Для критической информационной инфраструктуры (КИИ) будут установлены конкретные сроки и правила перехода с иностранного программного обеспечения на российские аналоги. Эти сроки и условия будет определять правительство. Законопроект уже прошел первое чтение и может вступить в силу 1 марта 2025 года.
Новые положения законопроекта
Законопроект №581689-8 вносит изменения в закон о безопасности КИИ (ФЗ-187), принятый в 2017 году:
Правительство получит полномочия устанавливать сроки и правила перехода предприятий, имеющих критическую инфраструктуру, на отечественное оборудование, включая программное обеспечение, радиоэлектронику, аппаратно-программные комплексы и телекоммуникационные устройства. Предполагается, что закон начнет действовать с 1 марта 2025 года, после чего и будет опубликована информация о переходных мероприятиях.
Правительство также будет определять требования к программному обеспечению для объектов КИИ, а также случаи, когда допускается использование иностранного софта. Законопроект подчеркивает необходимость преимущественного использования отечественного ПО, а не полного отказа от зарубежного.
Для объектов КИИ, относящихся к финансовой сфере, правила будут разрабатываться совместно правительством и Центробанком.
Компании, эксплуатирующие объекты КИИ, обязаны будут самостоятельно передавать данные о используемом ПО во ФСТЭК (Федеральная служба по техническому и экспортному контролю). В случае предоставления неверной информации, ФСТЭК направит требование об исправлении в течение 30 дней. Однако, на данный момент, штрафы и иные меры наказания не предусмотрены.
Действующие ограничения на иностранное ПО
В соответствии с ФЗ-187, субъекты КИИ обязаны соблюдать правила безопасности, однако общего запрета на использование иностранного ПО пока нет.
Процесс перехода на отечественное ПО был инициирован еще в 2015 году, когда были введены ограничения на закупки зарубежного софта.
В 2022 году президентским указом было установлено, что с 31 марта 2022 года госкомпаниям запрещено приобретать иностранное ПО для значимых объектов КИИ, а с 1 января 2025 года будет запрещено его использование. В указе также говорится о необходимости разработки сроков и правил перехода всех объектов КИИ на российское ПО, а также внедрения систем мониторинга и контроля за процессом.
В 2023 году было подписано постановление, регулирующее порядок перехода на российское ПО для объектов КИИ. В соответствии с ним, до 1 сентября 2024 года компании должны утвердить план замены ПО, а к 2030 году завершить процесс перехода. Также с 1 сентября 2024 года будет запрещено приобретение и использование иностранного софта, если существует отечественный аналог. Мониторинг выполнения этих требований возложен на профильные министерства, Центробанк, Росатом, Роскосмос и Федеральную службу государственной регистрации.
На данный момент предприятия сами определяют сроки и планы перехода, главное — уложиться до 2030 года. Если новый законопроект будет принят, правительство сможет установить единый план с этапами и условиями, а также контролировать весь процесс перехода.
Объекты, относящиеся к критической информационной инфраструктуре
Законопроект уточняет, что перечень объектов КИИ будет формироваться правительством совместно с Центробанком и российскими компаниями, а также согласовываться с ФСТЭК. В этих списках будет указано программное обеспечение, используемое на объектах КИИ, и его назначение.
На текущий момент, согласно ФЗ-187, объектами КИИ считаются информационные системы, телекоммуникационные сети и автоматизированные системы управления, работающие на предприятиях, имеющих критическую инфраструктуру.
Субъектами КИИ могут быть как частные, так и государственные предприятия и предприниматели, работающие в следующих сферах:
- финансы;
- топливная энергетика, атомная энергия и энергетика в целом;
- промышленность, включая металлургию, оборонную промышленность, химию и горнодобывающую отрасль;
- транспорт и связь;
- научные исследования;
- медицина;
- ракетостроение и космическая отрасль.