Юридична підтримка Military AI проєктів

Інформація
10 Кві 2026
Дата публікації
Data privacy compliance
Категорія
Автори
Олександра Шалугіна
Молодша ІР/ІТ-юристка
Євгеній Кандирал
Молодший Рrivacy юрист в Legal IT Group

З розвитком miltech в Україні почало з’являтися ще більше проєктів, що залучають технологію штучного інтелекту (далі – ШІ). На початку 2026 року Міністерство оборони запустило Defense AI Center “A1” центр компетенцій, який займатиметься впровадженням ШІ в оборонні процеси, а Кабінет Міністрів розпочав експериментальний проєкт, який відкриває партнерам доступ до тренування ШІ-моделей для безпілотних систем на основі реальних даних з поля бою. Також нещодавно було ініційовано створення окремого оборонного кластеру для виробників мілтех ШІ.

Як бачимо, ця технологія активно розвивається і це створює низку правових викликів для оборонних компаній, які хочуть впроваджувати її у свої системи. У цій статті ми розглянемо основні юридичні виклики, що постають перед military AI проєктами у сфері кібербезпеки, інтелектуальної власності,  приватності, контрактів та спеціального правового режиму Дефенс сіті. 

Важливо, що для ефективного юридичного супроводу defense tech AI проєкту  варто залучати miltech юристів, тобто спеціалістів, що мають експертизу, як у IT, так і у мілітарі доменах. 

Кібербезпека miltech проєктів

Розпочнемо з кібербезпеки, що є ключовою складовою будь-якого ШІ-проєкту і має особливу вагу для мілтех-індустрії. Законодавство ЄС має специфічні положення щодо кібербезпеки, що стосуються комплаєнсу систем штучного інтелекту.

AI Act: до яких систем застосовується?

AI Act (Регламент 2024/1689) є першою в історії Європейського Союзу нормативно-правовою базою у сфері штучного інтелекту, яка враховує ризики, пов’язані з штучним інтелектом. Як вказано у ст. 1 цього Регламенту, його ціллю є покращення функціонування внутрішнього ринку та сприяння впровадженню людиноцентричного та надійного штучного інтелекту (ШІ), забезпечуючи при цьому високий рівень захисту здоров’я, безпеки та фундаментальних прав, а також підтримка інновацій.

Регламент не застосовуватиметься до тих систем, які розміщені на ринку або використовуються лише у військових, оборонних цілях або в цілях національної безпеки, незалежно від суб’єкта, який виконує ці завдання. Проте, якщо цілі національної безпеки чи оборони не є виключними при використанні певної ШІ-системи, а штучний інтелект можна також використовувати в цивільних чи гуманітарних цілях, на таку систему будуть поширюватись положення AI Act в силу загальної сфери дії та пункту 24 Преамбули:

“Системи штучного інтелекту, що розміщуються на ринку або використовуються для виключених цілей, а саме у військовій сфері, у сфері оборони або національної безпеки, а також для однієї або кількох не виключених цілей, таких як цивільні цілі або правоохоронна діяльність, підпадають під дію цього Регламенту, і постачальники таких систем повинні забезпечити дотримання вимог цього Регламенту.”

До яких систем застосовується AI Act?

ШІ-системи подвійного призначення мають високу вірогідність бути класифікованими як “високоризикові системи” (high risk AI systems). Високоризиковими системами є ті, що використовуються як елемент продукту, або є самостійним продуктом, який регулюється законодавством ЄС у таких сферах, зокрема:

  • радіообладнання;
  • засоби особистого захисту;
  • транспортні засоби, квадроцикли та окремі модулі до них;
  • морське обладнання.

Інші ж системи ШІ, які просто генерують синтетичний контент (текст, аудіо, зображення, відео) та взаємодіють з людьми (наприклад як віртуальні асистенти або чат-боти) вважаються такими, що потребують прозорості.

Вимоги AI Act: як забезпечити комплаєнс?

Регламент передбачає, що для високоризикових систем необхідно встановити, імплементувати та задокументовувати систему менеджменту ризиків (risk management system). Така система повинна розумітись як безперервний ітеративний процес, що планується та здійснюється протягом усього життєвого циклу системи ШІ та вимагає регулярного систематичного перегляду та оновлення. Вона має включати такі етапи:

  • виявлення та аналіз відомих і обґрунтовано передбачуваних ризиків, які становить ШІ;
  • оцінка та аналіз ризиків, які можуть виникнути під час використання високоризикової системи ШІ відповідно до її призначення, а також за умов розумно передбачуваного неправильного використання;
  • оцінка інших ризиків на основі аналізу даних, зібраних за допомогою системи моніторингу після виведення на ринок (post-market monitoring system);
  • застосування відповідних та цілеспрямованих заходів, спрямованих на усунення цих ризиків.

