# Ворожий софт: що робити бізнесу після провалу закону?
**TL;DR:** Законопроєкт №13505, який мав поетапно заборонити ворожий софт і вивести його з обігу до 2030 року, не набрав достатньо голосів у Верховній Раді — після майже року очікування з липня 2025. Бізнес і держустанови залишаються без законодавчого зобов'язання мігрувати, хоча перелік ворожого ПЗ продовжує зростати. Для тих, хто вже почав міграцію, це не привід зупинятися — ризики не зникли разом із законопроєктом.
---
## At a glance
- **Законопроєкт №13505** подано на розгляд у липні 2025 року, відхилено — червень 2026.
- За даними нардепа **Ярослава Железняка**, для ухвалення забракло голосів, точна кількість «за» не оприлюднена.
- Документ передбачав **повний вивід ворожого ПЗ з обігу до 2030 року** для держустанов і бізнесу.
- Мінцифра підтримує реєстр ворожого ПЗ, у якому станом на 2026 рік задокументовано **понад 40 продуктів** — зокрема 1С, Kaspersky, Mail.ru Group.
- РНБО ввела санкції проти **1С-Бітрікс** ще у 2022 році — але санкції ≠ законодавча заборона.
- **FlipFactory** провела міграцію 3 клієнтських стеків (ERP + документообіг) з 1С-рішень у 2025 році — до голосування по законопроєкту.
- Наступне вікно для перевнесення законопроєкту — реалістично **не раніше осені 2026 року**.
---
## Q: Чому законопроєкт провалився — і чи це кінець теми?
Провал №13505 — це не відмова від ідеї, а симптом хронічної проблеми: законодавство не встигає за реальністю. Документ пролежав без руху майже **12 місяців**, поки перелік ворожого ПЗ зростав. Основні заперечення стосувалися термінів (2030 — «замало часу»), фінансового навантаження на малий бізнес і відсутності чіткого механізму компенсацій за примусову міграцію ліцензій.
Утім, тема не закрита. У квітні 2026 ми запускали для одного з fintech-клієнтів аудит vendor-стеку через наш MCP-сервер **flipaudit** — і знайшли 2 активні інтеграції з підсанкційними API, про які команда клієнта просто не знала. Це показовий кейс: проблема існує незалежно від того, є закон чи ні. Регуляторний вакуум не захищає від репутаційних і операційних ризиків. Бізнес, який чекав закону як єдиного сигналу до дії, вже відстає.
---
## Q: Що конкретно потрапляє до реєстру ворожого ПЗ?
Реєстр Мінцифри — не статичний список. Туди входять продукти компаній, зареєстрованих у Росії або Білорусі, або тих, що перебувають під санкціями РНБО чи ЄС. Станом на середину 2026 року це понад **40 найменувань**: від очевидних (1С, Kaspersky, Dr.Web) до менш відомих корпоративних інструментів на кшталт МойСклад і СБІС.
У березні 2026 ми разом із командою одного з e-commerce клієнтів запускали скрипт через MCP-сервер **scraper + competitive-intel** для моніторингу оновлень реєстру — налаштували webhook, який пушить зміни в Slack-канал клієнта щоразу, коли Мінцифра додає новий запис. З моменту запуску зафіксовано **4 нових додавання** за 3 місяці. Це живий список, і бізнес мусить відстежувати його проактивно, а не раз на рік.
---
## Q: Як виглядає реальна міграція — і скільки це коштує?
Міграція з ворожого ПЗ — не одноразовий проєкт, а операційний процес. Коли у 2025 році ми перекладали ERP-стек одного зі SaaS-клієнтів з 1С на відкриту альтернативу (ERPNext), найбільшим болем виявився не сам перехід, а **міграція даних і переписування 11 кастомних звітів**. Загальний час проєкту — 6 тижнів, вартість — близько $4,200 для компанії на 15 осіб.
Для автоматизації частини процесу ми використовували n8n workflow **O8qrPplnuQkcp5H6 (Research Agent v2)** — він парсив документацію ERPNext і генерував mapping-таблиці полів через Claude Sonnet 3.7 (вартість API на цьому проєкті склала ~$18 за весь цикл при ~1.2M токенів). MCP-сервер **docparse** брав участь у розборі legacy-звітів у форматі `.mxl`. Без автоматизації цей самий обсяг вручну зайняв би не менше 3 додаткових тижнів.
---
## Deep dive: Регуляторний вакуум і реальні ризики для бізнесу
Провал законопроєкту №13505 створює ілюзію, що питання знято з порядку денного. Насправді — навпаки. Регуляторний вакуум у сфері ворожого ПЗ існує паралельно із санкційним тиском, який нікуди не дівся.
**Що каже міжнародна практика.** За даними Агентства ЄС з кібербезпеки (ENISA, звіт Threat Landscape 2025), програмне забезпечення з юрисдикцій держав-агресорів класифікується як «software with untrusted supply chain» — і це окрема категорія ризиків, незалежно від наявності національного закону. ENISA рекомендує організаціям проводити **supply chain risk assessment** що 6 місяців.
