Від моніторингу до перевірки: як відбуватиметься контроль за використанням забороненого софту в держорганах

Для українських держорганів та органів місцевого самоврядування настає критичний етап у забезпеченні реалізації цифрової безпеки. Тривалий час використання програмного забезпечення з російським походженням, зокрема 1С, «Парус» та BAS, залишалося зоною поза контролем.

Проте ще 22 жовтня 2025 року Уряд постановою № 1335 встановив чіткі обмеження на застосування ПЗ із російським корінням у держсекторі. Документ закріплює вимоги щодо переходу на легальне та безпечне програмне забезпечення, що відповідає стандартам кібербезпеки України.

Документ запроваджує процедуру формування та ведення відкритого переліку забороненого до використання ПЗ та мережевого обладнання. Це не просто технічний реєстр, а інструмент державного контролю, який дозволяє ідентифікувати цифрові продукти, що створюють загрозу національній кібербезпеці.

Про механізм формування Переліку, поточний стан списку, роботу в закритих мережах, хмарні сервіси та наслідки для систем читайте в попередньому матеріалі «Судово-юридичної газети».

Що саме підпадає під заборону?

Законодавець розширив поняття кіберзагрози на два ключові напрями:

• Програмне забезпечення у значенні «програмний продукт». Сюди напряму відносять системи 1С, «Парус», BAS та інші продукти, що потрапили під санкції. Наразі у переліку 40 таких продуктів.
• Комунікаційне обладнання: пристрої для організації мереж, апаратне забезпечення для обміну даними, такі як комутатори, маршрутизатори, міжмережеві екрани.

Також до цього списку включають системи відеоспостереження, виробники яких перебувають у санкційних списках.

Важливо: під час закупівель систем відеоспостереження фахівці повинні на етапі маркетингових досліджень ретельно перевіряти, чи не перебуває виробник обладнання у санкційних списках.

Заходи держконтролю, які здійснюють фахівці Держспецзв’язку

20 березня 2026 року Держспецзв’язку офіційно попередило, що використання підсанкційного програмного забезпечення, такого як 1С, «Парус» та BAS, у держустановах тягне за собою не лише технічні ризики, а й персональну адміністративну відповідальність для керівників.

Відповідно до Порядку здійснення державного контролю за додержанням вимог законодавства у сфері кіберзахисту, заходи державного контролю, які здійснюють фахівці Держспецзв’язку, поділяються на два основні напрями: моніторинг стану кіберзахисту та проведення перевірок.

Моніторинг стану кіберзахисту передбачає постійний збір та аналіз звітів про оцінювання стану кіберзахисту інформаційних та комунікаційних систем об’єктів критичної інфраструктури та систем, де обробляються державні ресурси або таємниця.

Фахівці можуть письмово запитувати у держорганів додаткові документи для підтвердження стану виконання вимог законодавства, зокрема під час підготовки до перевірки або якщо у звіті бракує підтверджень здійснених заходів. Суб’єкти зобов’язані надати відповідь протягом 30 календарних днів.

Перевірка є безпосереднім заходом контролю, який здійснює спеціальна комісія, у складі не менш як із трьох осіб — посадових осіб Адміністрації Держспецзв’язку або її територіальних органів.

Планові перевірки проводяться згідно з річним планом не частіше ніж раз на два роки щодо одного суб’єкта. А позапланові перевірки проводяться у разі повідомлення про порушення від правоохоронців, через неподання звітності або невиконання вимог попередніх перевірок.

Відповідальність за використання 1С

Під час заходів державного контролю фахівці Держспецзв’язку насамперед перевіряють відсутність санкційних продуктів у системах установи. Якщо таке ПЗ (наприклад, 1С) виявлять в автоматизованих системах, де обробляються персональні дані або конфіденційна інформація, на установу чекає:

1. Вимога замінити заборонену програму.
2. Скасування авторизації (КСЗІ).
3. Якщо установа не замінить ПЗ у визначений термін, на керівника, відповідального за захист інформації, буде складено адмінпротокол.

Ризики та майбутні санкції

Законодавець не планує зупинятися на чинних заходах. Держспецзв’язку спільно з Національною поліцією та СБУ виступили ініціаторами законопроєкту, який має на меті радикально змінити ставлення керівників до кіберзахисту.

Він передбачає:

• Штрафи до 100 мінімальних зарплат за невиконання вимог у сфері кіберзахисту.
• Позбавлення волі за найбільш грубі порушення законодавства.

Важливо зазначити, що Держспецзв’язку наголошує на превентивній ролі: головною метою є не покарання, а запобігання порушенням. Керівникам установ рекомендується скористатися відкритістю Держспецзв’язку до комунікації та отримати необхідні консультації для безпечного переходу на українські чи міжнародні аналоги софту та обладнання.

Підписуйтесь на наш Telegram-канал t.me/sudua та на Google Новини SUD.UA, а також на наш VIBER, сторінку у Facebook та в Instagram, щоб бути в курсі найважливіших подій.