Кому “заборонено” 1С та BAS?
Коротко. Фраза “1С/BAS заборонено” має різні юридичні значення залежно від контексту. Для державного сектору, об’єктів критичної інфраструктури та систем із державними інформаційними ресурсами діють окремі вимоги щодо забороненого програмного забезпечення. Окремо існують санкції щодо суб’єктів, пов’язаних із 1С.
Кому “заборонено” 1С та BAS? — це питання, яке часто звучить у бізнесі, бухгалтерії, ІТ-відділах, державному секторі та серед інтеграторів ERP-систем.
Проблема в тому, що під словом “заборонено” часто змішують кілька різних речей:
- відкритий перелік забороненого програмного забезпечення;
- санкції щодо юридичних осіб;
- внутрішню політику компанії;
- вимоги до державних інформаційних ресурсів;
- вимоги до об’єктів критичної інфраструктури;
- закупівельні, аудиторські та репутаційні ризики;
- потенційну відповідальність у разі порушень.
Головна ідея: потрібно розрізняти, кому саме заборонено використовувати 1С/BAS, у якому правовому режимі, у якій системі та з якими наслідками.
Загальний контекст
Після початку санкційної політики щодо російського програмного забезпечення в Україні виникло багато плутанини навколо 1С, BAS та інших систем, пов’язаних зі старою технологічною екосистемою.
Частина користувачів вважає, що:
- 1С повністю заборонена всім;
- BAS є повністю легальною заміною 1С;
- приватний бізнес може використовувати будь-що без ризиків;
- санкції автоматично означають кримінальну відповідальність за сам факт встановленої програми;
- якщо програма перейменована, ризиків уже немає.
Насправді ситуація складніша.
Є щонайменше дві різні правові площини:
- відкритий перелік забороненого програмного забезпечення;
- санкції щодо суб’єктів, пов’язаних із 1С.
Ключова відмінність. “ПЗ включене до переліку забороненого” і “компанія перебуває під санкціями” — це не одне й те саме. Ці режими мають різну правову природу, різні наслідки та різні групи ризику.
Дві різні правові історії
Коли говорять “1С/BAS заборонено”, зазвичай мають на увазі одну з двох історій.
| Правовий режим | Що означає | Для кого особливо важливо |
|---|---|---|
| Відкритий перелік забороненого ПЗ | Перелік програмних або апаратних засобів, які не можуть використовуватися у визначених законом системах і сферах | Держоргани, місцеве самоврядування, військові формування, держпідприємства, критична інфраструктура |
| Санкції щодо 1С як суб’єкта | Обмеження щодо взаємодії з конкретними санкційними особами або компаніями | Бізнес, держсектор, закупівлі, інтегратори, постачальники, аудитори |
Практичний висновок: перш ніж казати “заборонено” або “не заборонено”, потрібно уточнити, про який саме режим іде мова.
Відкритий перелік забороненого програмного забезпечення
Законодавство у сфері кібербезпеки встановлює спеціальні вимоги до використання програмних та апаратних засобів у чутливих системах.
Йдеться, зокрема, про системи, пов’язані з:
- державними інформаційними ресурсами;
- службовою інформацією;
- державною таємницею;
- об’єктами критичної інфраструктури.
Для таких систем важливою умовою є відсутність програмного або апаратного засобу у відкритому переліку забороненого ПЗ.
| Червоний юридичний блок |
|---|
|
Якщо програмне забезпечення входить до відкритого переліку забороненого, його використання є критичним ризиком для державного сектору, об’єктів критичної інфраструктури та визначених законом інформаційних систем. У такій ситуації питання вже не лише в зручності програми або звичці бухгалтерії. Це питання відповідності вимогам кібербезпеки, аудиту, контролю, закупівель і управління ризиками. |
Для кого відкритий перелік є обов’язковим
Відкритий перелік забороненого програмного забезпечення має особливе значення для таких категорій:
- органів державної влади;
- органів місцевого самоврядування;
- військових формувань;
- державних підприємств;
- операторів критичної інфраструктури;
- систем, що працюють із державними інформаційними ресурсами;
- систем, що обробляють службову інформацію;
- систем, пов’язаних із державною таємницею.
