Два питання знавцям кібер-законодавства

Два питання знавцям кібер-законодавства. Точніше, знавцям того, що досить умовно можна назвати кібер-законодавством: ЗУ про захист інформації в ІТС, ЗУ про захист персональних даних, постанова КМУ 518 і т. ін. І поки уся ця макулатура залишається діючим законодавством, його доводиться виконувати.

Наприклад, державним установам.

Тож перше питання: наскільки законно розміщувати державні інформаційні ресурси на серверах, які фізично розташовані поза межами України?

Друге питання: якщо державний інформаційний ресурс замаскувався нібито він за кордоном, а насправді фізично розташований на сервері в України, наскільки законно примусово(!) завертати увесь (!) його трафік через сервер поза межами України (навіть задля святої мети захисту від DDoS)? У трафіку точно летить (передається? обробляється?) багато персональних даних громадян України. Трафік шифрований, але хз якою довжиною ключа.

Підказка: йдеться про портал https://diia.gov.ua

Бонусне третє запитання можливе за результатами обговорення.

Вже дякую усім небайдужим фахівцям.