КАБІНЕТ МІНІСТРІВ УКРАЇНИ
ПОСТАНОВА
від 11 лютого 2025 р. № 154
Київ
Деякі питання надання та використання хмарних послуг та/або послуг центру обробки даних
( Із змінами, внесеними згідно з Постановою КМ № 1691 від 17.12.2025 )
Відповідно до пункту 6 частини третьої статті 8, частини другої статті 10, статті 12, підпункту 1 пункту 3 статті 16 "Прикінцеві положення" Закону України "Про хмарні послуги" Кабінет Міністрів України постановляє:
1. Затвердити такі, що додаються:
Порядок надання хмарних послуг та/або послуг центру обробки даних, пов’язаних з обробкою державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом;
вимоги до надавачів хмарних послуг та/або послуг центру обробки даних;
Порядок формування та використання електронних каталогів хмарних послуг та/або послуг центру обробки даних;
Типовий договір про надання хмарних послуг та/або послуг центру обробки даних публічному користувачу хмарних послуг та оператору критичної інфраструктури щодо об’єкта критичної інформаційної інфраструктури.
2. Установити, що:
до 31 грудня 2026 р. публічні користувачі хмарних послуг можуть ініціювати закупівлю хмарних послуг та/або послуг центру обробки даних у надавачів хмарних послуг та/або послуг центру обробки даних, не включених до переліку надавачів хмарних послуг та/або послуг центру обробки даних;
( Абзац другий пункту 2 із змінами, внесеними згідно з Постановою КМ № 1691 від 17.12.2025 )
підготовка пропозицій щодо використання хмарних послуг та/або послуг центру обробки даних органами державної влади, органами влади Автономної Республіки Крим та їх розгляд здійснюються відповідно до Положення про формування та виконання Національної програми інформатизації, затвердженого постановою Кабінету Міністрів України від 2 лютого 2024 р. № 119 (Офіційний вісник України, 2024 р., № 18, ст. 1177).
| Прем'єр-міністр України | Д. ШМИГАЛЬ |
| Інд. 49 | |
ЗАТВЕРДЖЕНО
постановою Кабінету Міністрів України
від 11 лютого 2025 р. № 154
ПОРЯДОК
надання хмарних послуг та/або послуг центру обробки даних, пов’язаних з обробкою державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом
1. Цей Порядок визначає особливості надання хмарних послуг та/або послуг центру обробки даних (далі - послуги), пов’язаних з обробкою державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом (далі - електронні інформаційні ресурси).
Дія цього Порядку не поширюється на відносини, визначені частинами третьою та четвертою статті 4 Закону України "Про хмарні послуги".
2. У цьому Порядку терміни вживаються у значенні, наведеному в Законах України "Про Державну службу спеціального зв’язку та захисту інформації України", "Про електронні комунікації", "Про захист інформації в інформаційно-комунікаційних системах", "Про інформацію", "Про публічні електронні реєстри", "Про основні засади забезпечення кібербезпеки України", "Про хмарні послуги".
3. Послуги надаються публічному користувачу хмарних послуг або користувачу хмарних послуг, що є власником (держателем, розпорядником) електронних інформаційних ресурсів (далі - користувач), надавачем послуг (далі - надавач) на підставі договору про надання послуг (далі - договір), строк дії якого повинен визначатися з урахуванням строку дії документа про відповідність, виданого акредитованим органом з оцінки відповідності в сфері електронних комунікацій, щодо відповідних послуг та не бути більшим строку дії такого документа.
4. Під час порівняння послуг та хмарної інфраструктури користувач враховує документ про відповідність, виданий акредитованим органом з оцінки відповідності в сфері електронних комунікацій, щодо відповідної послуги, який є достатнім документальним підтвердженням вимогам щодо управління інформаційною безпекою, неперервністю, безпеки мережевих та інформаційних систем надавачів.
5. Під час проведення аналізу ринку послуг з метою їх порівняння, зокрема щодо управління інформаційною безпекою, безперервністю та якістю надання послуг, їх впливу на довкілля, користувач використовує перелік надавачів, а також електронний каталог послуг.