| Категорія | Ризик використання забороненого ПЗ |
|---|---|
| Орган державної влади | Порушення вимог до державних інформаційних систем |
| Орган місцевого самоврядування | Ризики аудиту, перевірок і невідповідності вимогам кібербезпеки |
| Військове формування | Підвищений безпековий ризик |
| Державне підприємство | Закупівельні, управлінські та контрольні ризики |
| Оператор критичної інфраструктури | Ризики для безперервності, безпеки й відповідності вимогам |
Практичний висновок. Якщо організація належить до державного сектору або критичної інфраструктури, питання використання 1С/BAS потрібно розглядати не як “бухгалтерську звичку”, а як питання відповідності законодавчим вимогам.
Які продукти BAS можуть потрапляти в зону ризику
За повідомленнями про перелік забороненого ПЗ, до нього можуть включатися не лише старі продукти з назвою 1С, а й окремі продукти BAS.
Серед таких продуктів можуть згадуватися:
- 1C для України;
- 1C 7.7;
- BAS ERP;
- BAS Управління холдингом;
- BAS Документообіг КОРП;
- BAS Бухгалтерія КОРП;
- інші продукти лінійки BAS.
|
Важливо. Бізнесу та держорганізаціям не варто перевіряти лише назву “1С”. Потрібно перевіряти конкретний продукт, версію, постачальника, платформу та наявність у переліках або санкційних документах. |
Санкції щодо 1С як суб’єкта
Окремо від відкритого переліку забороненого ПЗ існує санкційний режим щодо суб’єктів, пов’язаних із 1С.
Санкції — це не те саме, що перелік забороненого програмного забезпечення.
Санкції можуть обмежувати:
- економічні операції;
- платежі;
- придбання;
- супровід;
- оновлення;
- договори;
- взаємодію з санкційними особами;
- передачу активів або ресурсів;
- інші форми співпраці.
Ключова різниця. Відкритий перелік забороненого ПЗ стосується використання конкретних програмних або апаратних засобів у визначених законом системах. Санкції стосуються обмеження взаємодії з конкретними суб’єктами.
Чи є кримінальна відповідальність за сам факт встановленої 1С/BAS
Потрібно обережно розрізняти юридичні ситуації.
Сам факт того, що на комп’ютері приватної компанії встановлена стара програма, не завжди автоматично означає кримінальну відповідальність.
Але ризики можуть виникати в інших площинах:
- якщо здійснюються платежі санкційним особам;
- якщо укладаються договори з підсанкційними суб’єктами;
- якщо використовується ПЗ із забороненого переліку в державному секторі або критичній інфраструктурі;
- якщо порушуються вимоги кібербезпеки;
- якщо закупівля суперечить вимогам законодавства;
- якщо дії можуть кваліфікуватися як допомога державі-агресору;
- якщо виникає інцидент безпеки через використання заборонених або ризикових засобів.
| Обережне формулювання |
|---|
|
Потрібно оцінювати не лише факт наявності програми, а всю ситуацію: хто використовує ПЗ, у якій системі, для яких даних, за яким договором, кому платять кошти, хто надає супровід і чи є зв’язок із санкційними особами. |
Приватний бізнес: чи “заборонено” 1С/BAS
Для приватного бізнесу питання не завжди виглядає як пряма універсальна заборона.
Якщо приватна компанія не є оператором критичної інфраструктури, не працює з державними інформаційними ресурсами й не підпадає під спеціальні вимоги, ситуація може бути іншою.
Але це не означає, що ризиків немає.
Приватний бізнес має враховувати:
- санкційні ризики;
- репутаційні ризики;
- ризики платежів або супроводу;
- ризики аудиту;
- ризики участі в тендерах;
- ризики роботи з міжнародними партнерами;
- ризики майбутньої міграції;
- ризики кібербезпеки;
- залежність від старої технологічної екосистеми.
Ризик для приватного бізнесу. Навіть якщо компанія формально не підпадає під пряму заборону, використання 1С/BAS може створювати санкційну, репутаційну, технологічну та міграційну проблему.
