Російське програмне забезпечення та вебсайти: від блокування до суцільної заборони

Ілюстрація ІМІ

Нещодавно поданий до Верховної Ради проєкт Закону “Про заборону використання та розповсюдження ворожих програмних продуктів та ворожих засобів інформатизації” № 13505 від 18.07.2025 спрямований на комплексну заборону програмного забезпечення і вебсайтів російського походження та навіть передбачає застосування штрафів у разі їхнього поширення на території України. 

Хоча проєкт запроваджуватиме безсанкційний перехідний період до 2030 року, він учергове нагадує про потребу перегляду програмного забезпечення та інформаційних ресурсів, що використовуються в роботі підприємств, установ, організацій та навіть у персональних цілях. Адже проблема кібербезпеки не є переоціненою. 

На думку експертів ІМІ, головним позитивом законопроєкту є те, що він переходить від точкових санкцій чи розпоряджень (як-от блокування окремими указами РНБО) до системного регулювання, що є однозначно кращим і прозорішим механізмом. Крім того, пропонований перехідний період аж до 2030 року дозволить бізнесу, ГО, медіа, державним органам адаптуватися, вчасно провести аудит ПЗ, імплементувати альтернативи, зокрема open-source або продукти з країн-партнерів.

Щодо моментів, які потребують допрацювання в законопроєкті, насамперед це невизначеність термінів (наприклад, “програмний продукт”, “засіб інформатизації” – терміни, що охоплюють дуже багато технологічного та цифрового продукту). Варто чітко описати, що мається на увазі, щоб уникнути довільного тлумачення та правозастосування.

Серед іншого в законопроєкті варто передбачити механізм оскарження внесення до переліку (бо ми вже бачили випадки помилкового внесення до санкційного списку) або принаймні прописати в окремій нормі можливість звернення до суду з метою оскарження такого рішення, а також доцільно буде додати до проєкту закону механізм попереднього повідомлення власників технологічних та цифрових продуктів, якщо йдеться про резидентів України або союзних чи нейтральних країн. Також поки що немає гарантій на захист законного використання ПЗ, наприклад, для журналістських розслідувань, досліджень тощо. Варто також забезпечити участь громадськості та експертного середовища (зокрема, представників медіа, правозахисників) у формуванні та оновленні переліків.

Що саме заборонятиме майбутній закон 

У законопроєкті пропонується з 1 січня 2030 року заборонити продаж, використання та розповсюдження на території України: 

1) програмних продуктів,

2) засобів інформатизації,

запис про яких міститься в Переліку програмних продуктів, віднесених до ворожих програмних продуктів, або Переліку засобів інформатизації, віднесених до ворожих програмних продуктів, відповідно (далі разом – Переліки ворожих програмних продуктів).

До засобів інформатизації належать:

• електронні обчислювальні машини;
• програмне, математичне, лінгвістичне та інше забезпечення;
• інформаційні системи або їхні окремі елементи;
• інформаційні мережі й мережі зв'язку. 

По суті, призначення цих засобів – збирання, пошук, оброблення та пересилання інформації в технологічній формі.  

Що стосується програмних продуктів, то чіткого визначення ні сам проєкт закону, ні Закон “Про Національну програму інформатизації” не містять. Однак зі змісту обох актів можна зробити висновок, що до програмних продуктів можна зарахувати як програмне забезпечення, так і вебсайти. Загалом програмні продукти можна визначити як комплекси програмного коду, що спрямовані на задоволення інформаційних потреб користувачів.  

Як визначатиметься належність програмних продуктів і засобів інформатизації до ворожих та хто формуватиме переліки 

Програмний продукт вважатиметься ворожим, якщо громадянин РФ або держав, які входять до митних та воєнних союзів з РФ, підсанкційних держав є:

а) бенефіціарним власником суб’єкта господарювання, який здійснює розповсюдження програмного забезпечення;

б) автором комп’ютерної програми, який володіє майновими правами на комп'ютерну програму; 

в) власником вебсайту;

г) власником вебсторінки;

ґ) бенефіціарним власником юридичної особи, якій належать майнові права на цей продукт; 

д) бенефіціарним власником юридичної особи, якій належить вебсайт.

Також ворожими можуть вважатися вебсайти та вебсторінки, власником яких є громадянин України, зареєстрований на тимчасово окупованих територіях України.

Що стосується засобів інформатизації, то вони вважатимуться ворожими, якщо обліковий запис на такому обладнанні, вебсайті з правом адміністрування (можливість додавати, видаляти, змінювати цифрові дані й надавати доступ стороннім особам, припиняти його функціонування) належить: 

• громадянину / резиденту РФ або держав, які входять до митних та воєнних союзів з РФ, підсанкційних держав; 
• підсанкційній особі; 
• громадянину України, що проживає на тимчасово окупованій території України;
• юридичній особі – резиденту України, місце перебування якої зареєстровано на тимчасово окупованій території України.

