КАБІНЕТ МІНІСТРІВ УКРАЇНИ
ПОСТАНОВА
| від 17 грудня 2025 р. № 1691 Київ |
Про внесення змін до постанови Кабінету Міністрів України від 11 лютого 2025 р. № 154
Кабінет Міністрів України постановляє:
Внести до постанови Кабінету Міністрів України від 11 лютого 2025 р. № 154 "Деякі питання надання та використання хмарних послуг та/або послуг центру обробки даних" (Офіційний вісник України, 2025 р., № 21, ст. 1383) зміни, що додаються.
| Прем'єр-міністр України | Ю. СВИРИДЕНКО |
| Інд. 49 | |
ЗАТВЕРДЖЕНО
постановою Кабінету Міністрів України
від 17 грудня 2025 р. № 1691
ЗМІНИ,
що вносяться до постанови Кабінету Міністрів України від 11 лютого 2025 р. № 154
( Див. текст )
1. В абзаці другому пункту 2 постанови слова і цифри "до 31 грудня 2025 р." замінити словами і цифрами "до 31 грудня 2026 р.".
2. Абзац другий пункту 7 Порядку надання хмарних послуг та/або послуг центру обробки даних, пов’язаних з обробкою державних інформаційних ресурсів або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, затвердженого зазначеною постановою, викласти в такій редакції:
"Для передачі електронних інформаційних ресурсів використовуються засоби технічного та/або криптографічного захисту інформації, які мають позитивний експертний висновок за результатами державної експертизи у сфері технічного та/або криптографічного захисту інформації або ті, на які видано документ про відповідність (крім передачі службової інформації або інформації, що становить державну таємницю, що обробляється в об’єктах критичної інформаційної інфраструктури), виданий органом з оцінки відповідності, акредитованим Національним агентством з акредитації або національним органом з акредитації іноземної держави, якщо такі органи є членами міжнародних або регіональних організацій з акредитації та/або уклали з такими організаціями угоди про взаємне визнання щодо оцінки відповідності.".
3. Вимоги до надавачів хмарних послуг та/або послуг центру обробки даних, затверджені зазначеною постановою, викласти в такій редакції:
"ЗАТВЕРДЖЕНО
постановою Кабінету Міністрів України
від 11 лютого 2025 р. № 154
(в редакції постанови Кабінету Міністрів України
від 17 грудня 2025 р. № 1691)
ВИМОГИ
до надавачів хмарних послуг та/або послуг центру обробки даних
1. Ці вимоги визначають основні умови, які повинні виконувати надавачі хмарних послуг та/або послуг центру обробки даних (далі - надавач) для внесення відомостей про них до переліку надавачів (далі - перелік), а також порядок підтвердження відповідності надавачів цим вимогам.
2. У цих вимогах термін "документ про відповідність, виданий органом з оцінки відповідності у сфері електронних комунікацій" означає сертифікат, виданий за результатами сертифікації на відповідність національним стандартам, гармонізованим з міжнародними стандартами ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, або міжнародним стандартам ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, який є підтвердженням відповідності надавача хмарних послуг та/або послуг центру обробки даних цим вимогам.
Інші терміни у цих вимогах вживаються у значенні, наведеному в Законах України "Про хмарні послуги", "Про електронні комунікації", "Про захист інформації в інформаційно-комунікаційних системах", "Про технічні регламенти та оцінку відповідності", "Про основні засади забезпечення кібербезпеки України".
3. Надавач повинен відповідати вимогам, визначеним у статті 8 Закону України "Про хмарні послуги", та цим вимогам.
4. Захист інформації в інформаційних, електронних комунікаційних, інформаційно-комунікаційних, технологічних системах надавача здійснюється відповідно до законодавства у сферах захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах та кібербезпеки.
5. Надавач для забезпечення захисту інформації в інформаційних, електронних комунікаційних, інформаційно-комунікаційних, технологічних системах, що використовуються для обробки інформації публічних користувачів та/або критично важливих об’єктів інфраструктури, впроваджує та дотримується сукупності заходів захисту, визначених в галузевому профілі безпеки таких систем, який затверджується Мінцифри.