Внутрішня політика компанії
Окремо існує ситуація, коли компанія сама ухвалює рішення:
- не використовувати 1С;
- не використовувати BAS;
- не купувати продукти зі спадкової екосистеми;
- не працювати з підрядниками, які підтримують такі системи;
- не приймати документи або інтеграції з ризикового ПЗ;
- вимагати переходу на українське або санкційно безпечне програмне забезпечення.
Таке рішення може бути частиною:
- політики інформаційної безпеки;
- санкційної політики;
- комплаєнсу;
- вимог власників;
- вимог інвесторів;
- вимог міжнародних партнерів;
- підготовки до аудиту;
- стратегії цифрової трансформації.
|
Внутрішня заборона в компанії — це не кримінальна стаття, а управлінське рішення. Але для бізнесу таке рішення може бути стратегічно правильним, якщо компанія хоче зменшити ризики й підготуватися до майбутньої міграції. |
Держсектор і критична інфраструктура
Для держсектору та критичної інфраструктури ситуація значно жорсткіша.
Тут використання програмного забезпечення має відповідати вимогам законодавства, кібербезпеки, закупівель і державного контролю.
До зон підвищеного ризику належать:
- бухгалтерські системи;
- кадрові системи;
- документообіг;
- системи з персональними даними;
- системи з державною інформацією;
- системи з доступом до службової інформації;
- системи критичної інфраструктури;
- системи управління комунальними підприємствами;
- системи військових формувань;
- системи державних підприємств.
| Сфера | Чому ризик високий |
|---|---|
| Державний орган | Працює з державними інформаційними ресурсами |
| Місцева рада | Має службову інформацію, фінанси, документи, персональні дані |
| Державне підприємство | Підпадає під контроль, аудит і вимоги безпеки |
| Критична інфраструктура | Має підвищені вимоги до кібербезпеки та безперервності роботи |
| Військове формування | Має найвищий рівень безпекового ризику |
Відповідальність: що важливо розуміти
Питання відповідальності залежить від конкретної ситуації.
Не завжди існує одна проста стаття, яка звучить як “відповідальність за використання 1С/BAS”. Наслідки можуть виникати через різні механізми.
Можливі типи наслідків:
- дисциплінарна відповідальність;
- наслідки аудиту;
- порушення вимог інформаційної безпеки;
- порушення закупівельних процедур;
- невідповідність вимогам кібербезпеки;
- наслідки інциденту;
- санкційні ризики;
- репутаційні наслідки;
- потенційна кваліфікація дій за іншими нормами, якщо є допомога державі-агресору.
Важливо. Питання відповідальності не можна оцінювати абстрактно. Потрібно дивитися на конкретний факт: хто використовує систему, де вона встановлена, які дані обробляє, хто отримує оплату, хто супроводжує ПЗ і чи є зв’язок із санкційними особами.
Чи є окрема стаття КК за порушення санкцій
У правовому полі питання відповідальності за порушення санкцій розвивається.
Станом на аналіз у вихідному матеріалі:
- у чинному тексті Кримінального кодексу окрема стаття “114-3 — порушення санкцій” не була чинною;
- існував законопроєкт №12406, який пропонував встановити відповідальність за порушення або обхід санкцій;
- така норма потребує окремої перевірки за актуальним текстом законодавства на момент прийняття рішення.
|
Практичне правило. Якщо питання стосується відповідальності, санкцій, платежів, закупівель або державного сектору, потрібно перевіряти актуальну редакцію законодавства й отримувати юридичний висновок по конкретній ситуації. |
Якщо платять або постачають агресору
Окрема небезпечна зона — ситуації, де платежі, постачання, супровід або передача ресурсів можуть бути пов’язані з державою-агресором або санкційними суб’єктами.
У такому випадку питання вже може виходити за межі “чи стоїть програма на комп’ютері”.
Потрібно оцінювати:
- кому сплачуються кошти;
- хто надає супровід;
- хто отримує ліцензійні платежі;
- хто контролює оновлення;
- хто має доступ до системи;
- чи є зв’язок із підсанкційними особами;
- чи можна кваліфікувати дії як допомогу державі-агресору.
