CCTVplanner.io
    Відповідність15 хв читання

    Програмне забезпечення російського походження в проектах ЄС з відеоспостереження (2026): огляд дотримання вимог, санкцій та закупівель

    Фактичний огляд, орієнтований на закупівлі, для розробників, інтеграторів систем відеоспостереження та замовників ЄС, який ставить одне й те саме повторюване питання у 2026 році: як застосовуються правила походження, санкцій та місця зберігання даних, коли йдеться про програмне забезпечення для проектування систем відеоспостереження? Ця стаття підсумовує загальнодоступну базу. Вона не є юридичною консультацією — кожне конкретне рішення про закупівлю має бути підтверджене кваліфікованим юристом із питань закупівель.

    Важливо: це огляд фактів, а не юридична консультація

    Санкції, правила експортного контролю та закупівель часто змінюються та тлумачаться по-різному в різних державах-членах ЄС. Ніщо в цій статті не слід розглядати як юридичну консультацію щодо будь-якої конкретної транзакції. Для отримання обов'язкових рішень зверніться до кваліфікованого юрисконсульта з питань закупівель у відповідній юрисдикції. Посилання на загальнодоступні стандарти, нормативні акти та судову практику є точними наскільки нам відомо станом на травень 2026 року.

    Зміст

    Чому це питання важливе для закупівель ЄС у 2026 році

    З 2022 року ЄС послідовно запровадив пакети санкцій проти Росії, одночасно розвиваючи правила державних закупівель країн-членів. Сукупний вплив на закупівлі програмного забезпечення був суттєвим: замовники, які раніше не запитували про походження програмного забезпечення, тепер регулярно включають вимоги щодо розкриття походження на етапі кваліфікації, а заявки, які не можуть підтвердити несанкціоноване походження, зазвичай відфільтровуються до комерційного розгляду.

    Програмне забезпечення для проектування систем відеоспостереження належить до особливої категорії ризику, оскільки артефакти, які воно створює — плани поверхів, розміщення камер, топологія мережі, BOM — є чутливими як з точки зору безпеки, так і з точки зору експлуатації. Навіть якщо санкційний інструмент на перший погляд не поширюється на певний інструмент планування відеоспостереження, органи-замовники, як правило, застосовують запобіжні заходи, особливо в оборонній сфері, державному управлінні, критичній інфраструктурі та великих проектах охорони здоров'я чи транспорту.

    Ця стаття — саме те пояснення, про яке ми мріяли, коли клієнти-інтегратори вперше почали запитувати нас про походження програмного забезпечення у відповідях на тендерні пропозиції. Вона описова, а не директивна — її мета — викласти структуру простою мовою, щоб розробник систем відеоспостереження міг поставити своєму консультанту із закупівель правильні запитання, а не замінити цю розмову.

    Чинна система санкцій ЄС — короткий виклад

    Обмежувальні заходи ЄС проти Росії запроваджуються через Регламент Ради, опублікований в Офіційному журналі Європейського Союзу, та оновлюються шляхом послідовних пакетів поправок. Ця система базується на трьох основних принципах, що стосуються закупівель програмного забезпечення.

    Три стовпи, що стосуються програмного забезпечення

    • Експортний контроль. Обмеження на постачання певних товарів, послуг, технологій та програмного забезпечення до Росії, з акцентом на секторальні товари подвійного використання, оборону та певні промислові категорії.
    • Фінансові санкції. Заморожування активів та заборона надання коштів або економічних ресурсів особам та організаціям, що входять до списку. Тест «володіння та контролю» залежить від конкретних фактів і застосовується навіть у випадках, коли постачальник сам не входить до списку, але належить або контролюється особою, що входить до списку.
    • Фільтри державних закупівель. Положення Регламенту Ради (ЄС) 833/2014 (зі змінами), що забороняють укладання державних контрактів з певними російськими особами та організаціями, транспоновані та доповнені законодавством держав-членів про закупівлі різними способами.

    На додаток до системи ЄС, такі країни-члени, як Німеччина, Франція, Польща, скандинавські країни та країни Балтії, запровадили власну термінологію державних закупівель із суворішими критеріями. В результаті один і той самий постачальник може бути прийнятним в одній юрисдикції ЄС та відфільтрованим в іншій, навіть якщо жоден документ прямо його не називає. Тому команди із закупівель схильні застосовувати найсуворішу термінологію держави-члена як свій внутрішній орієнтир.

