В России резко ужесточаются правила импортозамещения ПО. Новшества коснутся многих

Власти прорабатывают новые правила перехода на отечественный софт на объектами КИИ. Они изменятся в сторону ужесточения ввиду приближающейся даты обязательного отказа от иностранного ПО. Законопроект претерпел множество правок – существует как минимум три его версии.

Тотальный контроль

В России составлен новый законопроект, предоставляющий властям и Центробанку самолично составлять список объектов критической информационной инфраструктуры (КИИ), которые будут обязаны перейти на отечественный софт с 2025 г. Документ существует как минимум в трех редакциях, пишут «Ведомости», ввиду большого количества вносимых в него правок.

Нынешняя российская терминология включает понятие «субъект КИИ» – это, в числе прочих, госорганизации, юрлица и индивидуальные предприниматели, владеющие информационными системами из ряда стратегически важных отраслей: транспорта, телекоммуникаций, банковской сферы, атомной энергетики, ТЭК, здравоохранения, науки, металлургии, оборонной, ракетно-космической и химической промышленности. Упомянутые объекты КИИ – это критически важные сети и информационные системы субъектов КИИ.

Запрет на использование иностранного софта на объектах КИИ начнет действовать 1 января 2025 г. Он прописан в указе Президента России Владимира Путина от 31 марта 2022 г. Документ с момента вступления его в силу запрещает субъектам КИИ приобретать иностранное ПО для своих объектов КИИ.

Почти год на разработку

За документом стоит Минцифры – правила и сроки отказа КИИ от иностранного софта с последующим переходом на российский ведомство начало прорабатывать еще весной 2023 г.

Государство хочет самолично указывать бизнесу, что относится к объектам КИИ, а что нет

Нынешняя редакция законопроекта уже рассматривалась в рамках заседания правкомиссии по законопроектной деятельности, состоявшегося 12 февраля 2023 г. Документ к моменту выхода материала располагал положительным отзывом Центробанка и попутно был согласован Минфином, Федеральной службой безопасности России (ФСБ) и Федеральной службой по таможенному и экспортному контролю России (ФСТЭК).

Что именно изменится 

По информации издания, текст законопроекта предусматривает корректировку действующего российского закона «О безопасности КИИ». Изменения затронут отдельные системы или объекты в организациях, относящихся к субъектам КИИ.

Пока законопроект не стал законом, субъекты КИИ имеют полное право по собственному усмотрению назначать категории значимости своим объектам КИИ, а некоторые системы и вовсе не относить к таковым, сообщила изданию старший аналитик по информационной безопасности «Лиги цифровой экономики» Елена Камышная.

Именно этой возможности такие компании, фактически, лишатся, если документ будет принят – категории будет раздавать непосредственно государство. Собеседники издания подчеркнули, что по мере появления новых ревизий текста документа  прописанные в ней требования становились все более суровыми. Нынешняя, третья по счету редакция, «предполагает более жесткую нормативную базу, ясные требования и невозможность их обойти», утверждает гендиректор инженерной компании «Уралэнерготел» Алексей Бельский.

От госорганов и Банка России законопроект требует составить списки типовых отраслевых объектов КИИ по классификациям информационных систем и выполняемых ими функций и видов деятельности, после чего  согласовать их с ФСТЭК. 

Также предложено вести сбор сведений об объектах КИИ на основе предоставленной субъектами КИИ информации. Если компании передадут неполные или ложные сведения об имеющихся в их распоряжении объектах КИИ, то в ответ они могут получить предписание ФСТЭК об устранении нарушений. Такое требование Служба может направить в течение 30 дней, и на его выполнение у компании будет всего лишь 10 дней. 

Законопроект не предусматривает штрафы за отказ компании выполнять требование ФСТЭК или срыв сроков внесения достоверной информации об объектах КИИ. Но, напомним, что это уже третья редакция документа – раздел с санкциями вполне может появиться в четвертой, если она будет подготовлена. Также в России существует практика прописывания штрафов и иных видов наказаний не в самом законопроекте, а в подзаконных актах после его принятия. Более того, о возможности появления дополнений в виде этих подзаконных актов говорится непосредственно в тексте самого законопроекта. 

Порядок должен быть во всем

Документ требует не только сформировать силами властей каталог типовых объектов КИИ, но и проработать порядок «закупок и использования телекомоборудования и программно-аппаратных комплексов (ПАК) иностранного происхождения», уточняют «Ведомости». Отдельно авторы законопроекта прошлись по российским финансовым организациям – если он будет принят в нынешней редакции, то, по задумке Минцифры, государство и Центробанк получат право принудительно устанавливать и порядок, и сроки перехода таких организаций на «преимущественное использование российского ПО и отечественной радиоэлектронной продукции, в том числе телеком-оборудования и ПАК, на принадлежащих им значимых объектах КИИ».

При помощи подзаконных актов к законопроекту в течение полугода после его вступления в силу могут быть добавлены «требования к ПО, радиоэлектронной продукции, используемых на значимых объектах КИИ», реализованные в виде постановления Правительства России. Этими же актами можно будет установить «сроки, порядок перехода и мониторинга субъектов КИИ».

Попытка обосновать необходимость изменений

ИТ-отрасль не встретила новую инициативу властей в штыки. Собеседники издания на отечественном ИТ-рынке отметили, что сейчас субъекты КИИ регулярно и специально снижают степень значимости имеющихся в их распоряжении объектов КИИ. 

По их словам это давняя проблема. Источник издания в российском Правительстве привел в пример систему управления багажом внутри абстрактного аэропорта, которую тот не отнес к объектам КИИ. «При этом мы понимаем, что, когда эта система перестанет работать, произойдет коллапс, что вызовет недовольство пассажиров, – отметил он. – Сейчас собственник рассуждает так: придать объекту статус КИИ – это взять на себя дополнительную ответственность, поэтому пусть лучше объект не имеет такого статуса».