Які комп’ютерні програми та техніку не можна буде використовувати та розповсюджувати

Українська героїчна боротьба проти російських загарбників триває і вона є набагато ширшою, ніж можна собі уявити. Ворог застосовує усі наявні у нього механізми завдання шкоди нашій державі. Не є виключенням й програмні продукти та інші засоби інформатизації. На протидію ворогу саме у цій сфері спрямований законопроєкт № 13505 «Про заборону використання та розповсюдження ворожих програмних продуктів та ворожих засобів інформатизації», який 18 липня 2025 року було подано до Верховної Ради України. Отже, в цій аналітичній записці ми детально проаналізуємо положення законопроєкту та його потенційний вплив. 

Термінологія

І розпочати слід з термінології законопроєкту. В цьому плані його автори вчинили дуже правильно, використавши здебільшого відсильні норми на інші закони України. Іншими словами, для того, щоб визначити значення того чи іншого терміну, використаного у законопроєкті, слід подивитися його у законі, на який відсилає законопроєкт. Це дозволить уникнути юридичних колізій та непередбачуваності тлумачення тих самих категорій. Так, наприклад, терміни «автор», «комп'ютерна програма», «веб-сайт», «веб-сторінка», «відтворення», «власник веб-сайту», «власник веб-сторінки», «гіперпосилання», «обліковий запис», «розповсюдження» використовуються у законопроєкті у значенні, наведеному в Законі України «Про авторське право і суміжні права», до якого всі вже звикли за багато років дії цього Закону. 

Водночас слід детальніше розглянути два терміни, розуміння яких є критично важливим для правильного тлумачення законопроєкту та його застосування, коли він стане законом. Це - «ворожий програмний продукт» та «ворожий засіб інформатизації». 

Відповідно до Закону України «Про Національну програму інформатизації», на який посилається законопроєкт, «засоби інформатизації» - це комп'ютери, електронно-обчислювальна техніка, програмні продукти, інформаційні системи або їх окремі елементи, електронні комунікаційні мережі, що використовуються для реалізації інформаційно-комунікаційних технологій. Тобто, термін «засіб інформатизації» здебільшого стосується апаратного забезпечення (hardware). 

Зі свого боку, «програмний продукт» - це програмне забезпечення, результат комп'ютерного програмування у вигляді операційної системи, системної, прикладної, розважальної та/або навчальної комп'ютерної програми (їх компонентів), а також у вигляді інтернет-сайтів та/або онлайн-сервісів та доступу до них, примірники (копії, екземпляри) комп'ютерних програм, їх частин, компонентів у матеріальній та/або електронній формі, у тому числі у формі коду (кодів) та/або посилань для завантаження комп'ютерної програми та/або їх частин, компонентів у формі коду (кодів) для активації комп'ютерної програми чи в іншій формі, криптографічні засоби захисту інформації. Тобто під цим терміном мається на увазі software. З цього приводу хочемо звернути увагу на такі частини цього визначення, як: «у вигляді інтернет-сайтів та/або онлайн-сервісів та доступу до них», «у формі коду (кодів) та/або посилань для завантаження комп'ютерної програми та/або їх частин» тощо. Використання таких формулювань свідчить, що до «програмних продуктів» потенційно можна також відносити різні форми надання доступу, у тому числі опосередкованого, до програмного забезпечення, як-от «програмне забезпечення як послуга» (Software as a Service). Забігаючи наперед, в контексті законопроєкту це означає, що форма отримання доступу до програмного продукту (шляхом безпосереднього встановлення на комп'ютер, або через хмарні сервіси, або шляхом отримання посилання для завантаження тощо) не впливатиме на можливість кваліфікації такого програмного продукту як ворожого. Іншими словами, якщо певний програмний продукт підпадатиме під встановлені законопроєктом критерії «ворожості», його не можна буде використовувати та поширювати незалежно від того, в якій формі це робиться. Про критерії визначення саме «ворожих програмних продуктів» та «ворожих засобів інформатизації» поговоримо далі. 

