Наслідки використання забороненого програмного забезпечення

Держспецзв’язку оприлюднила відкритий перелік забороненого до використання програмного забезпечення (ПЗ) та комунікаційного (мережевого) обладнання (далі — Перелік). Створення цього переліку, передбачає постанова КМУ від 22.10.2025 № 1335.

1. Як формують Перелік та які саме ПЗ та обладнання потрапляють до нього?

Підстави для включення, виключення та/або зміни відомостей щодо ПЗ та комунікаційного (мережевого) обладнання в Переліку є чітко визначеними та передбачені пунктами 5 та 7 Порядку. До Переліку включають ПЗ та обладнання, якщо їх правовласники або кінцеві бенефіціари перебувають під українськими чи міжнародними санкціями або якщо це передбачають рішення суду. Тобто ключовим критерієм є не технічна оцінка безпечності продукту, а санкційний статус осіб, які володіють майновими правами на нього.

Аналіз Указів Президента України про санкції також виявив низку технічних аспектів, що потребують унормування через окремий наказ Держспецзв’язку. Тому наразі Держспецзв’язку розробляє наказ, що визначатиме організаційний та процедурний порядок забезпечення формування та ведення Переліку.

2. Чому формування Переліку займає так багато часу та чому зараз там тільки 40 позицій?

На цей час до Переліку включили те ПЗ та комунікаційне (мережеве) обладнання, інформація про які зазначили в обмежувальному заході відповідного додатка до рішення РНБО «Про застосування персональних спеціальних економічних та інших обмежувальних заходів (санкцій)», введеного в дію Указом Президента України відповідно до Закону України «Про санкції».

Перелік не є вичерпним. Його продовжують наповнювати. Пріоритетно включають ті продукти, які прямо зазначили у відповідних санкційних рішеннях.

3. Чи можна використовувати ПЗ та обладнання, включене до Переліку, якщо система, де його використовують, не має доступу до мережі Інтернет, знаходиться в закритій внутрішній мережі (тобто використання в АС-1, АС-2) або якщо таке ПЗ не оновлюють?

Вимоги, встановлені відповідно до абзацу першого частини четвертої статті 4 Закону України «Про основні засади забезпечення кібербезпеки України» від 05.10.2017 № 2163-VIII, не розмежовують системи за класами, тобто стосуються всіх систем і їх складових (систем, в яких обробляють державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, та систем ОКІ). Вимоги законодавства застосовують незалежно від наявності або відсутності доступу до мережі Інтернет.

📌 Нові можливості в роботі бухгалтера — гайд

4. Чи поширюється заборона на хмарні сервіси (SaaS)?

Законодавство не розмежовує ПЗ за моделлю використання (локальне встановлення, використання через мережу Інтернет, хмарна інфраструктура тощо). Вирішальним є сам факт використання ПЗ у складі інформаційно-комунікаційної системи.

Таким чином, якщо ПЗ включили до Переліку, його використання у вигляді хмарного сервісу (SaaS) у системах, на які поширюють вимоги законодавства, також підпадає під встановлені обмеження.

5. Якщо до Переліку внесли інформацію про ПЗ «1С» та «BAS», правовласником яких є ТОВ «1С», чи можна використовувати таке ПЗ, правовласником яких визначена інша юридична особа, та які наслідки передбачені за використання підсанкційних ПЗ та обладнання?

Внесення програмного продукту до Переліку пов’язують саме із санкційним статусом правовласника або іншої особи, яка володіє майновими правами на відповідний продукт.

Водночас, необхідність і доцільність використання певного ПЗ в інформаційно-комунікаційній системі визначаються на етапі її проєктування розробником або власником з урахуванням особливостей завдань, для автоматизації виконання яких вона створюється, та обмежень згідно із Законом України «Про санкції» від 14.08.2014 № 1644-VII.

Державні інформаційні ресурси або інформація з обмеженим доступом, вимогу щодо захисту якої встановили законом, у системах, об’єктах критичної інформаційної інфраструктури, власниками або розпорядниками яких є органи держвлади, держоргани, держпідприємства, установи та організації, органи місцевого самоврядування, мають оброблятися в авторизованих системах з безпеки або шляхом отримання сертифіката відповідності стандарту інформаційної безпеки, виданого органом з оцінки відповідності (Закон України «Про захист інформації в інформаційно-комунікаційних системах» від 05.07.1994 № 80/94-ВР).

Авторизація з безпеки або отримання сертифіката відповідності стандарту інформаційної безпеки щодо систем, в яких обробляють державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури, власниками або розпорядниками яких є органи держвлади, держоргани, держпідприємства, установи та організації, органи місцевого самоврядування, здійснюється відповідно до законодавства у сфері захисту інформації та кіберзахисту.

Тобто при використанні в системі підсанкційного ПЗ або обладнання пройти авторизацію або отримати сертифікат відповідності стандарту інформаційної безпеки така система не зможе. Для вже авторизованих / сертифікованих систем виявлення факту використання підсанкційного ПЗ або обладнання в системі означатиме скасування авторизації / сертифікації на підставі невідповідності нормам законодавства у сфері захисту інформації та кіберзахисту.

Також при виявленні факту використання підсанкційного ПЗ або обладнання під час проведення заходів державного контролю в сфері захисту інформації власник системи буде зобов’язаний провести заміну такого ПЗ або обладнання, а в разі невиконання припису – буде складено протокол про адміністративне правопорушення за статтею 188-31 Кодексу України про адміністративні правопорушення (невиконання законних вимог посадових осіб органів Держспецзвʼязку), який в подальшому буде направлено до суду.

6. Який саме програмний продукт бухгалтерського обліку використовує Держспецзв’язку?

Держспецзв’язку дотримується вимог законодавства та не використовує програмне забезпечення, внесене до Переліку або таке, що перебуває під санкціями, у тому числі програмні продукти ТОВ «1С».

За інформацією Держспецзв’язку