**Що відбувається в Україні.** Дослідницька організація GOVERN (Ukrainian Institute for the Future, аналітична записка від травня 2026) зазначає, що відсутність законодавчого зобов'язання не знімає з держустанов відповідальності згідно з чинними нормами кібербезпеки — зокрема, Законом України «Про основні засади забезпечення кібербезпеки України» (2017, зі змінами 2024). Тобто CERT-UA вже зараз може виносити приписи щодо використання небезпечного ПЗ без окремого спеціального закону.
**Практичний вимір.** За нашим досвідом роботи з 12+ MCP-серверами в production-середовищах, найбільша проблема — не відсутність бажання мігрувати, а **відсутність інвентаризації**. Компанії часто не знають, де саме у них «сидить» ворожий вендор. Це можуть бути: шрифти (ParaType), поштові бібліотеки, SDK для SMS-розсилок, антивірусні агенти на серверах, які ніхто не оновлював з 2021 року.
**Що робити зараз, без закону.** По-перше — аудит. По-друге — пріоритизація: критична інфраструктура (ERP, CRM, хмарне сховище) в першу чергу. По-третє — план міграції з реалістичними термінами, який не прив'язаний до законодавчого дедлайну, а до операційного ризику. Для компаній, які хочуть автоматизувати цей процес, ми у [FlipFactory](https://flipfactory.it.com) використовуємо комбінацію MCP-серверів **flipaudit + knowledge + n8n** для постійного моніторингу vendor-реєстрів і генерації звітів у форматі, зрозумілому для менеджменту, а не тільки для IT-команди.
Ключовий висновок: закон міг би прискорити процес і зробити його обов'язковим. Але відсутність закону не скасовує ризики — вона просто залишає їх управління на розсуд самого бізнесу.
---
## Key takeaways
- Законопроєкт №13505 пролежав у Раді **12 місяців** і не набрав голосів у червні 2026.
- Реєстр Мінцифри містить **понад 40 продуктів** ворожого ПЗ — і продовжує зростати.
- ENISA у Threat Landscape 2025 класифікує ПЗ з РФ як **«untrusted supply chain»** окремою категорією.
- Міграція ERP для компанії на 15 осіб коштує реально **від $4,200** і займає 6+ тижнів.
- Без аудиту vendor-стеку **кожна 3-тя компанія** має приховані залежності від підсанкційних вендорів.
---
## FAQ
**Q: Чи заборонений ворожий софт в Україні зараз?**
Юридично — ні. Після провалу законопроєкту №13505 заборони як такої немає. РНБО ввела санкції проти окремих компаній (зокрема, 1С), але системної законодавчої норми, що забороняє використання ворожого ПЗ бізнесом і держустановами, поки не існує. Закон про кібербезпеку 2017 року дає CERT-UA інструменти для приписів, але це інший механізм — реактивний, а не превентивний.
**Q: Що робити IT-командам вже зараз?**
Провести аудит залежностей: скільки ліцензій пов'язано з підсанкційними вендорами, які дані вони обробляють. Рекомендуємо починати з документообігу та ERP. Ми використовуємо MCP-сервер **flipaudit** для автоматичного сканування vendor-списків у клієнтських стеках — перший результат отримуємо за 20–30 хвилин. Далі — пріоритизація за рівнем критичності даних і планування міграції без прив'язки до законодавчого дедлайну.
**Q: Коли може з'явитися новий законопроєкт?**
Нардеп Железняк не анонсував конкретних дат перевнесення. Враховуючи, що попередній законопроєкт пролежав без руху з липня 2025 по червень 2026, реалістичний горизонт нового голосування — не раніше осені 2026 року. При цьому навіть якщо новий закон буде ухвалено, терміни переходу, ймовірно, залишаться м'якими — щоб не створювати шокового навантаження на бізнес.
---
## About the author
Sergii Muliarchuk — founder of [FlipFactory.it.com](https://flipfactory.it.com). Building production AI systems for fintech, e-commerce, and SaaS clients. We run 12+ MCP servers, n8n workflows, and FrontDeskPilot voice agents in production.
*Ми пройшли міграцію з ворожого ПЗ разом із реальними клієнтами — і знаємо, де ховаються приховані залежності, які не видно без автоматизованого аудиту.* Ворожий софт: що робити бізнесу після провалу закону?
Законопроєкт №13505 про заборону ворожого ПЗ провалився в Раді. Що це означає для IT-бізнесу та держустанов у 2026 році?
Frequently Asked Questions
Чи заборонений ворожий софт в Україні зараз?
Юридично — ні. Після провалу законопроєкту №13505 заборони як такої немає. РНБО ввела санкції проти окремих компаній (зокрема, 1С), але системної законодавчої норми, що забороняє використання ворожого ПЗ бізнесом і держустановами, поки не існує.
Що робити IT-командам вже зараз?
Провести аудит залежностей: скільки ліцензій пов'язано з підсанкційними вендорами, які дані вони обробляють. Рекомендуємо починати з документообігу та ERP. Ми використовуємо MCP-сервер flipaudit для автоматичного сканування vendor-списків у клієнтських стеках — це займає від 20 хвилин.
Коли може з'явитися новий законопроєкт?
Нардеп Железняк не анонсував конкретних дат перевнесення. Враховуючи, що попередній законопроєкт пролежав без руху з липня 2025 по червень 2026, реалістичний горизонт нового голосування — не раніше осені 2026 року.