Нещодавно поданий до Верховної Ради проєкт Закону “Про заборону використання та розповсюдження ворожих програмних продуктів та ворожих засобів інформатизації” №13505 від 18.07.2025 спрямований на комплексну заборону програмного забезпечення та веб-сайтів російського походження та навіть передбачає застосування штрафів у разі їх поширення на території України.
Хоча проєкт запроваджуватиме безсанкційний перехідний період до 2030 року, він вчергове нагадує про потребу перегляду програмного забезпечення та інформаційних ресурсів, що використовуються в роботі підприємств, установ, організацій та навіть в персональних цілях. Адже проблема кібербезпеки не є переоціненою.
На думку експертів ІМІ, головним позитивом законопроєкту є те, що він переходить від точкових санкцій чи розпоряджень (як то блокування окремими указами РНБО) до системного регулювання, що є однозначно кращим і прозорішим механізмом. Крім того, пропонований перехідний період аж до 2030 року дозволить бізнесу, ГО, медіа, державним органам адаптуватися, вчасно провести аудит ПЗ, імплементувати альтернативи, зокрема open-source або продукти із країн-партнерів.
Щодо моментів, які потребують допрацювання в законопроєкті – перш за все, це невизначеність термінів (наприклад, “програмний продукт”, “засіб інформатизації” – терміни, що охоплюють дуже багато технологічного та цифрового продукту). Варто чітко описати, що мається на увазі, аби уникнути довільного тлумачення та правозастосування.
Серед іншого, в законопроєкті варто передбачити механізм оскарження включення до переліку (бо ми вже бачили випадки помилкового включення до санкційного списку), або принаймні прописати в окремій нормі можливість звернення до суду з метою оскарження такого рішення, а також доцільно буде додати до проєкту закону механізм попереднього повідомлення власників технологічних та цифрових продуктів, якщо йдеться про резидентів України або союзних чи нейтральних країн. Також поки що немає гарантій на захист законного використання ПЗ, наприклад, для журналістських розслідувань, досліджень тощо. Варто також забезпечити участь громадськості та експертного середовища (зокрема представників медіа, правозахисників) у формуванні та оновленні Переліків.
Що саме заборонятиме майбутній Закон
В законопроєкті пропонується з 1 січня 2030 року заборонити продаж, використання та розповсюдження на території України:
- програмних продуктів;
- засобів інформатизації;
запис про яких міститься у Переліку програмних продуктів, віднесених до ворожих програмних продуктів або Переліку засобів інформатизації, віднесених до ворожих програмних продуктів відповідно (далі разом – Переліки ворожих програмних продуктів).
До засобів інформатизації відносяться:
- електронні обчислювальні машини,
- програмне, математичне, лінгвістичне та інше забезпечення,
- інформаційні системи або їх окремі елементи,
- інформаційні мережі і мережі зв’язку.
По суті призначення цих засобів – збирання, пошук, оброблення та пересилання інформації у технологічній формі.
Що стосується програмних продуктів, то чіткового визначення ні сам проєкт закону, ні Закон “Про Національну програму інформатизації” не містять. Однак зі змісту обох актів можна зробити висновок, що до програмних продуктів можна віднести як програмне забезпечення, так і веб-сайти. В цілому, програмні продукти можна визначити як комплекси програмного коду, що спрямовані на задоволення інформаційних потреб користувачів.
Як визначатиметься приналежність програмних продуктів та засобів інформатизації до ворожих та хто формуватиме переліки
Програмний продукт вважатиметься ворожим, якщо громадянин РФ або держав, які входять до митних та воєнних союзів з РФ, підсанкційних держав є:
а) бенефіціарним власником суб’єкта господарювання, який здійснює розповсюдження програмного забезпечення;
б) автором комп’ютерної програми, який володіє майновими правами на комп’ютерну програму;
в) власником веб-сайту;
г) власником веб-сторінки;
ґ) бенефіціарним власником юридичної особи, якій належать майнові права на цей продукт;
д) бенефіціарним власником юридичної особи, якій належить веб-сайт.
Також ворожими можуть вважатися веб-сайти та веб-сторінки, власником яких є громадянин України, зареєстрований на тимчасово окупованих територіях України.
Що стосується засобів інформатизації, то вони вважатимуться ворожими, якщо обліковий запис на такому обладнанні, веб-сайті з правом адміністрування (можливість додавати, видаляти, змінювати цифрові дані і надавати доступ стороннім особам, припиняти його функціонування) належить:
- громадянину/резиденту РФ або держав, які входять до митних та воєнних союзів з РФ, підсанкційних держав;
- підсанкційній особі;
- громадянину України, що проживає на тимчасово окупованій території України;
- юридичній особі-резиденту України, місцезнаходження якої зареєстровано на тимчасово окупованій території України.