Кого стосується законопроєкт

Фактично він стосується діяльності будь-яких суб'єктів, як-от органи державної влади, органи місцевого самоврядування, військові формування, утворені відповідно до законів України, державні підприємства, установи та організації, надавачі банківських, фінансових та супровідних послуг, інші суб'єкти господарювання (юридичні особи та ФОПи) тощо. Єдиним виключенням є суб'єкти, визначені статтею 5 Закону України «Про розвідку», діяльність яких не підпадає під сферу дії законопроєкту. Водночас, залежно від мети регулювання, законопроєкт містить певні особливі правила щодо тих чи інших суб'єктів, які будуть розглянуті далі. 

Також, вже на цьому етапі видно, що значний пласт регулювання припадатиме на підзаконні нормативно-правові акти. Так, законопроєктом передбачено, що особливості організаційних засад використання ворожих програмних продуктів та ворожих засобів інформатизації суб'єктами господарювання, які надають банківські послуги, фінансові та/або супровідні послуги, платіжні послуги (крім операторів поштового зв'язку), державне регулювання та нагляд за діяльністю яких здійснює Національний банк України, визначатимуться НБУ, а у сферах національної безпеки, громадської безпеки, оборони чи правоохоронної діяльності, включаючи виявлення та розслідування кримінальних правопорушень - Службою безпеки України. Зазначені положення покликані забезпечити певну гнучкість у регулюванні тих ситуацій, коли використання ворожого software та hardware є виправданим, у тому числі в цілях національної безпеки. 

Критерії визначення ворожих програмних продуктів

Законопроєктом пропонується ряд критеріїв, за якими програмні продукти можуть бути визнані ворожими, а саме: 

1. кінцевим бенефіціарним власником суб'єкта господарювання, який здійснює розповсюдження програмного забезпечення є: громадянин держави-агресора та/або держави-окупанта або держав, які входять до митних та воєнних союзів з такими державами, або держав, до яких застосовано санкції, та/або до яких застосовано персональні економічні та інші обмежувальні заходи (санкції). 

Фактично цим критерієм законотворець хотів встановити заборону придбання програмного забезпечення у юридичних осіб, трастів та інших подібних правових утворень, які контролюються зазначеними особами, а також заборону використання та розповсюдження такого програмного забезпечення. Це безумовно правильне рішення, оскільки такі дії не тільки опосередковано фінансують ворога та його продукти, а й зумовлюють суттєві ризики в інформаційній безпеці. Однак, маємо зауваження щодо юридичної техніки встановлення такої заборони. Оскільки вказане положення пропонується встановити як критерій визначення саме ворожих програмних продуктів, а не «ворожих юридичних осіб», це може призвести до правозастосування, яке не повною мірою відповідатиме вищезазначеній меті. Уявімо таку гіпотетичну ситуацію: десь у світі загальновідому ОС Windows розповсюджує (офіційно за ліцензією, виданою Microsoft, або неофіційно) компанія з кінцевим бенефіціарним власником - громадянином рф, при цьому цій компанії не належать жодні майнові права інтелектуальної власності на ОС Windows. В такому разі, за вищезазначеним критерієм, ОС Windows має вважатися ворожим програмним продуктом, що, на нашу думку, є нерелевантним. Отже, враховуючи, що метою цього критерію було встановлення заборони співпраці з ворожими компаніями щодо придбання у них програмного забезпечення, вважаємо за доцільне сформулювати розглянутий критерій саме у вигляді такої заборони та перенести його до іншої статті законопроєкту. 

2. автором комп'ютерної програми, який володіє майновими правами на комп'ютерну програму є громадянин держави-агресора та/або держави-окупанта або які входять до митних та воєнних союзів з такими державами, або держав, до яких застосовано санкції, та/або до яких застосовано персональні економічні та інші обмежувальні заходи (санкції). 

