Найпоширеніші запитання щодо переліку забороненого програмного забезпечення: відповіді від Держcпецзв’язку

Березень, 2026

9 січня 2026 року Державна служба спеціального зв’язку та захисту інформації України (Держспецзв’язку) оприлюднила перелік забороненого до використання програмного забезпечення та комунікаційного (мережевого) обладнання. У переліку, що постійно оновлюється, наразі перебувають 40 найменувань програмного забезпечення російського походження, серед яких 1С, BAS та UA-Бюджет.

Держспецзв’язку надала відповіді на найпоширеніші запитання щодо формування, застосування та наслідків використання забороненого програмного забезпечення:

1. З якого моменту ПЗ вважається забороненим до використання?

Програмне забезпечення або комунікаційне (мережеве) обладнання вважається таким, що підпадає під встановлені законодавством обмеження, з моменту включення відповідної інформації до Переліку та його офіційного оприлюднення на веб-сайті Держспецзвʼязку.

Саме з цього моменту застосовуються вимоги законодавства щодо неможливості використання таких продуктів у системах, визначених законодавством у сфері кібербезпеки та захисту інформації.

2. На кого поширюється заборона використання ПЗ та обладнання, включеного до Переліку?

Відповідно до абзацу першого частини четвертої статті 4 Закону України «Про основні засади забезпечення кібербезпеки України» обов’язковою умовою використання програмного забезпечення та комунікаційного (мережевого) обладнання в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, а також на об’єктах критичної інформаційної інфраструктури є відсутність таких продуктів та обладнання у відкритому переліку забороненого до використання програмного забезпечення та комунікаційного (мережевого) обладнання.

3. Чи передбачений перехідний період для заміни ПЗ?

Нормативно-правові акти, що регулюють формування та застосування Переліку, не встановлюють окремого універсального перехідного періоду.

Водночас власники та розпорядники інформаційно-комунікаційних систем повинні забезпечити приведення своїх систем у відповідність до вимог законодавства у сфері захисту інформації та кіберзахисту у розумні строки з урахуванням організаційних і технічних можливостей.

У разі виявлення використання підсанкційного ПЗ або обладнання під час заходів державного контролю власнику системи може бути надано припис щодо усунення порушень, в якому зазначається термін для усунення порушень.

4. Хто несе відповідальність – ІТ-адміністратор чи керівник установи?

Відповідальність за забезпечення функціонування інформаційно-комунікаційних систем відповідно до вимог законодавства покладається на власника або розпорядника системи та посадових осіб у межах їх повноважень.

Організаційні рішення щодо вибору та використання програмного забезпечення приймаються на рівні управління установою, тоді як технічні працівники забезпечують реалізацію таких рішень у межах визначених функціональних обов’язків.

5. Чи означає включення до Переліку, що програмний продукт технічно небезпечний?

Підставою для внесення є санкційний статус правовласника або іншої особи, яка володіє майновими правами на відповідний продукт, застосування міжнародних санкцій, що визнаються Україною, або рішення суду.

Таким чином, Перелік є інструментом реалізації санкційної політики держави, а не технічним рейтингом безпечності програмних продуктів.

6. Чи можна подати звернення щодо уточнення інформації в Переліку?

Так. У разі виявлення неточностей або необхідності уточнення відомостей зацікавлені особи можуть подати відповідне звернення через офіційні канали зв’язку, зазначені на веб-сайті Держспецзвʼязку.

Надані матеріали розглядаються в установленому порядку з урахуванням вимог законодавства.

7. Чи можна подати запит щодо перегляду наявності підстав для включення до переліку певного програмного продукту чи обладнання?

