Material erstellt von Daria Tomash,
Leiterin der Rechtsabteilung
In den Jahren 2025–2026 betrachten ukrainische Unternehmen ihre eigene IT-Landschaft zunehmend nicht nur unter dem Gesichtspunkt der Effizienz, sondern auch als Faktor für Compliance- und Cybersicherheitsrisiken. Das Erscheinen offizieller Listen mit Softwareprodukten, die eine Gefahr für die nationale Sicherheit darstellen können, hat die Aufmerksamkeit des staatlichen Sektors, großer Vertragspartner und Banken auf dieses Thema gelenkt. In diesem Artikel erläutern wir kurz den rechtlichen Kontext und stellen einen praktischen Aktionsplan für Unternehmen vor.
Die Ukraine hat endgültig den Übergang von deklarativen Aufrufen zu einer strengen Regulierung der IT-Landschaft vollzogen. Mit dem heutigen Stand ist die „Grauzone“, in der Unternehmen russische Software unter dem Deckmantel europäischer Alternativen nutzten, offiziell beseitigt.
1. Rechtliche Grundlage: Wer verstößt bereits gegen das Gesetz?
Gemäß dem Beschluss des Ministerkabinetts Nr. 1335 vom 22.10.2025, hat die Staatliche Sonderkommission für Telekommunikation eine Liste von Software veröffentlicht, die eine Gefahr für die nationale Sicherheit darstellt. Darin enthalten sind nicht nur klassische 1C-Produkte, sondern auch die gesamte BAS- und UA-Budget-Produktreihe. Der Staat hat offiziell anerkannt: Eine Namensänderung ändert nichts an der Code-Architektur und der finanziellen Spur, die zum Aggressorland führt.
Für wen gilt das Verbot zwingend:
- Staatliche Behörden und militärische Einheiten.
- Staatliche und kommunale Unternehmen.
- Betreiber kritischer Infrastruktur (einschließlich privater Energie-, Logistik- und Medizinunternehmen).
Für den privaten Sektor hat die Liste vorerst den Status einer „roten Flagge“, doch der registrierte Gesetzentwurf Nr. 13505 bereitet bereits die Grundlage für Strafen in Höhe von 2 % des Jahresumsatzes vor (die Sanktionen sind für 2030 geplant, doch die Nutzungsbeschränkungen werden bereits jetzt schrittweise eingeführt).
2. Risiken für die Privatwirtschaft:
Obwohl sich die direkte administrative Haftung für kommerzielle Unternehmen (die keine kritische Infrastruktur darstellen) im Mai 2026 noch in der Phase der gesetzlichen Umsetzung befindet, sieht sich die Privatwirtschaft bereits mit einer Reihe von Hindernissen konfrontiert. Die Nutzung von Software, die Sanktionen unterliegt, hat sich von einer technischen Frage zu einem strategischen Risiko entwickelt.
- Der „Toxische-Gegenpartei“-Effekt
• Ausschluss von öffentlichen Ausschreibungen: Gemäß den aktualisierten Anforderungen von Prozorro müssen Teilnehmer an Ausschreibungen bestätigen, dass sie keine Software verwenden, die auf Sanktionslisten steht. Das Vorhandensein von BAS in Ihrem Backoffice führt automatisch zum Ausschluss.
• Rückzug großer Partner: Unternehmen, die auf ihre eigene Compliance achten, verlangen im Jahr 2026 von ihren Lieferanten „digitale Sauberkeit“. Die Zusammenarbeit mit einem Unternehmen, das Software aus einem Aggressorland nutzt, wird als Reputationsrisiko angesehen.
- Bank-Compliance und Finanzüberwachung
• Risiko der Zahlungssperre: Die Bezahlung von Dienstleistungen von Programmierern oder Integrationsfirmen, die sich mit der „Unterstützung“ von Software des Aggressorlandes befassen, wird als risikobehaftete Transaktion eingestuft.
• Herabstufung der Bonität: Bei der jährlichen Kundenüberprüfung (KYC) berücksichtigen die Banken technologische Risiken. Die Nutzung nicht unterstützter und sanktionierter Software verringert die Chancen auf die Gewährung von Krediten oder Überziehungskrediten.
- Technische Mängel und Fehler in der Buchhaltung
• Verstoß gegen die Rechtsvorschriften: Jegliche Änderungen an Steuerrechnungsformularen, Berichten oder Steuersätzen im Jahr 2026 müssen „manuell“ oder über inoffizielle Patches vorgenommen werden. Das führt unweigerlich zu Fehlern, für die die Steuerbehörde durchaus reale Strafen verhängt.