Також бази даних для навчання, валідації та тестування ШІ систем повинні підлягати практикам управління даними та адміністрування, що стосуються:

  • відповідних проєктних рішень;
  • процесів збору та джерел походження даних;
  • відповідних операцій з обробки даних;
  • формулювання припущень, зокрема щодо інформації, яку дані мають вимірювати та представляти;
  • оцінки доступності, кількості та придатності необхідних датасетів;
  • упереджень, які можуть вплинути на здоров’я та безпеку осіб, мати негативний вплив на фундаментальні права або призвести до дискримінації;
  • відповідних заходів для виявлення, запобігання та зменшення можливих упереджень;
  • виявлення відповідних прогалин або недоліків у даних, що перешкоджають дотриманню вимог цього Регламенту, та способів усунення таких прогалин і недоліків.

Також необхідно створити технічну документацію перед розміщенням системи на ринку та оновлювати таку документацію. Використання ШІ повинне бути прозорим, із можливістю людського нагляду, із належним рівнем точності та кібербезпеки.

Cyber Resilience Act

Cyber Resilience Act – регламент ЄС, покликаний створити умови для розробки безпечного обладнання та програмного забезпечення в ЄС з метою зміцнення підходу до кібербезпеки та поліпшення функціонування внутрішнього ринку. Цей Регламент встановлює:

  • правила щодо надання на ринку продуктів з цифровими елементами (products with digital elements) для забезпечення кібербезпеки таких продуктів;
  • основні вимоги до кібербезпеки для проектування, розробки та виробництва продуктів з цифровими елементами;
  • основні вимоги до кібербезпеки для процесів усунення вразливостей, запроваджених виробниками для забезпечення кібербезпеки продуктів з цифровими елементами протягом очікуваного терміну їх використання;
  • правила нагляду за ринком, включаючи моніторинг та забезпечення дотримання правил і вимог.

Не зважаючи на те, що подібно до AI Act продукти, призначені для цілей національної безпеки та оборони, виключені з-під дії CRA, продукти подвійного призначення все одно підпадатимуть під сферу дії Регламенту. Офіційні FAQs, розроблених Європейською Комісією вказують:

“So-called “dual-use” products that have both civilian and defence applications are therefore subject to the CRA when made available on the market, unless they are modified exclusively for national security or defence purposes.”

Отже, defence-tech компаніям необхідно проаналізувати, чи їхня продукція може використовуватись в цивільних цілях, чи лише у військових. Очевидно, що багато розробок мають потенціал для подвійного використання, як наприклад, дрони або засоби радіозв’язку.

Вимоги CRA

Регламент поширює свою дію на “економічних операторів”: виробників, авторизованих представників, імпортерів, дистриб’юторів та інших фізичних чи юридичних осіб, які несуть зобов’язання щодо виробництва продуктів з цифровими елементами або щодо надання продуктів з цифровими елементами на ринку.

При виході продукту з цифровими елементами на ринок виробники повинні впевнитись, що такий продукт був спроєктований, розроблений і виготовлений відповідно до основних вимог кібербезпеки. Для цього виробники повинні проводити оцінку ризиків кібербезпеки та враховувати результати такої оцінки на етапах планування, проєктування, розробки, виробництва, постачання та технічного обслуговування продукту, що містить цифрові елементи, з метою мінімізації ризиків, запобігання інцидентам та мінімізації їх наслідків. Така оцінка ризиків повинна бути включена до технічної документації продукту.

Також на усі ролі за Cyber Resilience Act покладається обов’язок співпрацювати з органами ринкового нагляду (market surveillance authorities) та надавати необхідну документацію за запитом.

NIS2 Directive

Директива NIS2 встановлює єдиний фреймворк для забезпечення кібербезпеки у 18 критично важливих секторах по всій території ЄС. Згідно зі статтею 3 Директиви NIS2, суб’єкти, на яких поширюється її дія, поділяються на дві категорії:

  • критично важливі суб’єкти (essential entities);
  • важливі суб’єкти (important entities).

Суб’єкти із сектору цифрової інфраструктури належатимуть до однієї із цих категорій в залежності від розміру та характеру діяльності. Також, держави-члени ЄС можуть самостійно визначити, які суб’єкти є критично важливими або важливими. Наприклад, оборонний сектор прямо згадується в чеському законі, що імплементує NIS2.