6. Надавач хмарних послуг впроваджує заходи з інформаційної безпеки, що відповідають:
ДСТУ ISO/IEC 27001:2023 (ISO/IEC 27001:2022, IDT) "Інформаційна безпека, кібербезпека та захист конфіденційності. Системи керування інформаційною безпекою. Вимоги" або відповідному міжнародному стандарту ISO/IEC 27001:2022;
ДСТУ ISO/IEC 27017:2017 (ISO/IEC 27017:2015, IDT) "Інформаційні технології. Методи захисту. Звід практик стосовно заходів інформаційної безпеки, що ґрунтуються на ISO/IEC 27002, для хмарних послуг" або відповідному міжнародному стандарту ISO/IEC 27017:2015;
ДСТУ ISO/IEC 27018:2019 (ISO/IEC 27018:2019, IDT) "Інформаційні технології. Методи захисту. Кодекс усталеної практики для захисту персональної ідентифікаційної інформації (РII) у загальнодоступних хмарах, що діють як процесори РII" або відповідному міжнародному стандарту ISO/IEC 27018:2019.
7. Надавач послуг центру обробки даних впроваджує заходи з інформаційної безпеки, що відповідають ДСТУ ISO/IEC 27001:2023 (ISO/IEC 27001:2022, IDT) "Інформаційна безпека, кібербезпека та захист конфіденційності. Системи керування інформаційною безпекою. Вимоги" або відповідному міжнародному стандарту ISO/IEC 27001:2022.
8. Підтвердження відповідності надавача цим вимогам є обов’язковим для внесення відомостей про нього до переліку.
9. Відповідність надавача цим вимогам підтверджується документом про відповідність, виданим органом з оцінки відповідності у сфері електронних комунікацій.
10. Надавач для внесення відомостей про нього до переліку подає до Адміністрації Держспецзв’язку документи, визначені частиною третьою статті 8 Закону України "Про хмарні послуги".
11. Адміністрація Держспецзв’язку проводить перевірку достовірності відомостей та повноти поданих надавачем документів та приймає рішення щодо внесення надавача до переліку відповідно до процедури та у строки, визначені порядком ведення переліку, затвердженим Адміністрацією Держспецзв'язку.".
4. У пункті 16 додатка до Порядку формування та використання електронних каталогів хмарних послуг та/або послуг центру обробки даних, затвердженого зазначеною постановою, слова "з детальною інформацією про місце розташування хмарних ресурсів, центру обробки даних, зокрема інших надавачів, та можливість здійснення контролю за місцем розташування" виключити.
5. У Типовому договорі про надання хмарних послуг та/або послуг центру обробки даних публічному користувачу хмарних послуг та оператору критичної інфраструктури щодо об’єкта критичної інформаційної інфраструктури, затвердженому зазначеною постановою:
1) пункт 3 викласти в такій редакції:
"3. Надавач надає користувачу доступ до послуг після отримання від нього переліку авторизованих осіб користувача (далі - авторизовані особи) за формою згідно з додатком 3.
Авторизованими особами для цілей цього договору вважаються фізичні або юридичні особи, яким користувач надає повноваження на доступ до послуг, у тому числі працівники надавача, залучені консультанти, підрядники або субпідрядники.
Авторизовані особи мають право здійснювати налаштування, управління або адміністрування послуг від імені користувача виключно за умови дотримання ними вимог цього договору та відповідного письмового уповноваження з боку користувача.
Відповідальним за дії авторизованих осіб є користувач, якщо інше не передбачено цим договором.
У разі виявлення користувачем порушення вимог цього договору авторизованою особою користувач зобов’язаний негайно призупинити доступ такої особи до послуг.
У разі зміни авторизованих осіб користувач надає надавачу оновлений перелік авторизованих осіб не пізніше ніж протягом наступного робочого дня з дати їх зміни.";
2) доповнити Типовий договір пунктами 6-1-6-3 такого змісту:
"6-1. Право власності, у тому числі право інтелектуальної власності, на дані, метадані, конфігураційні налаштування, програмні елементи, що є частиною програмного забезпечення, та на будь-яку іншу інформацію, створену, введену, накопичену або використану під час користування послугами (далі - контент), належить користувачу.