Критичний ризик. Якщо оплата, супровід або постачання програмного забезпечення фактично пов’язані з державою-агресором або підсанкційними особами, це вже не лише питання ІТ-вибору, а потенційно серйозний юридичний ризик.
Де перевіряти перелік забороненого ПЗ
Перелік забороненого програмного забезпечення потрібно перевіряти на офіційних джерелах.
До таких джерел належать:
- сайт Держспецзв’язку;
- zakon.rada.gov.ua;
- офіційні постанови Кабміну;
- укази Президента;
- рішення РНБО;
- офіційні повідомлення державних органів.
Не варто покладатися лише на:
- чутки;
- повідомлення в чатах;
- коментарі інтеграторів;
- старі презентації;
- неактуальні списки;
- рекламні матеріали постачальників.
|
Правильний підхід. Перед закупівлею, продовженням підтримки або використанням ERP-системи потрібно перевіряти актуальні офіційні переліки, санкційні документи та статус конкретного продукту. |
Практична матриця ризиків
| Ситуація | Рівень ризику | Коментар |
|---|---|---|
| Приватна компанія використовує стару 1С без платежів підсанкційним особам | Середній | Може не бути прямої універсальної заборони, але є технологічні, репутаційні та міграційні ризики |
| Приватна компанія платить за супровід структурі, пов’язаній із санкційним суб’єктом | Високий | Потрібна юридична перевірка контрагента, договорів і платежів |
| Держорган використовує ПЗ із відкритого переліку забороненого | Дуже високий | Можливі наслідки через порушення вимог кібербезпеки, контролю та аудиту |
| Оператор критичної інфраструктури використовує заборонене ПЗ | Дуже високий | Підвищений ризик через вимоги безпеки та безперервності |
| Компанія переходить з 1С/BAS на українську ERP | Керований | Ризики зменшуються через планову міграцію, аудит даних і нову архітектуру |
Чому бізнесу не варто чекати примусу
Навіть якщо приватна компанія формально не має прямої заборони на використання певного ПЗ, очікувати примусу — погана стратегія.
Причини:
- міграція займає час;
- старі доробки ускладнюють перехід;
- дані потрібно очищувати;
- персонал потрібно навчати;
- інтеграції потрібно переносити;
- що довше компанія чекає, то дорожчою стає міграція;
- санкційні ризики можуть посилюватися;
- партнери можуть вимагати безпечного ПЗ;
- аудит може поставити незручні питання.
Стратегічний висновок. Перехід з 1С/BAS краще планувати заздалегідь, а не в момент, коли виник аудит, перевірка, санкційне питання, кіберінцидент або вимога партнера.
K2 ERP як альтернатива 1С/BAS
K2 ERP позиціонується як українська ERP-платформа, яка може стати альтернативою старим системам 1С/BAS.
Переваги переходу можуть включати:
- зменшення санкційних ризиків;
- вихід зі старої технологічної екосистеми;
- українське походження продукту;
- сучаснішу архітектуру;
- модульність;
- хмарні сценарії;
- інтеграції;
- CRM;
- документообіг;
- управлінський облік;
- можливість поступової міграції;
- зменшення залежності від старих спеціалістів;
- розвиток української ERP-екосистеми.
| Перевага переходу |
|---|
|
Перехід на K2 ERP — це не лише заміна програми. Це можливість переглянути архітектуру бізнесу, зменшити ризики й поступово перейти до української ERP-платформи. |
Практичний план дій для компанії
Компанія, яка використовує 1С/BAS або інше ризикове ПЗ, може діяти поетапно.
- Визначити, яке саме ПЗ використовується.
- Перевірити продукт у відкритих переліках забороненого ПЗ.
- Перевірити постачальника, правовласника та контрагента.
- Перевірити санкційний статус пов’язаних осіб.
- З’ясувати, чи компанія належить до критичної інфраструктури або держсектору.
- Оцінити, які дані обробляються в системі.
- Провести аудит договорів супроводу.
- Визначити ризики платежів і оновлень.
- Оцінити технічний стан системи та обсяг доробок.
- Підготувати план міграції.
- Обрати українську або санкційно безпечну альтернативу.
- Провести поетапний перехід.