6. Заходи з виконання вимог щодо захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах та кібербезпеки, встановлених законодавством у сферах захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах та кібербезпеки, можуть здійснюватися користувачами самостійно або надавачем.
У разі коли виконання таких вимог не може бути забезпечено надавачами, користувачі до початку користування послугами самостійно здійснюють заходи з виконання зазначених вимог.
7. Дані від користувача до надавача можуть передаватися з використанням матеріальних носіїв інформації або електронних комунікаційних мереж, засобів криптографічного захисту інформації з дотриманням вимог до цілісності, конфіденційності та доступності інформації, встановлених законодавством у сферах захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах та кібербезпеки.
Для передачі електронних інформаційних ресурсів використовуються засоби технічного та/або криптографічного захисту інформації, які мають позитивний експертний висновок за результатами державної експертизи у сфері технічного та/або криптографічного захисту інформації або ті, на які видано документ про відповідність (крім передачі службової інформації або інформації, що становить державну таємницю, що обробляється в об’єктах критичної інформаційної інфраструктури), виданий органом з оцінки відповідності, акредитованим Національним агентством з акредитації або національним органом з акредитації іноземної держави, якщо такі органи є членами міжнародних або регіональних організацій з акредитації та/або уклали з такими організаціями угоди про взаємне визнання щодо оцінки відповідності.
( Абзац другий пункту 7 в редакції Постанови КМ № 1691 від 17.12.2025 )
Інші умови передачі даних, у тому числі щодо структурування даних, форматів даних, визначаються договором.
Порядок та підстави для передачі електронних інформаційних ресурсів від одного надавача до іншого передбачаються в договорі. У всіх випадках така передача повинна здійснюватися з дотриманням вимог щодо цілісності, конфіденційності та доступності інформації, встановлених законодавством у сферах захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах та кібербезпеки.
8. Передача даних від користувача до надавача, а також від надавача до користувача повинна здійснюватися у систематизованому та структурованому вигляді, що забезпечує їх належне використання та обробку. Дані повинні передаватися у машинозчитуваному форматі, що забезпечить можливість збереження логічної структури даних та дасть змогу автоматизованої обробки даних без застосування додаткових засобів щодо їх конвертації.
Інформація щодо процесів, технічних вимог, строків передачі електронних інформаційних ресурсів від одного надавача до іншого або відмови від послуг повинна бути надана користувачу до визначення переможця процедури закупівлі (спрощеної процедури закупівлі).
У разі переходу користувача до іншого надавача електронні інформаційні ресурси передаються надавачем до іншого надавача у повному обсязі. Витрати на проведення робіт, пов’язаних з передачею електронних інформаційних ресурсів, здійснюються надавачем, якому передаються електронні інформаційні ресурси.
У разі переходу користувача до іншого надавача такий користувач не пізніше ніж за один календарний місяць до запланованої дати припинення використання послуг повідомляє надавачу про необхідність передачі даних, а також умови та порядок такої передачі.
У разі відмови користувача від використання послуг такий користувач не пізніше ніж за один календарний місяць до запланованої дати припинення використання послуг повідомляє надавачу про рішення, умови та процедури передачі даних, а також їх видалення.
У всіх випадках передача електронних інформаційних ресурсів повинна здійснюватися з дотриманням вимог законодавства у сферах захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах та кібербезпеки.
У разі переходу користувача до іншого надавача або відмови від використання послуг такому користувачу повинна надаватися інформація щодо:
попереднього розрахунку вартості робіт для передачі даних та припинення обробки;
технічних вимог в обсязі, достатньому для проведення оцінки сумісності під час переходу до іншого надавача або для збереження даних;
строку, протягом якого повинно бути здійснено перехід до іншого надавача, або передачі та порядку видалення даних та суми витрат, необхідних на проведення робіт, пов’язаних з передачею електронних інформаційних ресурсів.
9. Під час надання послуг, пов’язаних з обробкою електронних інформаційних ресурсів, повинна забезпечуватися інтероперабельність.
