою України законів, що надійшли на підпис Президенту України.
Стаття 8. Вимоги до надавача хмарних послуг та/або послуг центру обробки даних
1. Надавач хмарних послуг та/або послуг центру обробки даних зобов’язаний не використовувати для надання хмарних послуг технічні засоби, розміщені на території, на якій органи державної влади України тимчасово не здійснюють свої повноваження, на території держави, визнаної Верховною Радою України державою-агресором або державою-окупантом, а також не використовувати технічні засоби, якими володіють держави або суб’єкти, до яких застосовано санкції відповідно до
Закону України "Про санкції".
Надавач хмарних послуг та/або послуг центру обробки даних повинен вжити відповідних пропорційних технічних та організаційних заходів для управління ризиками, що виникають для безпеки електронної комунікаційної мережі, електронної комунікаційної послуги та інформаційних систем, які використовуються для надання хмарних послуг.
Такі заходи мають забезпечувати рівень безпеки електронної комунікаційної мережі, електронної комунікаційної послуги та інформаційних систем, які використовуються для надання хмарних послуг, що відповідає ризику, який виник, та враховувати такі елементи:
безпеку систем та устаткування;
врегулювання інцидентів;
управління безперервністю бізнесу;
моніторинг, аудит та випробування;
відповідність міжнародним стандартам.
Надавач хмарних послуг та/або послуг центру обробки даних без необґрунтованої затримки повинен повідомляти регулятора комунікаційних послуг та CERT-UA про будь-який інцидент, який має значний негативний вплив на надання хмарної послуги та/або послуг центру обробки даних, у порядку, затвердженому регулятором комунікаційних послуг.
Надавач хмарних послуг та/або послуг центру обробки даних повинен:
надавати державному органу, призначеному для формування та реалізації державної політики у сфері кіберзахисту, інформацію, необхідну для оцінювання безпеки електронної комунікаційної мережі, електронної комунікаційної послуги та інформаційних систем, у тому числі документально встановленої політики безпеки;
усувати будь-яку невідповідність вимогам, затвердженим регулятором комунікаційних послуг.
Надавач хмарних послуг та/або послуг центру обробки даних публічним користувачам та критично важливим об’єктам інфраструктури до початку надання цих послуг повинен повідомити публічному користувачу та критично важливим об’єктам інфраструктури інформацію про ризики безпеки інформації у зв’язку з її обробленням у системі хмарних обчислень.
2. Для надання хмарних послуг та/або послуг центру обробки даних публічним користувачам та/або критично важливим об’єктам інфраструктури відомості про надавачів хмарних послуг та/або послуг центру обробки даних мають бути внесені до переліку.
3. Надавачі хмарних послуг та/або послуг центру обробки даних для внесення відомостей про них до переліку подають до регулятора комунікаційних послуг:
1) заяву про внесення до переліку із зазначенням відповідних видів хмарних послуг та/або послуг центру обробки даних, передбачених цим Законом, за формою, затвердженою регулятором комунікаційних послуг;
2) документи, передбачені частиною другою або четвертою
статті 8 Закону України "Про захист інформації в інформаційно-телекомунікаційних системах";
3) документи, що визначають порядок обробки персональних даних чи політики, якими регламентовано дотримання конфіденційності обробки персональних даних;
4) засвідчені в установленому порядку копії документів, що підтверджують право власності або право користування засобами, що використовуються при наданні хмарних послуг;
5) для надавачів послуг центру обробки даних - засвідчені в установленому порядку копії документів, що підтверджують право власності або право користування нежилими приміщеннями, що використовуються для розміщення всіх складових програмно-технічного комплексу, що забезпечують надання хмарних послуг;
6) документ про відповідність, виданий органом з оцінки відповідності у сфері електронних комунікацій, що підтверджує відповідність юридичних осіб, фізичних осіб - підприємців, які мають намір надавати хмарні послуги та/або послуги центру обробки даних, вимогам до надавачів хмарних послуг та/або послуг центру обробки даних, затвердженим Кабінетом Міністрів України.
................Перейти до повного тексту