У зв’язку з триваючою гібридною агресією проти України та активним використанням ворожими суб’єктами програмних продуктів і засобів інформатизації для втручання в діяльність органів державної влади, здійснення деструктивного впливу на інформаційний простір, виникла об’єктивна потреба у законодавчому врегулюванні питань визнання таких продуктів ворожими, запровадження механізмів для заборони їх використання.
З огляду на це, 18 липня 2025 у ВРУ зареєстровано законопроєкт №13505 "Про заборону використання та розповсюдження ворожих програмних продуктів та ворожих засобів інформатизації".
Проєкт Закону визначає правові та організаційні засади регулювання використання програмних продуктів та засобів інформатизації, які можуть бути використані на шкоду національній безпеці України. Зокрема, проєкт Закону:
1) встановлює терміни «ворожий програмний продукт» та «ворожий засіб інформатизації»;
2) визначає критерії, за якими програмні продукти та засоби інформатизації класифікуються як ворожі (зокрема, за ознаками бенефіціарного володіння, походження, авторських прав, наявності у відкритих переліках заборонених рішень тощо).
Критерії віднесення програмного продукту до ворожого програмного продукту
1. Програмним продуктом, що відноситься до ворожого програмного продукту відповідно до цього Закону є такий, що підпадає під один із наступних критеріїв:
1) кінцевим бенефіціарним власником суб’єкта господарювання, який здійснює розповсюдження програмного забезпечення є громадянин держави-агресора:
- та/або держави-окупанта
- або держав, які входять до митних та воєнних союзів з такими державами,
- або держав, до яких застосовано санкції,
- та/або до яких застосовано персональні економічні та інші обмежувальні заходи (санкції);
2) автором комп’ютерної програми, який володіє майновими правами на комп'ютерну програму є громадянин держави-агресора та/або державиокупанта або які входять до митних та воєнних союзів з такими державами, або держав, до яких застосовано санкції, та/або до яких застосовано персональні економічні та інші обмежувальні заходи (санкції);
3) програмне забезпечення знаходиться у відкритому переліку забороненого до використання програмного забезпечення та комунікаційного (мережевого) обладнання, що ведеться відповідно до вимог Закону України «Про основні засади забезпечення кібербезпеки України»;
4) власник вебсайту є громадянином держави-агресора та/або держави-окупанта або які входять до митних та воєнних союзів з такими державами, або держав, до яких застосовано санкції, або громадянином України, зареєстрованому на тимчасово окупованих територіях України, та/або до яких застосовано персональні економічні та інші обмежувальні заходи (санкції);
5) власник вебсторінки є громадянином держави-агресора та/або держави-окупанта або які входять до митних та воєнних союзів з такими державами, або держав, до яких застосовано санкції, або громадянином України, зареєстрованому на тимчасово окупованих територіях України, та/або до яких застосовано персональні економічні та інші обмежувальні заходи (санкції);
6) майнові авторські права на такий програмний продукт належать юридичній особі, кінцевим бенефіціарним власником якої є будь-яка із осіб, зазначених у пункті 2 цієї статті;
7) власником такого вебсайту є юридична особа, кінцевим бенефіціарним власником якої є будь-яка із осіб,зазначених у пункті 4 цієї статті.
3) закріплює повноваження КМУ щодо затвердження переліків ворожих програмних продуктів і засобів інформатизації, які ведуться Державною службою спеціального зв’язку та захисту інформації України у складі відкритого переліку забороненого до використання програмного забезпечення і мережевого обладнання;
4) надає право Службі безпеки України та Національному банку України подавати пропозиції щодо включення або виключення продуктів із переліків у межах відповідних сфер нагляду (національна безпека, фінансовий сектор тощо);
5) передбачає поступове виведення з використання ворожих програмних продуктів та засобів інформатизації до 1 січня 2030 року;
6) встановлює заборону на їх закупівлю та застосування органами державної влади, суб’єктами критичної інфраструктури, підприємствами оборонного сектору, а також учасниками платіжних систем, окрім випадків, передбачених для розвідувальних органів;
7) визначає відповідальність у вигляді фінансових санкцій у розмірі 2% від загального річного обороту суб’єкта господарювання у разі порушення вимог щодо заборонених продуктів;
8) містить зміни до законів України «Про Службу безпеки України», «Про Національний банк України», «Про Державну службу спеціального зв’язку та захисту інформації України» з метою забезпечення реалізації положень цього Закону.
Очікується, що Закон набере чинності через шість місяців з дня його опублікування, санкційний блок – з 1 січня 2030 року.