10. Користувачі відповідно до частини шостої статті 8 Закону України "Про основні засади забезпечення кібербезпеки України" створюють резервні копії національних електронних інформаційних ресурсів, що перебувають у їх володінні або розпорядженні та є критичними для їх сталого функціонування, крім тих, передача яких обмежена законодавством у сферах захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах та кібербезпеки, та передають їх для зберігання до Національного центру резервування державних інформаційних ресурсів. Передача резервних копій здійснюється відповідно до Порядку передачі, збереження і доступу до резервних копій національних електронних інформаційних ресурсів, затвердженого постановою Кабінету Міністрів України від 7 квітня 2023 р. № 311 "Деякі питання функціонування Національного центру резервування державних інформаційних ресурсів" (Офіційний вісник України, 2023 р., № 40, ст. 2163), та Закону України "Про захист інформації в інформаційно-комунікаційних системах".
11. Умови припинення використання хмарної інфраструктури та послуг центру обробки даних, в яких обробляються та зберігаються електронні інформаційні ресурси та резервні копії даних, визначаються договором.
Умови та порядок видалення (знищення) даних та їх резервних копій, що створені (накопичені) та/або передані надавачу під час виконання договору, повинні бути передбачені договором з урахуванням методичних рекомендацій, затверджених Адміністрацією Держспецзв’язку.
ЗАТВЕРДЖЕНО
постановою Кабінету Міністрів України
від 11 лютого 2025 р. № 154
(в редакції постанови Кабінету Міністрів України
ВИМОГИ
до надавачів хмарних послуг та/або послуг центру обробки даних
1. Ці вимоги визначають основні умови, які повинні виконувати надавачі хмарних послуг та/або послуг центру обробки даних (далі - надавач) для внесення відомостей про них до переліку надавачів (далі - перелік), а також порядок підтвердження відповідності надавачів цим вимогам.
2. У цих вимогах термін "документ про відповідність, виданий органом з оцінки відповідності у сфері електронних комунікацій" означає сертифікат, виданий за результатами сертифікації на відповідність національним стандартам, гармонізованим з міжнародними стандартами ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, або міжнародним стандартам ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, який є підтвердженням відповідності надавача хмарних послуг та/або послуг центру обробки даних цим вимогам.
Інші терміни у цих вимогах вживаються у значенні, наведеному в Законах України "Про хмарні послуги", "Про електронні комунікації", "Про захист інформації в інформаційно-комунікаційних системах", "Про технічні регламенти та оцінку відповідності", "Про основні засади забезпечення кібербезпеки України".
3. Надавач повинен відповідати вимогам, визначеним у статті 8 Закону України "Про хмарні послуги", та цим вимогам.
4. Захист інформації в інформаційних, електронних комунікаційних, інформаційно-комунікаційних, технологічних системах надавача здійснюється відповідно до законодавства у сферах захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах та кібербезпеки.
5. Надавач для забезпечення захисту інформації в інформаційних, електронних комунікаційних, інформаційно-комунікаційних, технологічних системах, що використовуються для обробки інформації публічних користувачів та/або критично важливих об’єктів інфраструктури, впроваджує та дотримується сукупності заходів захисту, визначених в галузевому профілі безпеки таких систем, який затверджується Мінцифри.
6. Надавач хмарних послуг впроваджує заходи з інформаційної безпеки, що відповідають:
ДСТУ ISO/IEC 27001:2023 (ISO/IEC 27001:2022, IDT) "Інформаційна безпека, кібербезпека та захист конфіденційності. Системи керування інформаційною безпекою. Вимоги" або відповідному міжнародному стандарту ISO/IEC 27001:2022;
ДСТУ ISO/IEC 27017:2017 (ISO/IEC 27017:2015, IDT) "Інформаційні технології. Методи захисту. Звід практик стосовно заходів інформаційної безпеки, що ґрунтуються на ISO/IEC 27002, для хмарних послуг" або відповідному міжнародному стандарту ISO/IEC 27017:2015;
ДСТУ ISO/IEC 27018:2019 (ISO/IEC 27018:2019, IDT) "Інформаційні технології. Методи захисту. Кодекс усталеної практики для захисту персональної ідентифікаційної інформації (РII) у загальнодоступних хмарах, що діють як процесори РII" або відповідному міжнародному стандарту ISO/IEC 27018:2019.