Щодо цього критерію звертаємо увагу, що йдеться саме про тих авторів, які зберегли майнові права інтелектуальної власності на комп'ютерну програму і не передали їх третім особам. Іншими словами, якщо у компанії, у якої немає жодних зв'язків з рф, працює програміст - громадянин рф та він передав цій компанії усі майнові права інтелектуальної власності на свої розробки, такі програми не вважатимуться ворожими. Якщо ж такий програміст зберіг хоча б частину майнових прав - його розробки підпадатимуть під зазначений критерій та вважатимуться ворожими програмними продуктами. Вважаємо такий підхід цілком обґрунтованим. 

3. програмне забезпечення знаходиться у відкритому переліку забороненого до використання програмного забезпечення та комунікаційного (мережевого) обладнання, що ведеться відповідно до вимог Закону України «Про основні засади забезпечення кібербезпеки України». 

Слід зазначити, що сьогодні ще не існує такого переліку, проте Кабінетом Міністрів України готується проєкт відповідної постанови, яка регулюватиме питання його ведення. 

4. власник веб-сайту є громадянином держави-агресора та/або держави-окупанта або які входять до митних та воєнних союзів з такими державами, або держав, до яких застосовано санкції, або громадянином України, зареєстрованому на тимчасово окупованих територіях України, та/або до яких застосовано персональні економічні та інші обмежувальні заходи (санкції). 

Виходячи з цього критерію, ворожими можуть бути визнані не тільки комп'ютерні програми, а й веб-сайти. Постає питання: як встановити, хто є власником веб-сайту? Відповідь міститься у Законі України «Про авторське право і суміжні права», яким передбачено, що за відсутності доказів іншого, власником веб-сайту вважається реєстрант відповідного доменного імені, за яким здійснюється доступ до веб-сайту, та/або отримувач послуг хостингу. Отже, якщо така особа підпадатиме під ознаки, встановлені даним критерієм, веб-сайт буде визнано ворожим. Однак, оскільки реєстрантом доменного імені може бути не тільки фізична, а й юридична особа, для удо±коналення розглянутого критерію вважаємо за доцільне додати до нього також юридичних осіб - резидентів держави-агресора та/або держави-окупанта, або держав, які входять до митних та воєнних союзів з такими державами, або держав, до яких застосовано санкції, юридичних осіб, до яких застосовано санкції, а також юридичних осіб - резидентів України, які зареєстровані на тимчасово окупованих територіях України. 

5. власник веб-сторінки є громадянином держави-агресора та/або держави-окупанта або які входять до митних та воєнних союзів з такими державами, або держав, до яких застосовано санкції, або громадянином України, зареєстрованому на тимчасово окупованих територіях України, та/або до яких застосовано персональні економічні та інші обмежувальні заходи (санкції). 

Вбачається, що законотворці вкладали у цей критерій можливість гнучкого застосування законопроєкту, щоб була можливість визнавати ворожими не тільки цілі веб-сайти, а й окремі веб-сторінки. І це абсолютно слушна ідея. Водночас для уникнення ризиків неправильного застосування цього положення законопроєкту слід враховувати наступне. Як вже зазначалося, усі критерії, які ми розглядаємо в цьому розділі, стосуються ворожих програмних продуктів, а вищезазначене визначення «програмних продуктів» не включає окремі веб-сторінки як самостійну складову. Отже, виходячи з цього, якщо окрема веб-сторінка підпадатиме під цей критерій, то за поточного формулювання законопроєкту ворожим слід визнавати веб-сайт повністю. Це зумовлює суттєві ризики, особливо для соціальних мереж, таких як Facebook, де окремі сторінки можуть належати громадянам рф. Тому, доцільно додати до цього критерію наслідки його застосування, а саме - визнання ворожою саме окремої веб-сторінки, а не веб-сайту загалом. 

6. майнові авторські права на такий програмний продукт належать юридичній особі, кінцевим бенефіціарним власником якої є будь-яка із осіб, зазначених у пункті 2 цієї статті (критерій №2 вище). 