6-2. Копіювання, використання, обробка, зміна або передача третім особам контенту, створеного користувачем, забороняється, за винятком випадків, прямо передбачених цим договором або письмово погоджених з користувачем.
6-3. Майнові права інтелектуальної власності на об’єкти інтелектуальної власності, які розроблені надавачем у межах цього договору, включаючи їх похідні продукти, інтерфейси, інструменти та програмне забезпечення, належать надавачу.";
3) пункт 10 викласти в такій редакції:
"10. Надавач забезпечує захист даних (у тому числі персональних) під час надання послуг, зокрема від несанкціонованих дій (внутрішніх та зовнішніх загроз, інцидентів кібербезпеки, кібератак), відповідно до політик безпеки, вимог щодо захисту інформації в інформаційно-комунікаційних системах, визначених законодавством, та документів, що визначають порядок обробки персональних даних.";
4) у пункті 12 слово "обсягу" замінити словами "від визначених технічними вимогами параметрів якості";
5) пункт 13 викласти в такій редакції:
"13. Після закінчення кожного періоду надання послуг користувач у процесі погодження акта приймання-передачі наданих послуг, виявивши факти недотримання якості надання послуг, повідомляє надавачу про зауваження до відповідного акта приймання-передачі, зокрема з метою зменшення надавачем вартості наданих послуг відповідно до фактичної якості надання послуг.";
6) доповнити пункт 26 підпунктом 6 такого змісту:
"6) надавати послуги з належним рівнем якості, а також відповідати усім застосовним вимогам, визначеним технічними вимогами.";
7) доповнити Типовий договір після розділу "Вирішення спорів" розділом такого змісту:
"Конфіденційність
35-1. Сторони зобов’язуються не використовувати та не поширювати конфіденційну інформацію, надану однією із сторін, протягом дії цього договору та після його припинення.
35-2. Положення пунктів 35-1-35-7 цього договору не поширюються на конфіденційну інформацію, яка:
1) на момент розкриття була відома стороні, яка її отримує, і це може бути документально підтверджено;
2) стала загальнодоступною не з вини сторони, яка її отримує;
3) була самостійно створена стороною, яка її отримує, без використання або посилання на конфіденційну інформацію іншої сторони;
4) була законно отримана від третьої особи, яка не має зобов’язань щодо її нерозголошення.
35-3. Конфіденційна інформація може використовуватися виключно для цілей виконання цього договору. Будь-яке інше її використання можливе лише за письмовою згодою сторони, що надає доступ до інформації.
35-4. Передача конфіденційної інформації третім особам допускається лише у разі:
1) надання доступу аудиторам та суб’єктам аудиторської діяльності відповідно до закону;
2) за рішенням суду або у випадках, визначених законом;
3) у межах надання послуг - уповноваженим підрядникам/ субпідрядникам, які уклали аналогічне зобов’язання щодо конфіденційності.
35-5. У разі надсилання запиту однією із сторін щодо повернення або знищення конфіденційної інформації, якою вона володіє, інша сторона повинна негайно повернути або знищити усі копії конфіденційної інформації, за винятком тих, що автоматично створені системами резервного копіювання.
У такому разі інформація повинна бути недоступною в активних системах. Під час її автоматичного відновлення інша сторона зобов’язується негайно її знищити без розголошення.
35-6. Розголошення конфіденційної інформації третім особам без згоди заборонено, крім випадків, передбачених пунктом 35-4 цього договору.
35-7. Обробка та захист інформації, що використовується під час надання послуг, здійснюється відповідно до Законів України "Про інформацію", "Про захист інформації в інформаційно-комунікаційних системах", "Про захист персональних даних" та нормативно-правових актів, прийнятих на виконання цих законів.";
8) пункт 41 викласти в такій редакції:
"41. Жодна із сторін не має права передавати свої права або обов’язки за цим договором третій особі без попередньої письмової згоди іншої сторони.".