Кому заборонено 1С та BAS?
Навколо 1С і BAS часто звучить фраза: “ці системи заборонені”. Але в юридичному сенсі тут важливо розрізняти дві різні правові історії: заборону використання певного ПЗ для окремих категорій систем і суб’єктів, та санкції щодо конкретних осіб. Це не одне й те саме.
1. Кому саме заборонено використовувати 1С та BAS
А) Випадок перший: відкритий перелік забороненого ПЗ
Закон України про основні засади забезпечення кібербезпеки, у редакції зі змінами 2025 року, прямо передбачає: для систем, у яких обробляються державні інформаційні ресурси, службова інформація, державна таємниця, а також для об’єктів критичної інфраструктури, програмні та апаратні засоби мають відповідати умові — їх не повинно бути у відкритому переліку забороненого до використання програмного забезпечення та комунікаційного обладнання. Порядок формування і ведення цього переліку затверджує Кабінет Міністрів, а веде його Держспецзв’язку.
https://zakon.rada.gov.ua/laws/show/4336-20
Тобто ця вимога стосується насамперед:
- органів державної влади;
- органів місцевого самоврядування;
- військових формувань;
- державних підприємств у відповідних контурах;
- операторів критичної інфраструктури;
- систем, де обробляються державні інформаційні ресурси, службова інформація або державна таємниця.
На сайті Держспецзв’язку оприлюднений сам перелік забороненого ПЗ. Він уже містить, зокрема, низку продуктів 1С та BAS.
Б) Випадок другий: санкції щодо 1С як суб’єкта
Окремо існує санкційний режим, запроваджений рішенням РНБО та введений у дію указом Президента, де фігурує, зокрема, ООО «1С». Це вже інша правова конструкція: не перелік забороненого ПЗ як такого, а санкції щодо конкретної особи. Вони стосуються економічних і правових обмежень взаємодії з такою особою.
https://zakon.rada.gov.ua/laws/show/133/2017#Text
Практична різниця тут така:
- відкритий перелік забороненого ПЗ — це пряма умова використання в окремих державних і критичних контурах;
- санкції — це режим обмеження взаємодії з підсанкційною особою, а не окрема універсальна норма “про заборону будь-кому мати програму на комп’ютері”.
2. Хто має повноваження встановлювати такі обмеження
Це не питання “внутрішньої думки” окремого посадовця.
Кабінет Міністрів затвердив Порядок формування та ведення відкритого переліку забороненого ПЗ постановою №1335 від 22 жовтня 2025 року. У самому законі прямо зазначено, що порядок затверджує Кабмін, а забезпечення формування та ведення переліку покладається на Держспецзв’язку.
https://zakon.rada.gov.ua/laws/show/1335-2025-%D0%BF#Text
https://zakon.rada.gov.ua/laws/show/4336-20
Щодо санкцій — рішення ухвалює РНБО, а вводить у дію Президент своїм указом.
https://zakon.rada.gov.ua/laws/show/133/2017#Text
Тобто йдеться про реалізацію визначених законом механізмів, а не про неформальні “заборони”.
3. Чи всім приватним компаніям автоматично “заборонено” 1С та BAS
Ні, фраза “в Україні всім заборонено 1С/BAS” юридично неточна.
Для приватного бізнесу треба дивитися на конкретну ситуацію:
- чи є компанія оператором критичної інфраструктури;
- чи працює вона з відповідними державними ресурсами або системами;
- чи є в неї договірні або внутрішні політики безпеки;
- чи постає питання взаємодії з підсанкційними особами.
Якщо звичайна приватна компанія сама ухвалює внутрішнє правило “ми не використовуємо 1С/BAS”, то це, як правило, управлінське рішення, а не окрема державна санкція саме щодо неї. Але якщо компанія входить до категорій, на які поширюється закон і відкритий перелік, тоді це вже не внутрішня політика, а вимога нормативного характеру.
https://zakon.rada.gov.ua/laws/show/4336-20
4. Яка відповідальність за порушення
Тут важливо не спрощувати.
Якщо йдеться про внутрішню заборону в компанії
Окремої статті КУпАП чи КК “за порушення внутрішньої заборони на 1С/BAS” немає. У такому випадку наслідки зазвичай лежать у площині трудових, дисциплінарних або договірних відносин.
Якщо йдеться про державний сектор або критичну інфраструктуру
Тут правова опора — закон про кібербезпеку, урядовий порядок ведення переліку та сам перелік Держспецзв’язку. У таких випадках наслідки можуть настати через перевірки, аудит, вимоги з усунення порушень, дисциплінарну відповідальність, порушення правил безпеки чи закупівель, а також через наслідки конкретного інциденту.
Щодо “кримінальної відповідальності за порушення санкцій”
Станом на зараз питання окремої спеціальної кримінальної норми про порушення та обхід санкцій законодавець ще окремо доопрацьовує. Тому не варто автоматично писати, що “будь-яке порушення санкцій — це вже готова окрема стаття КК”. Таке формулювання без уточнень може бути неточним.
Якщо ж конкретні дії набувають ознак допомоги державі-агресору, тоді правову оцінку треба давати за обставинами справи, і це вже предмет індивідуального юридичного аналізу.
Текст Кримінального кодексу:https://zakon.rada.gov.ua/laws/show/2341-14#Text
Постанова про прийняття за основу законопроєкту щодо відповідальності за порушення санкцій:https://zakon.rada.gov.ua/laws/show/4462-20#Text
5. Де перевіряти інформацію
Найнадійніше — в офіційних джерелах:
- текст закону про кібербезпеку зі змінами 2025 року;
- постанову Кабміну №1335;
- відкритий перелік забороненого ПЗ на сайті Держспецзв’язку;
- указ Президента про санкції;
- офіційні роз’яснення Держспецзв’язку щодо переліку.
https://zakon.rada.gov.ua/laws/show/4336-20https://zakon.rada.gov.ua/laws/show/1335-2025-%D0%BF#Texthttps://cip.gov.ua/ua/statics/perelik-zaboronenogo-do-vikoristannya-programnogo-zabezpechennya-ta-komunikaciinogo-merezhevogo-obladnannyahttps://zakon.rada.gov.ua/laws/show/133/2017#Text
Висновок
Фраза “1С та BAS заборонені” без уточнень вводить в оману.