    Американська сторона: NDAA §889 та виконавчі накази ICTS

    З боку США, навіть посадовці з питань закупівель ЄС регулярно посилаються на два документи як неофіційні орієнтири. NDAA §889 (Закон про національний оборонний дозвіл Джона С. Маккейна на 2019 фінансовий рік) забороняє федеральним агентствам та федеральним підрядникам купувати або використовувати охоплене цим Законом телекомунікаційне обладнання та обладнання для відеоспостереження у певних названих китайських виробників. Виконавчі укази щодо інформаційно-комунікаційних технологій та послуг (ІКТ), головним чином Виконавчий указ 13873 та наступники, надають Міністерству торгівлі США широкі повноваження щодо перевірки транзакцій за участю іноземних супротивників.

    Жоден з цих інструментів не застосовується як юридична норма до типових закупівель ЄС. Однак вони часто використовуються як шаблонна формулювання для закупівель. Замовник ЄС 2026 року, який готує тендер на відеоспостереження, зазвичай вимагає від постачальника заявити, що його програмне забезпечення, хостинг та персонал не будуть виключені відповідно до правил, еквівалентних §889, навіть якщо сам §889 не має відношення до договору. Постачальники, які не можуть зробити таку заяву, знаходяться в конкурентній невигідній ситуації незалежно від законності їхньої пропозиції.

    Прямий вплив закупівель на програмне забезпечення для проектування систем відеоспостереження

    Наведені нижче категорії – це чотири категорії, де ми бачимо, що питання щодо походження програмного забезпечення виникають найчастіше в проектах відеоспостереження в ЄС у 2026 році.

    Тендери державного сектору

    Урядові, оборонні, медичні та освітні тендери все частіше включають чіткі положення про розкриття інформації про «походження програмного забезпечення». Тригером зазвичай є одне з положень про фільтрацію закупівель, обговорених вище, що застосовується шляхом національної транспозиції. Навіть там, де правовий поріг є дискусійним, практична реальність полягає в тому, що заявки, які не можуть підтвердити прийнятне походження, фільтруються на етапі кваліфікації. Розробники, які відповідають на тендери державного сектору у 2026 році, повинні очікувати, що вони зроблять ствердні декларації про походження для кожного програмного інструменту, що використовується в процесі проектування, а не лише для самого обладнання для спостереження.

    Контракти на критичну інфраструктуру

    Закупівлі в енергетиці, транспорті, банківській справі та водопостачанні регулюються NIS2 (Директива (ЄС) 2022/2555) та дублюючимися галузевими правилами. Хоча сама NIS2 базується на ризиках, а не на походженні, отримані в результаті оцінки ризиків зазвичай визначають походження ланцюга постачання як важливий фактор, і оператори життєво важливих послуг врахували це у своїх системах закупівель. Планка до доказів походження програмного забезпечення в проектах критичної інфраструктури значно вища, ніж для загальних комерційних закупівель.

    Аудит відповідності приватних підприємств

    Великі підприємства з власними системами ESG, ланцюгів поставок або кіберризиків регулярно проводять аудит своїх постачальників та субпостачальників. Навіть за відсутності конкретного тендеру інтегратор, який використовує програмне забезпечення, походження якого неможливо підтвердити, може бути виключений зі списку пріоритетних постачальників під час щорічного огляду. Ця динаміка помітно прискорилася протягом 2024 та 2025 років і продовжується у 2026 році.

    Взаємодія з транскордонними інтеграторами

    Інтегратори, що працюють як у юрисдикціях ЄС, так і поза ним, стикаються з додатковими складнощами, оскільки стандарти закупівель відрізняються. Інструмент, прийнятний для приватного комерційного проекту в одній юрисдикції, може не пройти фільтр закупівель для державного проекту в іншій юрисдикції. Багато інтеграторів раціоналізували це, стандартизуючи інструменти європейського походження для всіх проектів, спрощуючи реагування на будь-які майбутні тендери незалежно від того, де вони будуть представлені.

    Як покупці перевіряють походження програмного забезпечення

    Спеціаліст із закупівель, який проводить перевірку походження, має досить стандартний набір інструментів. Жодна з цих перевірок окремо не підтверджує походження — вони складають триангульовану картину з публічної інформації.

    • Реєстр WHOIS для домену постачальника — країна реєстратора, організація-реєстрант, ASN сервера імен.
    • Розкриття постачальником назви юридичної особи, країни реєстрації та ідентифікаційного номера платника податків — зазвичай вимагається під час кваліфікації.
    • Огляд хостинг-провайдера — хмарний регіон, де фізично працює SaaS-інфраструктура, що підтверджується атестацією або угодою про хостинг зі сторонньою компанією.
    • Публічні корпоративні документи — реєстри бенефіціарних власників, структура материнської компанії та будь-які перехресні посилання на санкційний список.
    • Атестація ланцюга поставок — письмова декларація від постачальника, в якій описується, де програмне забезпечення розробляється, розміщується та підтримується, а також зазначаються будь-які субпідрядники з обробки даних.