• Fehlende Integrationen: Moderne ukrainische Dienste (PRRO, elektronische Dokumentenverwaltungssysteme, Bank-APIs) verweigern massiv die Unterstützung der Austauschprotokolle dieser Programme. Unternehmen geraten in die Isolation und verlieren die Möglichkeit zur Automatisierung.
- Reputationsrisiken und HR-Marke
• Personalmangel: Qualifizierte Buchhalter und Finanzdirektoren lehnen es zunehmend ab, in Unternehmen zu arbeiten, die die Sanktionsgesetze ignorieren, da sie um ihren beruflichen Ruf und ihre Zukunft fürchten.
• Ethische Entscheidung: In der Gesellschaft besteht ein klarer Wunsch nach einem vollständigen Bruch mit den Produkten des Aggressors. Die weitere Nutzung der Software kann zu öffentlichen Skandalen und Boykotten seitens der Kunden führen.
- Das Risiko einer „Notumstellung“
• Die Folge: Datenverlust, Ausfall von Lieferungen, enorme Kosten für die dringende Einführung eines neuen Systems und Stress, der den Betrieb monatelang lahmlegen kann.
Das Problem ist nicht, dass eine Prüfung kommt und eine Geldstrafe verhängt wird. Das Problem ist, dass Unternehmen, die mit sanktionierter Software arbeiten, nicht mehr wettbewerbsfähig, anfällig und vom modernen Wirtschaftssystem der Ukraine isoliert sind. Die Kosten für die Migration heute sind der Preis für das Überleben morgen.
3. Was Unternehmen tun sollten: Roadmap und Dokumente
Für private Unternehmen, die noch nicht unter direkte Sanktionen fallen, ist das Jahr 2026 der richtige Zeitpunkt, um sich mit den notwendigen Unterlagen zu versorgen und mit der planmäßigen Migration zu beginnen. Schritt 1. Prozesse legalisieren
Erlassen Sie einen Anweisung zur Durchführung einer Prüfung der Informationssysteme. Das ist der wichtigste Nachweis für die Steuer- und Bank-Compliance, dass das Unternehmen integer handelt und sich auf die Änderungen vorbereitet.
Schritt 2. Technische Konservierung
Halten Sie den aktuellen Stand mit einem Software-Bestandsverzeichnis fest. Alle alten 1C/BAS-Datenbanken müssen in den Modus „Read-only“ (nur lesbar) versetzt werden. Erlassen Sie eine Verfügung über die Versetzung der Software in den Archivstatus – dies trennt rechtlich zwischen der verbotenen Nutzung und der vorgeschriebenen Aufbewahrung von Steuerdaten.
Schritt 3. Auswahl und Einführung einer Alternative
Erstellen Sie ein Protokoll zur Auswahl des Softwareprodukts (z. B. Umstellung auf die Cloud-Lösungen Dilovod, MASTER oder Odoo). Halten Sie in dem Dokument fest, dass die ausgewählte Software den Anforderungen an die Cybersicherheit entspricht und nicht auf schwarzen Listen steht.
Schritt 4. Zusammenarbeit mit Partnern
Erstellen Sie ein Comfort Letter (Erläuterungsschreiben) für Banken und Vertragspartner. Weisen Sie darin deutlich darauf hin, dass „das Unternehmen sich im Migrationsprozess befindet. Die Nutzung der unter Sanktionen stehenden Software ist auf Archivierungszwecke beschränkt. Der operative Betrieb wird auf die neue Software umgestellt“.

Somit gelten 1C und BAS ab Mai 2026 offiziell als kompromittierte Technologien. Für private Unternehmen ist das Ausbleiben sofortiger Strafen kein Grund zur Entspannung, sondern eine Chance, die Migration ohne Unterbrechung der Prozesse durchzuführen. Die Umsetzung der oben beschriebenen Schritte ermöglicht es Ihnen nicht nur, sich vor künftigen Prüfungen zu schützen, sondern auch die Stabilität Ihres Unternehmens im neuen digitalen Rechtsrahmen der Ukraine zu gewährleisten.
Wenn Sie eine Migration planen oder bereits Anfragen von Banken/Geschäftspartnern erhalten, ist es ratsam, eine Bestandsaufnahme der Software sowie eine Bewertung der Compliance- und Cyberrisiken durchzuführen und ein Dokumentenpaket zur Bestätigung eines kontrollierten Übergangs vorzubereiten. Das BDO-Team in der Ukraine steht Ihnen jederzeit mit Dienstleistungen im Bereich IT-Audit zur Seite.