7. Надавач послуг центру обробки даних впроваджує заходи з інформаційної безпеки, що відповідають ДСТУ ISO/IEC 27001:2023 (ISO/IEC 27001:2022, IDT) "Інформаційна безпека, кібербезпека та захист конфіденційності. Системи керування інформаційною безпекою. Вимоги" або відповідному міжнародному стандарту ISO/IEC 27001:2022.
8. Підтвердження відповідності надавача цим вимогам є обов’язковим для внесення відомостей про нього до переліку.
9. Відповідність надавача цим вимогам підтверджується документом про відповідність, виданим органом з оцінки відповідності у сфері електронних комунікацій.
10. Надавач для внесення відомостей про нього до переліку подає до Адміністрації Держспецзв’язку документи, визначені частиною третьою статті 8 Закону України "Про хмарні послуги".
11. Адміністрація Держспецзв’язку проводить перевірку достовірності відомостей та повноти поданих надавачем документів та приймає рішення щодо внесення надавача до переліку відповідно до процедури та у строки, визначені порядком ведення переліку, затвердженим Адміністрацією Держспецзв'язку.
( Вимоги в редакції Постанови КМ № 1691 від 17.12.2025 )
ЗАТВЕРДЖЕНО
постановою Кабінету Міністрів України
від 11 лютого 2025 р. № 154
ПОРЯДОК
формування та використання електронних каталогів хмарних послуг та/або послуг центру обробки даних
1. Цей Порядок визначає процедуру формування, використання електронних каталогів хмарних послуг та/або послуг центру обробки даних.
2. У цьому Порядку терміни вживаються у такому значенні:
електронний каталог хмарних послуг та/або послуг центру обробки даних (далі - електронний каталог) - база даних, яка містить систематизовану та структуровану інформацію про хмарні послуги та/або послуги центру обробки даних (далі - послуги), що формується та ведеться надавачем таких послуг;
структура електронного каталогу - перелік видів інформації, що міститься в електронному каталозі, про надавачів послуг (далі - надавачі) та послуги, що ними надаються.
Інші терміни вживаються у значенні, наведеному в Законах України "Про публічні закупівлі" та "Про хмарні послуги".
3. Надавачі подають інформацію про послуги відповідно до структури електронного каталогу згідно з додатком окремо за кожним видом послуг, передбачених частинами другою та четвертою статті 3 Закону України "Про хмарні послуги".
4. Надавач актуалізує інформацію, зазначену в електронному каталозі, протягом п’яти робочих днів з дня настання обставин, що зумовлюють необхідність такої актуалізації.
5. Електронний каталог ведеться державною мовою. Комерційні найменування надавачів, послуг, найменування стандартів, настанов, схем сертифікацій та оцінки відповідності можуть зазначатися українською та англійською мовами.
6. Інформація з електронного каталогу використовується публічним користувачем хмарних послуг або користувачем хмарних послуг, що є власником (держателем, розпорядником) державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, та операторами критичної інфраструктури щодо об’єктів критичної інформаційної інфраструктури для проведення аналізу ринку таких послуг та планування закупівель та підготовки до проведення закупівель відповідно до Закону України "Про публічні закупівлі".
7. Надавач забезпечує доступ до електронного каталогу через власний веб-сайт на безоплатній основі цілодобово сім днів на тиждень, крім випадків проведення модернізації або планових і позапланових профілактичних та/або технічних робіт, пов’язаних з усуненням технічних та/або методологічних недоліків чи технічного збою в роботі. Інформація про тривалість проведення таких робіт розміщується надавачем на його веб-сайті.
