З набранням чинності постановою КМУ від 22.10.2025 №1335 було затверджено Порядок формування та ведення відкритого переліку забороненого до використання програмного забезпечення та комунікаційного (мережевого) обладнання. Додатково до попереднього матеріалу щодо формування, застосування та наслідків використання такого Переліку надаємо відповіді, як доповнення до переліку найпоширеніших запитань.
1. З якого моменту ПЗ вважається забороненим до використання?
Програмне забезпечення або комунікаційне (мережеве) обладнання (далі – ПЗ) вважається таким, що підпадає під встановлені законодавством обмеження, з моменту включення відповідної інформації до Переліку та його офіційного оприлюднення на вебсайті Держспецзвʼязку.
Саме з цього моменту застосовуються вимоги законодавства щодо неможливості використання таких продуктів у системах, визначених законодавством у сфері кібербезпеки та захисту інформації.
2. На кого поширюється заборона використання ПЗ та обладнання, включеного до Переліку?
Відповідно до абзацу першого частини четвертої статті 4 Закону України від 05.10.2017 №2163-VIII «Про основні засади забезпечення кібербезпеки України» обов’язковою умовою використання програмного забезпечення та комунікаційного (мережевого) обладнання в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, а також на об’єктах критичної інформаційної інфраструктури є відсутність таких продуктів та обладнання у відкритому переліку забороненого до використання програмного забезпечення та комунікаційного (мережевого) обладнання.
3. Чи передбачений перехідний період для заміни ПЗ?
Нормативно-правові акти, що регулюють формування та застосування Переліку, не встановлюють окремого універсального перехідного періоду.
Водночас власники та розпорядники інформаційно-комунікаційних систем повинні забезпечити приведення своїх систем у відповідність до вимог законодавства у сфері захисту інформації та кіберзахисту у розумні строки з урахуванням організаційних і технічних можливостей.
У разі виявлення використання підсанкційного ПЗ або обладнання під час заходів державного контролю власнику системи може бути надано припис щодо усунення порушень, в якому зазначається термін для усунення порушень
4. Хто несе відповідальність – ІТ-адміністратор чи керівник установи?
Відповідальність за забезпечення функціонування інформаційно-комунікаційних систем відповідно до вимог законодавства покладається на:
власника або розпорядника системи та посадових осіб у межах їх повноважень.
Організаційні рішення щодо вибору та використання програмного забезпечення приймаються на рівні управління установою, тоді як технічні працівники забезпечують реалізацію таких рішень у межах визначених функціональних обов’язків.
5. Чи означає включення до Переліку, що програмний продукт технічно небезпечний?
Підставою для внесення є санкційний статус правовласника або іншої особи, яка володіє майновими правами на відповідний продукт, застосування міжнародних санкцій, що визнаються Україною, або рішення суду.
Таким чином, Перелік є інструментом реалізації санкційної політики держави, а не технічним рейтингом безпечності програмних продуктів.
6. Чи можна подати звернення щодо уточнення інформації в Переліку?
Так. У разі виявлення неточностей або необхідності уточнення відомостей зацікавлені особи можуть подати відповідне звернення через офіційні канали зв’язку, зазначені на вебсайті Держспецзвʼязку
Надані матеріали розглядаються в установленому порядку з урахуванням вимог законодавства.
7. Чи можна подати запит щодо перегляду наявності підстав для включення до переліку певного програмного продукту чи обладнання?
У зв’язку з тим, що в Адміністрації Держспецзв’язку немає повноважень проводити розшуково-слідчі дії та виносити на розгляд РНБО пропозиції щодо застосування, скасування та внесення змін до санкцій відповідно до частини першої статті 5 Закону України від 14.08.2014 №1644-VII «Про санкції», матеріали та інформаційні відомості щодо необхідності ініціювання оцінки певного програмного забезпечення або комунікаційного (мережевого) обладнання слід встановленим порядком передавати до відповідного державного органу, що має такі повноваження. Адміністрація Держспецзв’язку внесе відповідні зміни до Переліку на основі рішення РНБО.
8. Чи є Перелік «чорним списком»?
Перелік не є «чорним списком» у публіцистичному розумінні.
Він є інструментом реалізації державної санкційної політики, сформованим на виконання вимог законодавства України, та відображає інформацію про програмне забезпечення і обладнання, щодо яких застосовано відповідні обмежувальні заходи або прийнято судові рішення
9. Чи стосується Перелік лише російського походження ПЗ?
Ні. Ключовим критерієм включення до Переліку є застосування санкцій або наявність інших визначених законодавством підстав, а не країна походження програмного продукту.
Перелік може містити будь-яке програмне забезпечення або обладнання незалежно від держави походження, якщо щодо відповідних правовласників застосовано санкції, що визнаються Україною.
10. Чи може Держспецзв’язку надати перелік аналогічних програмних продуктів, які можуть бути впроваджені на заміну тим, що включені до Переліку?
Держспецзв’язку є державним органом, тому не надає переваг окремим суб’єктам господарювання чи їхнім програмним продуктам.
Водночас повідомляємо, що в 2025 році Дія.Бізнес запустила безкоштовний та відкритий для всіх «Маркетплейс цифрових рішень для бізнесу» – сервіс, який поєднує компанії – постачальників ІТ-рішень та підприємців, що шукають перевірені сервіси для розвитку бізнесу, який може бути використаний для пошуку аналогів програмного забезпечення.
Також, якщо власники / розробники програмного забезпечення мають намір створити повноцінний захищений альтернативний програмний продукт, він може пройти процедуру державної експертизи у сфері технічного захисту інформації і отримати відповідний експертний висновок.
Ключові акценти
- Програмне забезпечення або обладнання підпадає під обмеження з моменту офіційного оприлюднення Переліку на вебсайті Держспецзв’язку – саме тоді починають застосовуватися вимоги законодавства.
- Обмеження є обов’язковими для систем з державними інформаційними ресурсами та об’єктів критичної інфраструктури, тоді як для приватного сектору використання може створювати додаткові ризики.
- Універсальний перехідний період не передбачений, однак власники систем повинні привести їх у відповідність у розумні строки з урахуванням технічних та організаційних можливостей.
- Відповідальність за використання ПЗ несуть власники та керівництво установ, тоді як ІТ-фахівці реалізують прийняті управлінські рішення в межах своїх повноважень.
- Перелік не є оцінкою технічної безпечності продуктів, а інструментом реалізації санкційної політики держави. Критерієм включення є санкційний статус, а не країна походження програмного продукту.
Джерело: Держспецзвʼязку
Читайте більше:
Латвія першою у світі визнала українські електронні підписи
Мінцифри оновило сервіс перевірки КЕП: що змінилося та як користуватися
Кабінет пацієнта в електронній системі охорони здоров’я: як працює новий сервіс
Оприлюднено оновлений перелік забороненого ПЗ: хто потрапив до «чорного» списку
Чи можна використовувати «BAS», якщо правовласник інша юрособа: відповідає Держспецзв'язку