У зв’язку з тим, що в Адміністрації Держспецзв’язку немає повноважень проводити розшуково-слідчі дії та виносити на розгляд Ради національної безпеки і оборони України пропозиції щодо застосування, скасування та внесення змін до санкцій відповідно до частини першої статті 5 Закону України «Про санкції», матеріали та інформаційні відомості щодо необхідності ініціювання оцінки певного програмного забезпечення або комунікаційного (мережевого) обладнання слід встановленим порядком передавати до відповідного державного органу, що має такі повноваження. Адміністрація Держспецзв’язку внесе відповідні зміни до Переліку на основі рішення Ради національної безпеки і оборони України «Про застосування персональних спеціальних економічних та інших обмежувальних заходів (санкцій)», введеного в дію указом Президента України.

8. Чи є Перелік «чорним списком»?

Перелік не є «чорним списком» у публіцистичному розумінні. Він є інструментом реалізації державної санкційної політики, сформованим на виконання вимог законодавства України, та відображає інформацію про програмне забезпечення і обладнання, щодо яких застосовано відповідні обмежувальні заходи або прийнято судові рішення.

9. Чи стосується Перелік лише російського походження ПЗ?

Ні. Ключовим критерієм включення до Переліку є застосування санкцій або наявність інших визначених законодавством підстав, а не країна походження програмного продукту.

Перелік може містити будь-яке програмне забезпечення або обладнання незалежно від держави походження, якщо щодо відповідних правовласників застосовано санкції, що визнаються Україною.

10. Як відбувається формування Переліку та які саме ПЗ та обладнання потрапляють до Переліку?

Підстави для включення, виключення та/або зміни відомостей щодо програмного забезпечення та комунікаційного (мережевого) обладнання в Переліку є чітко визначеними та передбачені пунктами 5 та 7 Порядку. Згідно з зазначеними пунктами, до Переліку включаються ПЗ та обладнання, якщо їх правовласники або кінцеві бенефіціари перебувають під українськими чи міжнародними санкціями або якщо це передбачено рішенням суду. Тобто ключовим критерієм є не технічна оцінка безпечності продукту, а санкційний статус осіб, які володіють майновими правами на нього.

Аналіз Указів Президента України про санкції також виявив низку технічних аспектів, що потребують унормування через окремий наказ Адміністрації Держспецзв’язку. Тому наразі Адміністрація Держспецзв’язку розробляє наказ, що буде визначати організаційний та процедурний порядок забезпечення формування та ведення Переліку. Це дасть можливість систематизувати та налагодити процес збору, аналізу та опрацювання інформації для формування Переліку та забезпечить більш ефективну роботу з інформацією про підсанкційних осіб та їх права власності.

11. Чому формування Переліку займає так багато часу та чому зараз там тільки 40 позицій?

На цей час до Переліку включено те програмне забезпечення та комунікаційне (мережеве) обладнання, інформація про які була безпосередньо зазначена в обмежувальному заході відповідного додатка до рішення Ради національної безпеки і оборони України «Про застосування персональних спеціальних економічних та інших обмежувальних заходів (санкцій)», введеного в дію Указом Президента України відповідно до Закону України «Про санкції».

Перелік не є вичерпним і продовжує наповнюватися. Пріоритетно включаються ті продукти, які прямо зазначені у відповідних санкційних рішеннях.

12. Чи можна використовувати ПЗ та обладнання, включене до Переліку, якщо система, де воно використовується, не має доступу до мережі Інтернет, знаходиться в закритій внутрішній мережі (тобто використання в АС-1, АС-2) або якщо таке ПЗ не оновлюється?

Відсутність доступу до мережі Інтернет або оновлень, звісно, знижує ризик віддаленого доступу до обладнання або доступу до інформації, що обробляється в системі. Проте вимоги, встановлені відповідно до абзацу першого частини четвертої статті 4 Закону України «Про основні засади забезпечення кібербезпеки України», не розмежовують системи за класами, тобто стосуються всіх систем і їх складових (систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, та систем ОКІ). Вимоги законодавства застосовуються незалежно від наявності або відсутності доступу до мережі Інтернет.