Крім того, ворожими вважатимуться програмні продукти та засоби інформатизації, що вказані у відкритому переліку забороненого до використання програмного забезпечення та комунікаційного (мережевого) обладнання. Цей перелік буде вестися та наповнюватися Державною службою спеціального зв’язку та захисту інформації (далі – Держспецзв’язку) відповідно до нових, прийнятих 27.03.2025, вимог Закону «Про основні засади забезпечення кібербезпеки України».
Перелік досі не запрацював, оскільки Кабінет Міністрів поки не затвердив положення щодо його формування та ведення. Переліки ворожих програмних продуктів також вестимуться Держспецз’язку у складі відкритого переліку забороненого до використання програмного, хоча закон про кібербезпеку визначив останньому дещо вужчу мету – не допустити використання забороненого до використання програмного забезпечення в процесі роботи з державними інформаційними ресурсами, службовою інформацією, інформацією, що становить державну таємницю, а також на об’єктах критичної інфраструктури.
Водночас наповнення Переліків ворожих програмних продуктів буде визначати Кабінет Міністрів самостійно за поданням Міністерства цифрової трансформації (далі – Мінцифри) та Держспецзв’язку на підставі вищезазначених критеріїв. Перегляд відбуватиметься раз в рік, а Національний банк України та Служба безпеки України наділяються повноваженнями подавати до Держспецзв’язку пропозиції та рекомендації внесення змін до цих списків.
Яка відповідальність наставатиме за використання ворожих програмних продуктів та засобів інформатизації
З 1 січня 2030 року за продаж, використання та/або розповсюдження програмних продуктів, засобів інформатизації, які зазначені у Переліках ворожих програмних продуктів, або навіть таких, що відповідають критеріям ворожості, суд за позовом Мінцифри застосовуватиме фінансові санкції у вигляді штрафу у розмірі 2% від загального річного обороту.
Ці санкції суд зможе призначити будь-якому суб’єкту господарювання, що допустив порушення вимог запланованого закону. Тобто навіть щодо медіа, які працюють у формі приватних підприємств, товариств з обмеженою відповідальністю та фізичних осіб-підприємців.
До 1 січня 2030 року заборони на використання ворожих програмних продуктів діятимуть лише для органів державної влади, місцевого самоврядування, військових формувань, державних підприємств, установ та організацій, суб’єктів владних повноважень та інших суб’єктів, яким делеговані такі повноваження, а також власників, операторів критичної інфраструктури та фізичних/ юридичних осіб, суб’єктів господарювання, що є отримувачами та/або надавачами послуг вказаних інстанцій.
Тобто, ті медіа, що мають, наприклад, договори про надання інформаційних послуг із органами місцевого самоврядування чи органами державної влади, повинні вже переглядати використовуване ними програмне забезпечення чи інші інформаційні ресурси на наявність критеріїв ворожості.
Які програми та веб-сайти можуть увійти до Переліків ворожих програмних продуктів
Поки складно точно відповісти на це питання. Однак варто звернути особливу увагу на окремі ініціативи щодо формування перелік програмного забезпечення російського походження. Наприклад, ще у 2022 році Опендатабот та Netpeak розробили перелік програмного забезпечення російського походження та запропонували можливі альтернативи.
До цього переліку увійшли як фінансові інструменти такі як “1С”, “UA-Бюджет” та “Комплексні бюджетні системи”, так і інструменти маркетингу (наприклад Mindbox, Unisender) та освітні платформи (наприклад Geekbrains, LinguaLeo, Skillbox).
Подібно роду список формувався тим ж Netpeak та Мінцифри у спільному проєкті.
Щодо веб-сайтів російського походження, то поки уніфікований список неможливо сформувати. Багато сайтів вже наразі заблоковані провайдерами за указом Держспецзв’язку на підставі санкцій чи звернення правоохоронних органів. Деякі сайти можна самостійно видалити із власної зони пошуку за допомогою таких розширень до браузерів як Russian Websites Go F* Yourself для Chrome.
Зважаючи на обсяги критеріїв та різноманіття видів цифрових продуктів, що можуть потрапити під характеристику ворожості, логічним є питання про ймовірність заборони мессенджеру Telegram за процедурою, запропонованою у законі.
Асоціація IT Ukraine у коментарі для DOU пояснила, що “застосунок вважається інформаційним ресурсом, його не вдасться заборонити в межах законопроєкту”.
Однак, варто зазначити, що приналежність Telegram до такого терміну як інформаційний ресурс, є радше суб’єктивним баченням, аніж об’єктивним фактом, а тому питання визнання Telegram ворожим продуктом залишається відкритим до остаточного формування Переліків.
Висновки
Законопроєкт №13505 від 18.07.2025 є впевненим кроком уперед, якщо порівнювати із діючою системою точкового блокування. Він створює зрозумілий та більш-менш передбачуваний шлях відмови від російського та ворожого інформаційного продукту та дійсно частково покращуватиме протидію кіберзагрозам в країні. Хоча об’єктивно сам закон потребує покращення термінологічної частини, аби пересічний читач зрозумів насправді, які саме продукти російського походження можуть потрапити у списки заборони, не очікуючи рішень уповноважених органів та суттєвих штрафів.