Крім того, ворожими вважатимуться програмні продукти та засоби інформатизації, що вказані у відкритому переліку забороненого до використання програмного забезпечення та комунікаційного (мережевого) обладнання. Цей перелік буде вестися та наповнюватися Державною службою спеціального зв’язку та захисту інформації (далі – Держспецзв’язку) відповідно до нових, ухвалених 27.03.2025 вимог Закону “Про основні засади забезпечення кібербезпеки України”. 

Перелік досі не запрацював, оскільки Кабінет Міністрів поки не затвердив положення щодо його формування та ведення. Переліки ворожих програмних продуктів також вестимуться Держспецзв’язку в складі відкритого переліку забороненого до використання програмного, хоча закон про кібербезпеку визначив останньому дещо вужчу мету – не допустити використання забороненого до використання програмного забезпечення в процесі роботи з державними інформаційними ресурсами, службовою інформацією, інформацією, що становить державну таємницю, а також на об’єктах критичної інфраструктури.

Водночас наповнення Переліків ворожих програмних продуктів визначатиме Кабінет Міністрів самостійно за поданням Міністерства цифрової трансформації (далі – Мінцифри) та Держспецзв’язку на підставі вищезазначених критеріїв. Перегляд відбуватиметься раз на рік, а Національний банк України та Служба безпеки України наділяються повноваженнями подавати до Держспецзв’язку пропозиції та рекомендації внесення змін до цих списків.

Яка відповідальність наставатиме за використання ворожих програмних продуктів та засобів інформатизації

З 1 січня 2030 року за продаж, використання та/або розповсюдження програмних продуктів, засобів інформатизації, які зазначені в Переліках ворожих програмних продуктів, або навіть таких, що відповідають критеріям ворожості, суд за позовом Мінцифри застосовуватиме фінансові санкції у вигляді штрафу в розмірі 2% загального річного обігу. 

Ці санкції суд зможе призначити будь-якому суб’єкту господарювання, що припустився порушення вимог запланованого закону. Тобто навіть щодо медіа, які працюють у формі приватних підприємств, товариств з обмеженою відповідальністю та фізичних осіб – підприємців.

До 1 січня 2030 року заборони на використання ворожих програмних продуктів діятимуть лише для органів державної влади, місцевого самоврядування, військових формувань, державних підприємств, установ та організацій, суб’єктів владних повноважень та інших суб’єктів, яким делеговані такі повноваження, а також власників, операторів критичної інфраструктури та фізичних / юридичних осіб, суб’єктів господарювання, що є отримувачами та/або надавачами послуг вказаних інстанцій. 

Тобто ті медіа, що мають, наприклад, договори про надання інформаційних послуг з органами місцевого самоврядування чи органами державної влади, повинні вже переглядати використовуване ними програмне забезпечення чи інші інформаційні ресурси на наявність критеріїв ворожості.   

Які програми та вебсайти можуть увійти до Переліків ворожих програмних продуктів

Поки складно точно відповісти на це питання. Однак варто звернути особливу увагу на окремі ініціативи щодо формування переліку програмного забезпечення російського походження. Наприклад, ще 2022 року “Опендатабот” та Netpeak розробили перелік програмного забезпечення російського походження та запропонували можливі альтернативи.

До цього переліку ввійшли як фінансові інструменти, такі як 1С, UA-Бюджет та “Комплексні бюджетні системи”, так і інструменти маркетингу (наприклад, Mindbox, Unisender) та освітні платформи (наприклад, Geekbrains, LinguaLeo, Skillbox).

Подібний список формувався тим же Netpeak та Мінцифри в спільному проєкті. 

Щодо вебсайтів російського походження, то поки уніфікований список неможливо сформувати. Багато сайтів уже наразі заблоковані провайдерами за указом Держспецзв’язку на підставі санкцій чи звернення правоохоронних органів. Деякі сайти можна самостійно видалити з власної зони пошуку за допомогою таких розширень до браузерів, як Russian Websites Go F* Yourself для Chrome.

Зважаючи на обсяги критеріїв та різноманіття видів цифрових продуктів, що можуть потрапити під характеристику ворожості, логічним є питання про ймовірність заборони месенджера Telegram за процедурою, запропонованою в законі. 

Асоціація IT Ukraine у коментарі для DOU пояснила, що “застосунок вважається інформаційним ресурсом, його не вдасться заборонити в межах законопроєкту”. 

Однак варто зазначити, що належність Telegram до такого терміна, як інформаційний ресурс, є радше суб’єктивним баченням, ніж об'єктивним фактом, а тому питання визнання Telegram ворожим продуктом залишається відкритим до остаточного формування переліків.

Висновки

Законопроєкт №13505 від 18.07.2025 є впевненим кроком уперед, якщо порівнювати з чинною системою точкового блокування. Він створює зрозумілий та більш-менш передбачуваний шлях відмови від російського й ворожого інформаційного продукту та дійсно частково покращуватиме протидію кіберзагрозам у країні. Хоча об’єктивно сам закон потребує покращення термінологічної частини, щоб пересічний читач зрозумів насправді, які саме продукти російського походження можуть потрапити до списків заборони, не очікуючи рішень уповноважених органів та суттєвих штрафів.