«Держава у хмарі»: що змінить Закон України «Про хмарні послуги»?
17 лютого Верховна Рада прийняла довгоочікуваний Закон «Про хмарні послуги» (проєкт №2655).
Проєкт було доопрацьовано в грудні на основі зауважень і коментарів, а остаточним аргументом для його прийняття можна вважати нещодавній круглий стіл за участю спеціалістів НАТО, Міноборони України та Мінцифри України. Міжнародні експерти підтримали ухвалення цього Закону та дали «зелене світло» на застосування хмарних ресурсів для зберігання та захисту інформації в Україні на основі успішного досвіду впровадження подібних систем регулювання в інших країнах.
Команда MK Legal Service, у складі керуючого партнера Максима Курочко та керівника практики ІТ і ТМТ Олексія Ільющенкова, брала участь у розробленні проєкту та підготовці юридичної аргументації для захисту ключових положень для розвитку ІТ-інфраструктури України.
Отже, попри всю критику, поступово проєкт закону набрав більшої правової визначеності. Наразі текст прийнятого Закону ще відсутній на сайті Верховної Ради. У зв’язку з цим, пропонуємо вам ознайомитися в цьому матеріалі з найбільш суттєвими оновленнями, відображеними у фінальному тексті законопроєкту, що було направлено на голосування.
Потреба визначення самостійного предмету правового регулювання
«Хмара», «хмарні ресурси» знаходяться на межі електронних комунікацій та програмного забезпечення, а їхнє спрощене віднесення до електронних комунікацій може призвести до неналежного правового регулювання цього досить складного явища.
Крім того, прийняття окремого закону має на меті впровадження в правове поле України проривної стратегії «Cloud First», яка дозволить як скоротити державні витрати, так і має посилити захищеність та професійність послуг в ІТ-галузі на рівні державного сектору.
Замість більш загального визначення супутніх послуг зазначені послуги центрів обробки даних (ЦОД)
Одночасно, це призводить до того, що в договорах на послуги ЦОД для Публічних користувачів (тобто з державного сектору) теж треба буде враховувати визначені законопроєктом істотні умови договору, яких зараз у них не має.
Конкретно визначений державний орган, який буде реалізовувати державну політику у сфері хмарних послуг
Це буде «регулятор комунікаційних послуг», тобто новостворена Національна комісія, що здійснює державне регулювання у сферах електронних комунікацій, радіочастотного спектра та надання послуг поштового зв’язку, відповідно до нещодавно направленого на підпис Президента України закону.
Крім того, до системи державних органів, які також здійснюють повноваження у сфері хмарних послуг, додано Міністерство оборони України, Національний банк України, Центральну виборчу комісію. Таким чином, державне регулювання у сфері хмарних послуг буде ще більш суттєво посилено, на відміну від ситуації зараз, коли взагалі немає спеціальної системи регулюючих державних органів.
Уточнено вимоги до постачальників (надавачів) хмарних послуг для Публічних користувачів
А саме:
- Обов’язок не використовувати для надання хмарних послуг технічні засоби, розміщені на території, на якій органи державної влади України тимчасово не здійснюють свої повноваження, на території держави, визнаної Верховною Радою України державою-агресором або державою окупантом, а також не використовувати технічні засоби, якими володіють держави або суб’єкти, до яких застосовано санкції відповідно до Закону України «Про санкції».
- Заборону на обробку інформації, що становить державну таємницю, службової інформації, державних та єдиних реєстрів, створення та забезпечення функціонування яких встановлено законом, за допомогою хмарних ресурсів та/або центрів обробки даних, що розміщені за кордоном або на тимчасово окупованій території України, або належать державі, визнаній Верховною Радою України державою-агресором чи державою окупантом, або належать суб’єктам, діяльність яких підпадає під дію Закону України «Про санкції» та щодо яких прийнято рішення про застосування санкцій в Україні.
- Обов’язок вжити відповідних пропорційних технічних та організаційних заходів для управління ризиками, що виникають для безпеки електронної комунікаційної мережі, електронної комунікаційної послуги та інформаційних систем, які використовуються для надання хмарних послуг та мають містити такі елементи як безпеку систем та устаткування; врегулювання інцидентів; управління безперервністю бізнесу; моніторинг, аудит та випробування; відповідність міжнародним стандартам.
- Обов’язок повідомляти про інциденти регулятору та в CERT-UA; здійснювати управління ризиками та повідомляти про них Публічних користувачів тощо.
Питання відповідальності за шкоду третім особам внаслідок хмарних послуг має регулюватися договором
- Уточнено перелік документів, які мають подаватися для внесення в перелік компаній, які мають право надавати хмарні послуги Публічним користувачам, а саме: документи про наявність системи КСЗІ або ISO; документи про політики обробки персональних даних; документи на право власності чи використання засобів для надання послуг; документ про відповідність, виданий органом з оцінки відповідності у сфері електронних комунікацій.
Загалом, ухвалений Закон посилює державне регулювання галузі з надання хмарних послуг, що призводитиме до зростання витрат на входження на ринок. Проте, чинним гравцям буде легше пристосуватися та виконати ці вимоги, ніж новим компаніям.
Тож завдяки активній роботі Комітету з питань цифрової трансформації, експертів і народних депутатів у сесійній залі в Україні нарешті було впроваджено законодавче регулювання хмарних послуг.
Автори:
Максим Курочко, керуючий партнер MK Legal Service, адвокат
Олексій Ільющенков, керівник практики ІТ і ТМТ MK Legal Service