13. Чи поширюється заборона на хмарні сервіси (SaaS)?

Законодавство не розмежовує програмне забезпечення за моделлю використання (локальне встановлення, використання через мережу Інтернет, хмарна інфраструктура тощо). Вирішальним є сам факт використання програмного забезпечення у складі інформаційно-комунікаційної системи.

Таким чином, якщо програмне забезпечення включено до Переліку, його використання у вигляді хмарного сервісу (SaaS) у системах, на які поширюються вимоги законодавства, також підпадає під встановлені обмеження.

14. Якщо до Переліку внесено інформацію про ПЗ «1С» та «BAS», правовласником яких є ТОВ «1С», чи можна використовувати таке ПЗ, правовласником яких визначена інша юридична особа, та які наслідки передбачені за використання підсанкційних ПЗ та обладнання?

Внесення програмного продукту до Переліку пов’язується саме із санкційним статусом правовласника або іншої особи, яка володіє майновими правами на відповідний продукт.

Водночас, необхідність і доцільність використання певного програмного забезпечення в інформаційно-комунікаційній системі визначаються на етапі її проєктування розробником або власником з урахуванням особливостей завдань, для автоматизації виконання яких вона створюється, та обмежень згідно із Законом України «Про санкції».

Відповідно до вимог Закону України «Про захист інформації в інформаційно-комунікаційних системах» державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, у системах, об’єктах критичної інформаційної інфраструктури, власниками або розпорядниками яких є органи державної влади, державні органи, державні підприємства, установи та організації, органи місцевого самоврядування, мають оброблятися в авторизованих системах з безпеки або шляхом отримання сертифіката відповідності стандарту інформаційної безпеки, виданого органом з оцінки відповідності.

Авторизація з безпеки або отримання сертифіката відповідності стандарту інформаційної безпеки щодо систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури, власниками або розпорядниками яких є органи державної влади, державні органи, державні підприємства, установи та організації, органи місцевого самоврядування, здійснюється відповідно до законодавства у сфері захисту інформації та кіберзахисту.

Тобто при використанні в системі підсанкційного ПЗ або обладнання пройти авторизацію або отримати сертифікат відповідності стандарту інформаційної безпеки така система не зможе. Для вже авторизованих/сертифікованих систем виявлення факту використання підсанкційного ПЗ або обладнання в системі буде означати скасування авторизації/сертифікації на підставі невідповідності нормам законодавства у сфері захисту інформації та кіберзахисту.

Також при виявленні факту використання підсанкційного ПЗ або обладнання під час проведення заходів державного контролю в сфері захисту інформації власник системи буде зобов’язаний провести заміну такого ПЗ або обладнання, а в разі невиконання припису – буде складено протокол про адміністративне правопорушення за статтею 18831 Кодексу України про адміністративні правопорушення (невиконання законних вимог посадових осіб органів Державної служби спеціального звʼязку та захисту інформації України), який в подальшому буде направлено до суду.

15. Який саме програмний продукт бухгалтерського обліку використовує Держспецзв’язку?

Держспецзв’язку дотримується вимог законодавства та не використовує програмне забезпечення, внесене до Переліку або таке, що перебуває під санкціями, у тому числі програмні продукти ТОВ «1С».

16. Чи може Держспецзв’язку надати перелік аналогічних програмних продуктів, які можуть бути впроваджені на заміну тим, що включені до Переліку?

Держспецзв’язку є державним органом, тому не надає переваг окремим суб’єктам господарювання чи їхнім програмним продуктам.

Водночас повідомляємо, що в 2025 році Дія.Бізнес запустила безкоштовний та відкритий для всіх «Маркетплейс цифрових рішень для бізнесу» – сервіс, який поєднує компанії – постачальників ІТ-рішень і підприємців, що шукають перевірені сервіси для розвитку бізнесу, який може бути використаний для пошуку аналогів програмного забезпечення.