Какие новые правила вводит законопроект
Новый законопроект вносит следующие изменения в ФЗ-187 о безопасности КИИ от 2017 года:
Правительство наделяется правом устанавливать сроки и правила перехода предприятий с КИИ на преимущественно отечественное оборудование: софт, радиоэлектронику, программно-аппаратные комплексы, телекоммуникационные устройства. Законопроект должен вступить в силу с 1 марта 2025 года – а значит, информация по переходу появится после этой даты.
Требования к ПО для КИИ и случаи, когда все-таки можно использовать зарубежный софт, также будет определять правительство РФ. Законопроект говорит о преимущественном использовании, а не о полном переходе.
Если объект КИИ относится к сфере финансов, то правила будут устанавливать правительство и Центробанк совместно.
Предприятия с КИИ должны будут самостоятельно передавать информацию об используемом софте во ФСТЭК (службу технического и экспортного контроля). Если передана неверная информация, то в течение 30 дней ФСТЭК направит требование об устранении несоответствия. Но штрафов или других видов взыскания пока не предполагается.
Какие ограничения на использование зарубежного софта есть сейчас
Правила безопасности для субъектов КИИ прописаны в ФЗ-187. Сейчас в этом законе нет общего запрета на использование зарубежного софта.
При этом переход с зарубежного ПО на отечественное начался еще в 2015 году: появилось ограничение на закупки зарубежного софта.
В 2022 году вышел указ президента, в котором прописано, что госкомпаниям запрещаются с 31 марта 2022 года закупки зарубежного софта для значимых объектов КИИ, а с 1 января 2025 года запрещается и его использование на таких объектах. А также то, что должны быть разработаны определенные сроки и правила перевода всех предприятий с КИИ на российский софт, системы мониторинга и контроля этой сферы.
В 2023 году было подписано постановление о порядке перехода предприятий с КИИ на российское ПО. В нем указывается, что до 1 сентября 2024 года предприятия должны утвердить план, а до начала 2030 года осуществить замену ПО. Кроме того, с 1 сентября 2024 года нельзя покупать и использовать на объектах КИИ зарубежный софт при наличии его отечественного аналога. Ответственными за мониторинг перехода в постановлении назначены министерства, Центробанк, Росатом, Роскосмос и Федеральная служба государственной регистрации, кадастра и картографии.
То есть на сегодняшний день сроки и план перехода назначают сами предприятия, главное, успеть до 2030 года. Если же новый законопроект будет принят, то правительство сможет утвердить свой план с определенными условиями и этапами, а также контролировать и мониторить весь процесс.
Какие объекты информационной инфраструктуры относятся к критическим
Законопроект уточняет, что список таких объектов по отраслям будет формироваться совместными усилиями правительства, Центробанка и российских компаний. Согласовывать списки будет ФСТЭК. Также в списках будет информация о ПО, которое используется на разных объектах КИИ, и для чего оно используется.
Сейчас определение объекта КИИ содержится в ФЗ-187. Согласно ему, это информсистемы, сети телекоммуникаций и автоматические системы управления субъектов КИИ.
Субъекты КИИ – это любые предприятия, фирмы и предприниматели, как частные, так и государственные, на которых есть объекты КИИ, работающие в следующих сферах:
- финансы;
- топливная энергетика, атомная энергия и сфера энергетики в целом;
- промышленность: металлургическая, оборонная, химическая и горнодобывающая;
- транспорт, связь;
- научная сфера;
- медицина;
- ракеты и космос.
