Відповідь
З набранням чинності постановою КМУ від 22.10.2025 № 1335 Уряд затвердив Порядок формування та ведення відкритого переліку забороненого до використання програмного забезпечення та комунікаційного (мережевого) обладнання (далі — Перелік).
Внесення програмного продукту до Переліку пов’язується саме із санкційним статусом правовласника або іншої особи, яка володіє майновими правами на відповідний продукт.
Водночас необхідність і доцільність використання певного програмного забезпечення в інформаційно-комунікаційній системі визначаються на етапі її проєктування розробником або власником з урахуванням особливостей завдань, для автоматизації виконання яких вона створюється, та обмежень згідно із Законом України «Про санкції» від 14.08.2014 № 1644-VII.
Погодження за Національною програмою з інформатизації
Державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, у системах, об’єктах критичної інформаційної інфраструктури, власниками або розпорядниками яких є органи державної влади, державні органи, державні підприємства, установи та організації, органи місцевого самоврядування, мають оброблятися в авторизованих системах з безпеки або шляхом отримання сертифіката відповідності стандарту інформаційної безпеки, виданого органом з оцінки відповідності (Закон України «Про захист інформації в інформаційно-комунікаційних системах» від 05.07.1994 № 80/94-ВР).
Авторизація з безпеки або отримання сертифіката відповідності стандарту інформаційної безпеки щодо систем, в яких обробляються державні інформаційні ресурси або службова інформація та інформація, що становить державну таємницю, об’єктів критичної інформаційної інфраструктури, власниками або розпорядниками яких є органи державної влади, державні органи, державні підприємства, установи та організації, органи місцевого самоврядування, здійснюється відповідно до законодавства у сфері захисту інформації та кіберзахисту.
Тобто при використанні в системі підсанкційного ПЗ або обладнання пройти авторизацію або отримати сертифікат відповідності стандарту інформаційної безпеки така система не зможе. Для вже авторизованих/сертифікованих систем виявлення факту використання підсанкційного ПЗ або обладнання в системі буде означати скасування авторизації/сертифікації на підставі невідповідності нормам законодавства у сфері захисту інформації та кіберзахисту.
Також при виявленні факту використання підсанкційного ПЗ або обладнання під час проведення заходів державного контролю в сфері захисту інформації власник системи буде зобов’язаний провести заміну такого ПЗ або обладнання, а в разі невиконання припису — буде складений протокол про адміністративне правопорушення за ст. 18831 КУпАП (невиконання законних вимог посадових осіб органів Державної служби спеціального звʼязку та захисту інформації України), який в подальшому буде направлений до суду.
