Держспецзв’язку пояснило, як формують перелік забороненого ПЗ і мережевого обладнання, чи діє заборона для SaaS і закритих мереж, а також які наслідки має використання підсанкційних продуктів
Нові посадові оклади за ЄТС з 1 січня 2026 року
З набранням чинності постановою КМУ від 22.10.2025 № 1335 Уряд затвердив Порядок формування та ведення відкритого переліку забороненого до використання програмного забезпечення та комунікаційного (мережевого) обладнання (далі — Перелік).
Відповіді на найпоширеніші запитання щодо формування, застосування та наслідків використання ПЗ з Переліку
1. Як відбувається формування Переліку та які саме ПЗ та обладнання потрапляють до Переліку
Підстави для включення, виключення та/або зміни відомостей щодо програмного забезпечення та комунікаційного (мережевого) обладнання в Переліку є чітко визначеними та передбачені п. 5 та п. 7 Порядку.
До Переліку включаються ПЗ та обладнання, якщо:
- їх правовласники або кінцеві бенефіціари перебувають під українськими чи міжнародними санкціями; або
- якщо суд ухвалив відповідне рішення (п. 5 та п. 7 Порядку).
Тобто ключовим критерієм є не технічна оцінка безпечності продукту, а санкційний статус осіб, які володіють майновими правами на нього.
Аналіз Указів Президента України про санкції також виявив низку технічних аспектів, що потребують унормування через окремий наказ Адміністрації Держспецзв’язку. Тому наразі Адміністрація Держспецзв’язку розробляє наказ, що буде визначати організаційний та процедурний порядок забезпечення формування та ведення Переліку.
Це дасть можливість:
- систематизувати та налагодити процес збору, аналізу та опрацювання інформації для формування Переліку; та
- забезпечити більш ефективну роботу з інформацією про підсанкційних осіб та їх права власності.
2. Чому формування Переліку займає так багато часу та чому зараз там тільки 40 позицій
Наразі Перелік містить те програмне забезпечення та комунікаційне (мережеве) обладнання, які прямо фігурують в обмежувальному заході відповідного додатка до рішення Ради національної безпеки і оборони України «Про застосування персональних спеціальних економічних та інших обмежувальних заходів (санкцій)», введеного в дію Указом Президента України відповідно до Закону України «Про санкції» від 14.08.2014 № 1644-VII (далі — Закон про санкції).
Перелік не є вичерпним і продовжує наповнюватися. Пріоритетно включаються ті продукти, які прямо зазначені у відповідних санкційних рішеннях.
3. Чи можна використовувати ПЗ та обладнання, включене до Переліку, якщо система, де воно використовується, не має доступу до мережі Інтернет, знаходиться в закритій внутрішній мережі (тобто використання в АС-1, АС-2) або якщо таке ПЗ не оновлюється
Відсутність доступу до мережі Інтернет або оновлень, звісно, знижує ризик віддаленого доступу до обладнання або доступу до інформації, що обробляється в системі. Однак вимоги, встановлені відповідно до абз. 1 ч. 4 ст. 4 Закону України «Про основні засади забезпечення кібербезпеки України» від 05.10.2017 № 2163-VIII, не розмежовують системи за класами, тобто стосуються всіх систем і їх складових (систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, та систем ОКІ). Вимоги законодавства застосовуються незалежно від наявності або відсутності доступу до мережі Інтернет.
4. Чи поширюється заборона на хмарні сервіси (SaaS)
Законодавство не розмежовує програмне забезпечення за моделлю використання (локальне встановлення, використання через мережу Інтернет, хмарна інфраструктура тощо). Вирішальним є сам факт використання програмного забезпечення у складі інформаційно-комунікаційної системи.
Отже, якщо програмне забезпечення включено до Переліку, його використання у вигляді хмарного сервісу (SaaS) у системах, на які поширюються вимоги законодавства, також підпадає під встановлені обмеження.