Порівняння: залишатися чи переходити
| Критерій | Залишатися на 1С/BAS | Планувати перехід на K2 ERP |
|---|---|---|
| Санкційний ризик | Може залишатися високим або невизначеним | Зменшується завдяки виходу зі старої екосистеми |
| Репутаційний ризик | Може виникати перед партнерами, аудиторами та державою | Нижчий за умови переходу на українську платформу |
| Технологічна залежність | Залежність від старої архітектури та спеціалістів | Поступовий перехід до нової ERP-логіки |
| Міграція | Чим довше чекати, тим складніше | Можна планувати керовано |
| Кібербезпека | Ризики потребують окремої оцінки | Можна будувати нову модель безпеки |
| Майбутній розвиток | Обмежений старою екосистемою | Модульність, інтеграції, хмарність, розвиток української ERP |
Бізнес-висновок
Питання “кому заборонено 1С та BAS” не має однієї простої відповіді для всіх.
Для держсектору, критичної інфраструктури та систем із державними інформаційними ресурсами питання може бути прямим питанням відповідності законодавчим вимогам.
Для приватного бізнесу ситуація може бути менш формальною, але ризики залишаються: санкційні, репутаційні, договірні, міграційні, технологічні та безпекові.
Головний ризик. Компанія може помилково вважати, що проблема 1С/BAS її не стосується, поки не зіткнеться з аудитом, тендером, партнерською перевіркою, кіберінцидентом або вимогою перейти на санкційно безпечне ПЗ.
Головна перевага планового переходу. Компанія сама керує міграцією, строками, бюджетом, навчанням і даними, замість того щоб переходити в авральному режимі під тиском перевірок або ризиків.
Коротко для керівника
| Питання | Відповідь |
|---|---|
| Чи заборонено 1С/BAS усім? | Ні, потрібно розрізняти приватний бізнес, держсектор, критичну інфраструктуру, санкції та відкритий перелік забороненого ПЗ |
| Кому ризик найвищий? | Держорганам, місцевому самоврядуванню, державним підприємствам, військовим формуванням і критичній інфраструктурі |
| Що таке відкритий перелік забороненого ПЗ? | Офіційний перелік програмних та апаратних засобів, використання яких обмежене або заборонене для визначених систем |
| Чим санкції відрізняються від переліку ПЗ? | Санкції стосуються суб’єктів і взаємодії з ними, а перелік — конкретних програмних або апаратних засобів |
| Чи є кримінальна відповідальність за сам факт встановленої програми? | Не завжди. Важливі контекст, платежі, суб’єкти, сфера використання, тип даних і можливий зв’язок із санкційними особами |
| Що робити приватному бізнесу? | Провести аудит ПЗ, договорів, контрагентів, платежів і підготувати план міграції |
| Де перевіряти статус ПЗ? | На офіційних ресурсах Держспецзв’язку, zakon.rada.gov.ua, у рішеннях РНБО, указах Президента та постановах КМУ |
| Чому варто переходити заздалегідь? | Планова міграція дешевша, безпечніша й керованіша, ніж авральна заміна після перевірки або інциденту |
Пов’язані терміни
- 1С
- BAS
- K2 ERP
- ERP
- Міграція з 1С
- Санкційні ризики ERP
- Держспецзв’язку
- Кібербезпека
- Критична інфраструктура
- Державні інформаційні ресурси
- РНБО
- Санкції
- Українське програмне забезпечення
- Автоматизація бізнесу
- Цифрова трансформація
- Інформаційна безпека
- Технологічна залежність
- Комплаєнс
- Аудит програмного забезпечення
Джерела
- Закон України №4336-20 на zakon.rada.gov.ua
- Повідомлення LIGA:ZAKON Бізнес про перелік забороненого ПЗ
- Указ Президента України №133/2017 на zakon.rada.gov.ua
- Постанова КМУ №1335 від 22.10.2025 на zakon.rada.gov.ua
- Кримінальний кодекс України на zakon.rada.gov.ua
- Постанова ВРУ щодо законопроєкту №12406 на zakon.rada.gov.ua
- Перелік забороненого до використання програмного забезпечення та комунікаційного мережевого обладнання на сайті Держспецзв’язку
- Оригінальна стаття на erp.kyiv.ua