    Для закупівель з вищим рівнем ризику (оборона, критична інфраструктура) оцінка може охоплювати походження вихідного коду, тестування безпеки третьою стороною та незалежний юридичний висновок. Гранична вартість оцінки вищого рівня є нетривіальною, і замовники зазвичай замовляють її лише тоді, коли це виправдовує вартість або чутливість контракту.

    GDPR – кут передачі даних третім країнам

    Статті 44–49 GDPR регулюють передачу персональних даних до країн за межами Європейської економічної зони. Правило за замовчуванням полягає в тому, що така передача заборонена, якщо не застосовується одна з визначених гарантій: рішення Європейської Комісії про адекватність, затверджений механізм передачі, такий як стандартні договірні положення з відповідними додатковими заходами, або відступ для певних ситуацій.

    У справі Schrems II (справа C-311/18, 2020) Європейський суд чітко вказав, що стандартні договірні положення повинні бути доповнені оцінкою впливу передачі даних, яка враховує закони країни призначення та те, чи забезпечують вони по суті еквівалентний захист. Росії немає у списку адекватності Європейської комісії, і переважає тлумачення, що досягнення «по суті еквівалентного» захисту для передачі даних до Росії є складним, враховуючи тамтешній правовий ландшафт. Практичним наслідком є те, що будь-який інструмент проектування відеоспостереження, який передає персональні дані на сервери в Росії або організаціям під російською юрисдикцією, стикається зі значним тягарем оцінки впливу передачі, якого інструменти, розміщені в ЄС, просто не стикаються.

    Для проектів відеоспостереження це важливо, оскільки інструменти проектування частіше, ніж люди усвідомлюють, торкаються персональних даних — метаданих проекту, інформації про сайт кінцевого клієнта, адрес електронної пошти облікових записів, вмісту заявок на підтримку. Покупець, який серйозно ставиться до GDPR, захоче отримати гарантії того, що жодні з цих даних не залишають ЄС/ЄЕЗ таким чином, що це може призвести до перевірки відповідно до Розділу V.

    Чому існує CCTVplanner — розміщується в ЄС, розроблено в ЄС

    CCTVplanner керується компанією DEFENSAR, зареєстрованою в Польщі, фронтенд якої розміщено в Польщі, а бекенд — на хмарній інфраструктурі регіону ЄС. Саме це й означає заголовок «100% спроектовано та розміщено в ЄС» — юридична особа, інженерія та хостинг знаходяться в межах Європейського Союзу, а в архітектурі за замовчуванням немає субпідрядників з третіх країн.

    Для команд із закупівель це перекладається в коротку, декларативну відповідь на питання щодо розкриття походження, описані вище. На шляху передачі даних немає жодного субпідрядника з обробки даних з Росії, Китаю чи юрисдикції США. Згідно з Розділом V GDPR немає жодного тягаря оцінки впливу передачі, оскільки дані не залишають ЄС. У ланцюжку поставок немає дискваліфікуючого фактора, еквівалентного §889. Архітектура ЄС за замовчуванням, якій довіряють інтегратори з усього світу, є єдиною особливістю, яка найчастіше згадується в розмовах про закупівлі у 2026 році.

    Позиція ЄС в одному абзаці

    • Операційна організація DEFENSAR зареєстрована та є податковим резидентом у Польщі.
    • Фронтенд розміщено в Польщі; бекенд — у хмарі регіону ЄС (eu-west).
    • У архітектурі за замовчуванням немає субпідрядників з обробки даних зі третіх країн.
    • Узгоджено з GDPR за замовчуванням — для покупців з ЄС не потрібна окрема оцінка впливу передачі.

    Реальність "Переходу з JVSG "

    Практичне запитання, яке ми чуємо від інтеграторів у 2026 році, звучить так: «Ми задоволені нашим поточним інструментом проектування систем відеоспостереження, але команда закупівель позначила розкриття інформації про походження програмного забезпечення як ризик. Як виглядає перехід?» Відповідь здебільшого механічна — експортувати план поверху в DXF, імпортувати його в CCTVplanner, замінити камери з каталогу понад 65 000 моделей, зіставити порогові значення DORI, перенаправити кабелі, експортувати багатосторінковий PDF . Ми написали покрокову інструкцію в посібнику з міграції, посилання на який наведено нижче. Жоден з кроків не є особливо складним. Найскладнішою частиною, як правило, є рішення про перехід, а не сам перехід.