Додаток
до Порядку формування та використання
електронних каталогів хмарних послуг та/або
послуг центру обробки даних
СТРУКТУРА
електронного каталогу хмарних послуг та/або послуг центру обробки даних
1. Повне найменування юридичної особи або прізвище, власне ім’я, по батькові (за наявності) фізичної особи - підприємця.
2. Код згідно з ЄДРПОУ або міжнародний ідентифікаційний код (код LEI) юридичної особи чи реєстраційний номер облікової картки платника податків фізичної особи - підприємця або серія (за наявності) та номер паспорта (для фізичних осіб, які через свої релігійні переконання в установленому порядку відмовилися від прийняття реєстраційного номера облікової картки платника податків та повідомили про це відповідному контролюючому органу і мають відмітку у паспорті).
3. Місцезнаходження юридичної особи або задеклароване чи зареєстроване місце проживання (перебування) фізичної особи - підприємця.
4. Контактні дані особи, відповідальної за надання інформації про надавача хмарних послуг та/або послуг центру обробки даних (далі - надавач) та послуги, що ним надаються:
1) прізвище, власне ім’я, по батькові (за наявності);
2) номер телефону;
3) адреса електронної пошти.
5. Вид хмарних послуг та/або послуг центру обробки даних відповідно до Закону України "Про хмарні послуги":
1) інфраструктура як послуга;
2) платформа як послуга;
3) програмне забезпечення як послуга;
4) безпека як послуга;
5) інші послуги, що відповідають визначенню хмарних послуг;
6) технічне адміністрування електронних комунікаційних мереж, інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем;
7) технічна підтримка користувача хмарних послуг (далі - користувач);
8) розміщення обладнання у центрі обробки даних, включаючи надання у користування окремих приміщень для розміщення обладнання;
9) надання у користування технічних засобів, розміщених у центрі обробки даних;
10) кіберзахист.
6. Комерційне найменування хмарних послуг та/або послуг центру обробки даних (далі - послуги) (за наявності).
7. Короткий опис послуги та її зміст (гіперпосилання на веб-сайт надавача з детальною інформацією про послуги та їх зміст. Якщо надавач надає відповідну послугу разом з іншим надавачем або з використанням його послуг, зазначається інформація про іншого надавача та опис функцій, що здійснюються ним).
8. Можливість надання послуги у:
приватній хмарі;
колективній хмарі;
гібридній хмарі.
9. Умови використання послуги (загальна інформація щодо веб-браузера (веб-браузерів) інтерфейсу, інтерфейс прикладного програмування, інсталяції програмного забезпечення, сумісності операційних систем, можливості використання на електронних пристроях, наявності документації та обмежень, у разі потреби іншої інформації з гіперпосиланням на веб-сайт надавача з детальною інформацією про умови використання послуг).
10. Загальна інформація щодо надання послуг (можливість автоматичного збільшення/зменшення обсягу послуг, порядок та час надання, повідомлення про надмірне споживання, обмеження цих послуг з гіперпосиланням на веб-сайт надавача з детальною інформацією про умови надання послуг).
11. Доступність послуги (гарантовані доступні обсяги, відповідальність надавача у разі недотримання обсягів надання послуг з гіперпосиланням на веб-сайт надавача з детальною інформацією про рівень надання послуг).
12. Передача даних та систем між користувачем та надавачем, зокрема після припинення, розірвання договору про надання послуг публічному користувачу та оператору критичної інфраструктури щодо об’єкта критичної інформаційної інфраструктури (далі - договір) (загальна інформація щодо способів передачі даних та систем, зокрема матеріальних носіїв інформації, інтерфейсів прикладного програмування, формату даних, захисту даних та систем, з гіперпосиланням на веб-сайт надавача з детальною інформацією про умови передачі даних та систем).
13. Видалення даних (їх копій), систем користувача (час зберігання даних (їх копій), систем після видалення користувачем за їх видами, час зберігання даних (їх копій), систем після припинення, розірвання договору, способи знищення даних (їх копій), систем та підтвердження такого знищення з гіперпосиланням на веб-сайт надавача з детальною інформацією про умови видалення даних (їх копій), систем).