Критично важливі та важливі суб’єкти повинні вживати належні та пропорційні технічні, оперативні та організаційні заходи для управління ризиками, що загрожують безпеці мережевих та інформаційних систем, які ці суб’єкти використовують для своєї діяльності або для надання своїх послуг, а також для запобігання або мінімізації впливу інцидентів. Такими заходами повинні бути хоча б:

  • політики щодо аналізу ризиків та безпеки інформаційних систем;
  • реагування на інциденти;
  • забезпечення безперебійної діяльності, зокрема управління резервним копіюванням та відновленням після аварій, а також кризове управління;
  • безпека ланцюга постачання, включаючи аспекти безпеки, що стосуються відносин між кожною організацією та її прямими постачальниками або постачальниками послуг;
  • забезпечення безпеки при придбанні, розробці та обслуговуванні мереж та інформаційних систем, включаючи реагування на вразливості;
  • політики та процедури для оцінки ефективності заходів з управління ризиками кібербезпеки;
  • застосування основних практик кібергігієни та навчання з кібербезпеки;
  • політики та процедури щодо використання криптографії та шифрування;
  • політики контролю доступу та управління;
  • використання багатофакторної автентифікації або безперервної автентифікації, захищених голосових, відео- та текстових комунікацій, а також захищених систем екстреного зв’язку.

Інтелектуальна власність для miltech 

Іншим викликом для мілітарі тех проєкту, що залучає ШІ, є забезпечення належної правової охорони для обʼєктів права інтелектуальної власності.

Сфера інтелектуальної власності у військовій сфері має свою визначну специфіку. Кожна технологія одночасно є цілим набором обʼєктів ІВ. Наприклад, нещодавно ми писали про військові дрони, компоненти яких одразу захищаються промисловими зразками, авторськими правами тощо. Водночас штучний інтелект як такий передбачає велику кількість юридичних нюансів з інтелектуальної власності. 

ШІ, як компонент військового продукту, передусім є моделлю, яка може бути представлена у вигляді бази даних, що складається з шарів та, відповідно, параметрів такої бази (ваги, умови активації нейронів тощо).  Таку базу даних можна захищати як об’єкт авторського права. При цьому розробка ШІ передбачає цілий ланцюжок процесів: від підготовки та очищення даних дата-саєнтистом і навчання моделі machine learning інженером до формування інсайтів дата-аналітиком та написання коду розробником. З огляду на це внутрішні договори компанії мають чітко врегулювати розподіл майнових прав між усіма учасниками. Зробити це можна за допомогою, зокрема, спеціальних положень у Service Agreements (Договорів про надання послуг) з працівниками. Для того, щоб ці договори відповідали потребам саме вашого підприємства, ми рекомендуємо залучати miltech-юристів. 

Не варто забувати і про захист бренду самого виробника та ШІ-продукту, їх можна захистити за допомогою реєстрації торговельної марки. Це допоможе захиститися від недобросовісних конкурентів, які можуть зареєструвати вашу назву і логотип на себе в іншій юрисдикції.

Інтелектуальна власність для miltech 

NDA. Конфіденційна інформація

Окремим критичним аспектом юридичного супроводу мілітарі тех проєктів є структурування режиму конфіденційності. До створення кінцевого продукту залучається широке коло суб’єктів. Це зумовлює постійний обмін надзвичайно чутливою інформацією. У таких умовах стандартна модель NDA, запозичена з цивільного IT-сектору, виявляється недієвою. Якщо звичайна угода фокусується на захисті маркетингових стратегій чи клієнтських баз, то у Defence-сфері мова йде про дані, що можуть становити державну таємницю, як-от методи обходу систем РЕБ, робочі частоти, протоколи шифрування, алгоритми автономної навігації в умовах подавлення сигналу, координати виробництв тощо.

Ефективний NDA для Military AI має базуватися на дворівневій структурі конфіденційної інформації. Перший рівень включає загальноприйнятий обсяг бізнес-даних, тоді як другий охоплює специфічні особливо чутливі технологічні дані: вихідний код, технічні специфікації та результати закритих випробувань. Більше того, для таких проєктів недостатньо простої заборони на розголошення, оскільки договір має фіксувати жорсткі фактичні заходи захисту. Це може включати використання виключно зашифрованих каналів зв’язку, обов’язкове маркування носіїв та суворі вимоги до фізичної локалізації даних на захищених серверах.

Важливо також враховувати, що до проєкту часто залучаються субпідрядники та вузькопрофільні спеціалісти. Угода про нерозголошення повинна містити механізм, за якого передача будь-якої частки інформації третім особам можлива лише за письмової згоди власника та після підписання індивідуальних NDA.