Вважаємо цей критерій одним із ключових у законопроєкті, оскільки, на нашу думку, саме за належністю майнових прав інтелектуальної власності можна буде встановити більшість ворожих програмних продуктів. Також позитивним є те, що автори законопроєкту врахували підступність нашого ворога і його можливі спроби обійти встановлені критерії шляхом оформлення прав на юридичних осіб, що зареєстровані за межами держави-агресора. Водночас, оскільки критерій №2, розглянутий вище, охоплює виключно авторів комп'ютерних програм, які не є єдиними можливими суб'єктами майнових авторських прав, а критерій №6 стосується лише юридичних осіб з відповідними кінцевими бенефіціарними власниками, наразі поза увагою законопроєкту залишилися такі можливі власники майнових прав на ворожі програмні продукти, як фізичні особи - громадяни держави-агресора та/або держави-окупанта або держав, які входять до митних та воєнних союзів з такими державами, або держав, до яких застосовано санкції, та фізичні особи, до яких застосовано персональні економічні та інші обмежувальні заходи (санкції), а також юридичні особи, які хоч і не мають кінцевого бенефіціарного власника, який підпадає під цей критерій, проте є резидентами таких держав та/або до яких застосовано санкції. З метою розширення сфери дії законопроєкту та врахування усіх можливих варіантів ворожих програмних продуктів, рекомендуємо доповнити розглянутий критерій зазначеними особами. 

7. власником такого веб-сайту є юридична особа, кінцевим бенефіціарним власником якої є будь-яка із осіб, зазначених у пункті 4 цієї статті (критерій №4 вище).  

Як і у попередньому критерії, законотворці наперед передбачили та нівелювали можливість обходу встановлених критеріїв шляхом оформлення прав на веб-сайт на ім'я підставних юридичних осіб. 

Слід підкреслити, що для того, щоб програмний продукт вважався ворожим, достатньо, щоб він відповідав принаймні одному із вищерозглянутих критеріїв.

Критерії визначення ворожих засобів інформатизації

На відміну від ворожих програмних продуктів, для визначення ворожих засобів інформатизації законопроєктом встановлено лише два критерії, а саме: 

1. комунікаційне (мережеве) обладнання знаходиться у відкритому переліку забороненого до використання програмного забезпечення та комунікаційного (мережевого) обладнання, що ведеться відповідно до вимог Закону України «Про основні засади забезпечення кібербезпеки України». 

Як ми зазначили вище, наразі ведеться робота над початком функціонування такого переліку. 

2. обліковий запис на такому обладнанні, містить дані про доступ до частини каталогів і комп'ютерної програми, комп'ютерного обладнання, а також визначає права такого доступу, що надають можливість володільцю облікового запису додавати, видаляти, змінювати цифровий контент і дані веб-сайту, надавати доступ до веб-сайту або його частини, окремих даних іншим особам, припиняти функціонування такого веб-сайту або його частини в межах облікового запису належить: громадянину або юридичній особі-резиденту держави-агресора та/або держави-окупанта, або держави, яка входить до митного або воєнного союзу з такою державою, або держави, до якої застосовано санкції, або громадянину України, місце проживання якого зареєстровано на тимчасово окупованій території України, або юридичній особі-резиденту України, місцезнаходження якої зареєстровано на тимчасово окупованій території України, та/або до яких застосовано персональні економічні та інші обмежувальні заходи (санкції). 

Якщо говорити простою мовою, за цим критерієм ворожими засобами інформатизації визначатимуться ті, на яких міститимуться облікові записи, які належать переліченм особам та дають змогу певним чином керувати веб-сайтами та їх складовими частинами. Вважаємо, що особливості застосування цього критерію будуть врегульовані підзаконними нормативно-правовими актами. 

Також, як і у випадку програмних продуктів, засіб інформатизації вважатиметься ворожим, якщо він відповідає принаймні одному із зазначених критеріїв. 