14. Передача даних та систем від одного надавача до іншого, зокрема після припинення, розірвання договору (загальна інформація щодо способів передачі даних та систем, зокрема матеріальних носіїв інформації, інтерфейсів прикладного програмування, формату даних, захисту даних та систем, з гіперпосиланням на веб-сайт надавача з детальною інформацією про умови передачі даних та систем).
15. Резервне копіювання даних та відновлення надання послуг (наявність, безперервність роботи з відновлення, частота резервного копіювання даних, особа, відповідальна за налаштуванням резервного копіювання, у разі потреби інша інформація з гіперпосиланням на веб-сайт надавача з детальною інформацією про умови резервного копіювання даних та відновлення надання послуг).
16. Місце розташування хмарних ресурсів, центру обробки даних, зокрема інших надавачів, за допомогою яких надаються послуги (країна, можливість вибору місця розташування користувачем та здійснення контролю за місцем розташування з гіперпосиланням на веб-сайт надавача).
( Пункт 16 із змінами, внесеними згідно з Постановою КМ № 1691 від 17.12.2025 )
17. Порядок захисту даних (загальна інформація щодо процедур із захисту, у тому числі криптографічного захисту даних під час їх передачі та зберігання, застосованих протоколів, алгоритмів з гіперпосиланням на веб-сайт надавача з детальною інформацією про захист даних).
18. Підтримка користувачів (загальна інформація щодо рівнів та способів підтримки (за номером телефону, адресою електронної пошти, у режимі відеоконференції з використанням відповідного програмного забезпечення, зокрема через Інтернет), доступності підтримки (цілодобово, сім днів на тиждень тощо), часу надання відповіді на запит користувача з гіперпосиланням на веб-сайт надавача з детальною інформацією про підтримку користувачів).
19. Повідомлення про інциденти (інциденти кібербезпеки, плановані та позапланові експлуатаційні роботи, що можуть вплинути на якість послуг, з гіперпосиланням на веб-сайт надавача з детальною інформацією про підтримку користувачів щодо інцидентів).
20. Ціна послуг (загальна інформація щодо плати за послуги, фіксована періодична плата або інший порядок формування ціни, деталізація послуг, можливість здійснення контролю за використанням послуг, знижок (за наявності), онлайн-калькулятора з гіперпосиланням на веб-сайт надавача з детальною інформацією про ціни послуг та способи оплати).
21. Відповідність міжнародному стандарту ISO/IEC 27001 або стандарту іноземної країни, прийнятому відповідно до міжнародного стандарту ISO/IEC 27001, або ДСТУ ISO/IEC 27001:2023 (ISO/IEC 27001:2022, IDT) "Інформаційна безпека, кібербезпека та захист конфіденційності. Системи керування інформаційною безпекою. Вимоги", ДСТУ ISO/IEC 27018:2019 "Інформаційні технології. Методи захисту. Кодекс усталеної практики для захисту персональної ідентифікаційної інформації (РII) у загальнодоступних хмарах, що діють як процесори РII" (ISO/IEC 27018:2019, IDT) з гіперпосиланням на веб-сайт надавача з детальною інформацією про відповідність стандартам та законодавству.
ЗАТВЕРДЖЕНО
постановою Кабінету Міністрів України
від 11 лютого 2025 р. № 154
ТИПОВИЙ ДОГОВІР
про надання хмарних послуг та/або послуг центру обробки даних публічному користувачу хмарних послуг та оператору критичної інфраструктури щодо об’єкта критичної інформаційної інфраструктури
( Див. текст )
( Типовий договір із змінами, внесеними згідно з Постановою КМ № 1691 від 17.12.2025 )
Додаток 1
до Типового договору
СПЕЦИФІКАЦІЯ
хмарних послуг та/або послуг центру обробки даних, що надаються за договором
( Див. текст )
Додаток 2
до Типового договору
ТЕХНІЧНІ ВИМОГИ
до договору
( Див. текст )
Додаток 3
до Типового договору
ПЕРЕЛІК
авторизованих осіб
( Див. текст )