    Зокрема, для переходів, зумовлених закупівлями, ми радимо письмово документувати перехід — подію-тригер, оцінені альтернативи, обрану заміну та дату вилучення існуючого інструменту з робочого процесу. Консультанти з питань закупівель та аудитори ESG винагороджують задокументовані рішення, а письмовий журнал переходу є поширеним елементом пакетів комплексної перевірки.

    Заключне застереження

    Ця стаття є фактичним оглядом, що ґрунтується на загальнодоступних стандартах, нормативних актах та судовій практиці станом на травень 2026 року. Вона не є юридичною консультацією і не замінює консультації кваліфікованого юриста з питань закупівель у вашій юрисдикції. Санкції, експортний контроль та правила закупівель часто змінюються та тлумачаться по-різному в різних державах-членах ЄС. Кожне конкретне рішення щодо закупівель має бути підтверджене юристом, знайомим з конкретним органом-замовником, сектором та юрисдикцією.

    Жодне твердження в цій статті не має на меті принизити будь-яку країну, компанію чи категорію постачальника. Мета полягає в тому, щоб описати систему закупівель так, як її сприймають покупці у 2026 році, щоб інтегратори могли готувати відповіді на пропозиції та розробляти робочі процеси, які витримають етап кваліфікації.

    Часті запитання

    Is software of Russian origin banned from EU public procurement in 2026?

    There is no single blanket EU rule that says "all software of Russian origin is banned". Instead, several layered EU instruments — sanctions regulations, public-procurement rules, sectoral export controls and member-state interpretations — combine to make Russian-origin software difficult or impossible to procure in many specific contexts (defence, public administration, critical infrastructure, financial services). Whether your specific procurement is permitted depends on the contracting authority, the sector and the country. Always consult your in-house counsel or external procurement advisor for a binding determination.

    Does the EU sanctions framework apply to design software, not just hardware?

    Sanctions instruments commonly cover "goods, services, technology and software" — software is treated as a category of its own, separate from physical hardware. Whether a particular CCTV design tool falls inside or outside a specific sanctions instrument is a fact-specific legal question. Public-sector tenders increasingly include explicit "software origin" disclosure requirements, and a vendor unable to evidence non-Russian origin is usually filtered out at the qualification stage regardless of the underlying sanctions analysis.

    How does GDPR interact with Russian-hosted software?

    GDPR Articles 44 to 49 govern personal-data transfers to third countries. Russia is not on the European Commission's list of countries with an adequacy decision, and standard contractual clauses to Russian processors face additional scrutiny under the Schrems II reasoning of the European Court of Justice. In practice this means that any CCTV design tool that transmits personal data — project metadata, account information, customer-site details — to servers in Russia or to entities under Russian jurisdiction faces a meaningful GDPR transfer-impact assessment burden that EU-hosted tools do not.

    What is NDAA §889 and does it apply outside the United States?

    NDAA §889 is a US federal procurement rule that prohibits federal agencies and federal contractors from buying or using telecommunications and video-surveillance equipment from certain named Chinese companies. It is a US instrument with US scope, but it is increasingly cited as a procurement template by EU and UK contracting authorities updating their own rules. Procurement officers in 2026 routinely ask vendors whether their products would qualify under §889 even when §889 itself does not legally apply to the contract.

    What practical due-diligence does a procurement team perform on software origin?

    Standard checks include WHOIS lookups on the vendor domain, verification of the legal entity name and registration country, review of hosting providers (where the SaaS infrastructure physically runs), inspection of public corporate filings, and a request for a written supply-chain attestation from the vendor. For higher-risk procurements (defence, critical infrastructure) the assessment can extend to source-code provenance, third-party penetration testing, and an independent legal opinion. None of this is a substitute for advice from procurement counsel, which is why the recurring recommendation in this article is to consult one.

    Пов'язані статті

    Планувальник відеоспостереження проти JVSG

    Порівняння, включаючи положення місця зберігання даних.

    Перехід з JVSG : Посібник з міграції 2026 року

    Покрокова інструкція з переходу на основі закупівель.

    Найкраще безкоштовне програмне забезпечення для проектування систем відеоспостереження (2026)

    Варіанти безкоштовного рівня перевірені на походження з ЄС та відповідність GDPR.

    EN 62676-4 :2025 Оновлення OODPCVS (2026)

    Оновлення стандартів стосовно термінології закупівель ЄС.

    Калькулятор DORI

    Калькулятор браузера, розміщений у ЄС, не потребує встановлення.

    Калькулятор EN 62676-4

    Рекомендації щодо об'єктивів, що відповідають стандартам, розміщені в ЄС.

    ← Назад до блогу

    © 2026 CCTVplanner. Всі права захищені.