Як дізнатися який software та hardware є ворожим

Тепер, коли ми розібрали критерії визначення ворожих програмних продуктів та засобів інформатизації, може постати логічне питання: яким чином достеменно встановити, що конкретна комп'ютерна програма, веб-сайт, техніка тощо є ворожими, адже деякі зі встановлених критеріїв стосуються інформації, яка не є публічною? Відповідаємо. Законопроєктом передбачено, що Кабінет Міністрів України затверджуватиме та оприлюднюватиме переліки програмних продуктів та засобів інформатизації, віднесених до ворожих. Такі переліки будуть загальнодоступними й кожна зацікавлена особа зможе з ними ознайомитися. Також встановлено, що переліки будуть переглядатися не рідше одного разу на рік, тобто необхідно регулярно слідкувати за їх оновленнями, щоб не наражати себе на можливі негативні наслідки, які ми розглянемо далі. 

Які заборони встановлені законопроєктом

Як ми зазначали раніше, законопроєктом передбачено ряд норм, які доцільно розглянути за окремими періодами їх дії та суб'єктами, яких вони стосуються. 

Так, з 1 січня 2030 року забороняється продаж, використання та розповсюдження на території України програмних продуктів, засобів інформатизації, запис про які міститься у відповідних переліках, які ми розглянули вище. Ця заборона є загальною і не містить жодних виключень, а отже стосується усіх суб'єктів, які підпадають під сферу дії законопроєкту (див. розділ «Кого стосується законопроєкт» вище). 

Водночас на період до 1 січня 2030 року встановлено ряд обов'язків, обмежень та заборон, зокрема: 

1. органи влади Автономної Республіки Крим, органи місцевого самоврядування, військові формування, утворені відповідно до законів України, державні підприємства, установи та організації, суб'єкти владних повноважень та інші суб'єкти, яким делеговані такі повноваження, а також власники та оператори критичної інфраструктури зобов'язані вжити невідкладних заходів з виведення з використання програмних продуктів та засобів інформатизації, які містяться у затверджених КМУ переліках, які ми розглянули вище, а також таких, які підпадають під критерії, встановлені законопроєктом; 

2. забороняється використання при створенні (модернізації, модифікації, розвитку), перетворенні, припиненні, адмініструванні та забезпеченні функціонування засобів інформатизації, управлінні життєвим циклом таких засобів інформатизації, здійсненні заходів із кібербезпеки, створенні комплексних систем захисту інформації, систем управління інформаційною безпекою з підтвердженою відповідністю, власником (розпорядником) яких є орган державної влади, у тому числі й тих заходів, що здійснюються за рахунок коштів міжнародної технічної допомоги, програмних продуктів та засобів інформатизації, які містяться у затверджених КМУ переліках, які ми розглянули вище, а також таких, які підпадають під критерії, встановлені законопроєктом; 

3. забороняється запровадження заходів щодо застосування (модернізації) технічних засобів електронних комунікацій та кінцевого (термінального) обладнання при розгортанні високошвидкісних мереж широкосмугового доступу (у тому числі, при розгортанні рухомого (мобільного) зв'язку п'ятого та наступних поколінь) з використанням програмних продуктів та засобів інформатизації, які містяться у затверджених КМУ переліках, які ми розглянули вище, а також таких, які підпадають під критерії, встановлені законопроєктом; 

4. фізичні та юридичні особи, інші суб'єкти господарювання, що є отримувачами та/або надавачами послуг суб'єктам, визначеним у частині першій статті 5 законопроєкту, зобов'язані вжити невідкладних заходів з виведення з використання програмних продуктів та засобів інформатизації, які містяться у затверджених КМУ переліках, які ми розглянули вище, а також таких, які підпадають під критерії, встановлені законопроєктом. 

Окремо хочемо зауважити щодо пункту 4 вище, що його зміст не дає чіткого розуміння, про яких саме фізичних осіб, юридичних осіб, інших суб'єктів господарювання - надавачів або отримувачів послуг - йдеться, з огляду на друкарську помилку в посиланні на частину першу статті 5 законопроєкту (яка не містить відповідного переліку суб'єктів). Вважаємо, що цей незначний недолік буде усунутий під час розгляду законопроєкту Верховною Радою. 