5. Якщо до Переліку внесена інформація про ПЗ «1С» та «BAS», правовласником яких є ТОВ «1С», чи можна використовувати таке ПЗ, правовласником яких визначена інша юридична особа, та які наслідки передбачені за використання підсанкційних ПЗ та обладнання
Внесення програмного продукту до Переліку пов’язується саме із санкційним статусом правовласника або іншої особи, яка володіє майновими правами на відповідний продукт.
Водночас, необхідність і доцільність використання певного програмного забезпечення в інформаційно-комунікаційній системі визначаються на етапі її проєктування розробником або власником з урахуванням особливостей завдань, для автоматизації виконання яких вона створюється, та обмежень згідно із Законом про санкції.
Державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, у системах, об’єктах критичної інформаційної інфраструктури, власниками або розпорядниками яких є органи державної влади, державні органи, державні підприємства, установи та організації, органи місцевого самоврядування, мають оброблятися в авторизованих системах з безпеки або шляхом отримання сертифіката відповідності стандарту інформаційної безпеки, виданого органом з оцінки відповідності (Закон України «Про захист інформації в інформаційно-комунікаційних системах» від 05.07.1994 № 80/94-ВР).
Авторизація з безпеки або отримання сертифіката відповідності стандарту інформаційної безпеки щодо систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури, власниками або розпорядниками яких є органи державної влади, державні органи, державні підприємства, установи та організації, органи місцевого самоврядування, здійснюється відповідно до законодавства у сфері захисту інформації та кіберзахисту.
Тобто при використанні в системі підсанкційного ПЗ або обладнання пройти авторизацію або отримати сертифікат відповідності стандарту інформаційної безпеки така система не зможе. Для вже авторизованих/сертифікованих систем виявлення факту використання підсанкційного ПЗ або обладнання в системі буде означати скасування авторизації/сертифікації на підставі невідповідності нормам законодавства у сфері захисту інформації та кіберзахисту.
Також при виявленні факту використання підсанкційного ПЗ або обладнання під час проведення заходів державного контролю в сфері захисту інформації власник системи буде зобов’язаний провести заміну такого ПЗ або обладнання, а в разі невиконання припису — буде складений протокол про адміністративне правопорушення за ст. 18831 КУпАП (невиконання законних вимог посадових осіб органів Державної служби спеціального звʼязку та захисту інформації України), який в подальшому буде направлений до суду.
6. Щодо поточного вигляду сайту та опублікованого Переліку
Формат відображення даних, необхідний для публікації та ведення Переліку, є новим для офіційного вебсайту Держспецзвʼязку. Відомство працює над удосконаленням формату відображення даних для забезпечення зручності користувачів. Пропозиції щодо покращення роботи офіційного вебсайту Держспецзв’язку, можна надавати через офіційні канали зв’язку.
7. Який саме програмний продукт бухгалтерського обліку використовує Держспецзв’язку
Держспецзв’язку дотримується вимог законодавства та не використовує програмне забезпечення, внесене до Переліку або таке, що перебуває під санкціями, у тому числі програмні продукти ТОВ «1С».
Ключові акценти
Підставами для внесення є застосування спеціальних економічних та інших обмежувальних заходів відповідно до Закону про санкції, міжнародних санкцій, що визнаються Україною, або рішення суду.
Використання підсанкційного ПЗ чи обладнання у системах, де обробляються державні інформаційні ресурси або інформація з обмеженим доступом, унеможливлює проходження авторизації з безпеки або отримання сертифіката відповідності та може бути підставою для скасування вже наданої авторизації/сертифіката.
Вимоги застосовуються до визначених законом систем незалежно від наявності доступу до мережі Інтернет. Перелік є оновлюваним та поступово наповнюється на підставі рішень про застосування санкцій та судових рішень.
Нагадаємо, нещодавно Держспецзв’язку доповнила Перелік 13 новими позиціями.
Джерело: офіційний сайт Держспецзв’язку
Підпишіться на Telegram-канал 