Експорт мілітарітех 

Сучасні системи оборонного експортного контролю (українська, американська, європейська) розглядають технології як окремий вид товарів військового призначення. Це означає, що під державний нагляд потрапляють не лише готові вироби, а й програмне забезпечення та технічні дані. У контексті Military AI об’єктами контролю стають алгоритми керування, нейромережі для розпізнавання цілей та програмне забезпечення, оскільки їх передача іноземним суб’єктам юридично прирівнюється до експорту озброєння. До того ж, специфіка полягає в тому, що воно охоплює нематеріальні передачі. Наприклад, американські правила ITAR включають у поняття експорту навіть надання доступу до креслень чи інструкцій через цифрові канали зв’язку. Експортні процедури України, ЄС, США та інших країн передбачають велику кількість вимог, як до товарів, що передаються, так і для самих компаній-експортерів. 

Дефенс Сіті для military tech

У контексті military AI продуктів важливо згадати і про спеціальний режим Дефенс Сіті. Цей режим передбачає ряд податкових, експортних та інших переваг. Статус резидента спрощує процедури експорту технологій, що є критичним для виходу на міжнародні ринки. Іншим ключовим бенефітом для розробників саме ШІ-проєктів є нульова ставка податку на прибуток, що дозволяє спрямовувати ресурси на фінансування роботи фахівців та нових розробок.

Застосування цих пільг потребує дотримання чітких правових критеріїв. Зокрема, частка доходу від реалізації товарів та послуг оборонного призначення має становити не менше 75%. Якщо компанія одночасно розвиває цивільні напрями ШІ, необхідно забезпечити коректне розмежування фінансових потоків у контрактах, щоб уникнути втрати статусу. Також важливо враховувати, що резидентство у режимах Дефенс Сіті та Дія Сіті не поєднуються. Порушення умов цільового використання коштів або помилки у звітності тягнуть за собою нарахування податкових зобов’язань та штрафи.

Детальніше про Дефенс Сіті читайте у нашій статті

Висновки

Законодавство ЄС у сфері кібербезпеки передбачає величезну кількість вимог, що поширюються на оборонні ШІ-проєкти. Такі вимоги можуть відрізнятись в залежності від кожної конкретної ШІ-системи, її функціоналу, а також компанії-розробника. Мілтех компанії також варто враховувати юридичні аспекти роботи з інтелектуальною власністю та контрактами, щоб забезпечити власний продуктивний розвиток. 

Miltech юристи Legal IT Group з радістю допоможуть Вам досягти комплаєнсу у сфері захисту даних та кібербезпеки.

Є запитання до юристів?
до 500 символів
Сталася помилка
Запит надіслано Дякуємо за ваше повідомлення! Ми обробимо його якнайшвидше.

Статті по темі

Intellectual property
Торговельна марка для military tech компанії в ЄС
Олександра Шалугіна
7 Квітня, 14:34
Intellectual property
Торговельна марка для блогера: як зареєструвати правильно?
Дарія Сівченко
6 Квітня, 13:44
Intellectual property
Реєстрація компанії в Литві: основні етапи
Дарія Сівченко
23 Березня, 17:54
Intellectual property
Військовий дрон (БПЛА) як об’єкт інтелектуальної власності
Legal IT Group
23 Березня, 17:45
Data privacy compliance
Legitimate interest у маркетингу: правова підстава чи прямий шлях до скарг? 
Соломія Бельська
17 Березня, 10:35

Топ публікацій

Data privacy compliance
GDPR Compliance: від теорії до практики
Intellectual property
IP-документація для ІТ: як убезпечити свій бізнес
Спори та суди
NDA працює? ІТ-адвокати відповідають. Судова практика
Intellectual property
Дія. Сіті: алгоритм реєстрації та вимоги до компанії
Intellectual property
Реєстрація торговельної марки у Бразилії, Чилі, Перу та Аргентині 
Юлія Школьна
16 Березня, 13:29
Data privacy compliance
Медичні інформаційні системи та дані про здоров’я: що потрібно знати перед розробкою
Антон Демчук Legal IT Group
Антон Демчук
16 Березня, 13:10
Data privacy compliance
Експортний контроль оборонних технологій: українське регулювання та режими ЄС/США
Олександра Шалугіна
13 Березня, 14:35
Data privacy compliance
Відеонагляд проти конфіденційності: правила GDPR для ваших камер
Legal IT Group
12 Березня, 17:17
Data privacy compliance
Чи можуть оборонні компанії бути essential entities за директивою NIS2
Legal IT Group
12 Березня, 15:47
Перейти до блогу