Отже, суб'єкти, які перелічені у пунктах 1 - 4 вище, а також ті, що здійснюють діяльність, передбачену цими пунктами, повинні: а) перестати використовувати ворожі програмні продукти та засоби інформатизації, які містяться у відповідних переліках, затверджених КМУ, та б) самостійно проаналізувати використовувані ними програми та обладнання і, якщо вони підпадають принаймні під один із критеріїв, встановлених законопроєктом, перестати використовувати і їх (незалежно від того, чи є вони у переліках, затверджених КМУ, чи ні). У випадку, якщо програмний продукт чи засіб інформатизації не міститься у переліках, затверджених КМУ, а за результатами самостійного аналізу наявні сумніви щодо його відповідності критеріям «ворожості», встановленим законопроєктом, фізична або юридична особа, чи суб'єкт владних повноважень має право звернутися до Державної служби спеціального зв'язку та захисту інформації України. Рішення про належність програмного продукту, засобу інформатизації до ворожих в такому випадку ухвалюється на підставі експертного висновку про проведення державної експертизи програмного забезпечення програмного продукту, засобу інформатизації. 

Окремо законопроєктом забороняється продаж (розповсюдження) ворожих програмних продуктів та засобів інформатизації органам державної влади, органам влади Автономної Республіки Крим, органам місцевого самоврядування, військовим формуванням, утвореним відповідно до законів України, державним підприємствам, установам та організаціям, суб'єктам владних повноважень та іншим суб'єктами, яким делеговані такі повноваження, а також власникам та операторам критичної інфраструктури, у тому числі за процедурами публічних закупівель. Це стосується не тільки тих програмних продуктів та засобів інформатизації, які передбачені відповідними переліками, затвердженими КМУ, а й тих, що відповідають критеріям, встановленим законопроєктом, проте не містяться у зазначених переліках. Тому, якщо ви берете участь у публічних закупівлях та/або є постачальником товарів, робіт, послуг вищевказаним суб'єктам, ви також маєте провести аналіз програм та обладнання, які ви використовуєте для цього або продаєте. 

Відповідальність

До суб'єктів господарювання, які здійснюють продаж, використання та/або розповсюдження ворожих програмних продуктів та/або засобів інформатизації застосовуватимуться фінансові санкції у вигляді штрафу у розмірі 2 відсотки від загального річного обороту такого суб'єкта господарювання, але не менше ніж дохід від проведення такого продажу, використання та/або розповсюдження. При цьому зазначені фінансові санкції застосовуватимуться за кожен факт порушення окремо. 

На нашу думку, це є доволі жорстким, проте иправданим покаранням для порушників приписів законопроєкту. Однак, хочемо заспокоїти - стаття, яка встановлює зазначені фінансові санкції, набиратиме чинності з 1 січня 2030 року. Це зроблено для того, щоб у всіх зацікавлених осіб був час привести свою діяльність у відповідність вимогам законопроєкту. 

Застосування зазначених фінансових санкцій здійснюватиметься за рішенням суду, ухваленим за позовом Державної служби спеціального зв'язку та захисту інформації України. 

Висновки

Отже, автори законопроєкту запропонували дійсно важливий та потенційно ефективний механізм боротьби з ворожим software та hardware. Всім суб'єктам, які підпадають під його дію, слід вже зараз почати аналізувати не тільки власні продукти, а й постачальників, з якими вони співпрацюють, а враховуючи обсяг критеріїв «ворожості», це слід робити із залученням команди юристів та технічних фахівців, які точно врахують всі тонкощі вимог, що висуваються законопроєктом. Водночас для ще більшого підвищення ефективності передбачених законопроєктом механізмів, до його прийняття як закону слід врахувати ті зауваження, на які ми звернули увагу в цій аналітичній записці.