С 1 сентября 2025 года вступили в силу поправки к федеральному закону "О безопасности критической информационной инфраструктуры" (КИИ), обязывающие объекты КИИ использовать только программное обеспечение из реестра отечественных разработок. Однако, как сообщили в Минцифры, Банке России, Минэнерго и Минтрансе, на практике требования пока не применяются - идет подготовка подзаконных актов. Об этом пишет РБК.
Переход отложен до 2026 года
Согласно пояснениям Минцифры, конкретные сроки и порядок перехода на российский софт будут определены отдельным постановлением правительства, которое должно быть принято не позднее 1 апреля 2026 года. В настоящее время документы находятся в стадии разработки и пройдут общественное обсуждение.
Работа над типовыми объектами КИИ
Ключевым элементом реализации поправок станет утверждение перечня типовых отраслевых объектов КИИ, который будет определяться правительством совместно с ФСБ и ЦБ (для финансового сектора). Сейчас этот перечень разрабатывает ФСТЭК:
- в сфере связи Минцифры согласовало с участниками рынка более десяти типовых объектов;
- в финансовой отрасли ЦБ совместно с правительством разрабатывает список объектов, особенности их категорирования, сроки перехода и механизм мониторинга. Уже проведена предварительная работа с финансовыми организациями по подготовке планов мероприятий;
- в энергетике и ТЭК проект постановления с перечнем типовых объектов проходит согласование. Особенности категорирования будут закреплены в отдельном документе;
- в транспортной отрасли также ведется работа по утверждению перечня и категорированию. Переход на отечественное ПО в госорганах и компаниях идет в рамках постановления от 14 ноября 2023 года с завершением до 1 января 2030 года.
Новые обязанности владельцев КИИ
Поправки передают ответственность за категорирование объектов КИИ от владельцев к государству. Ранее компании самостоятельно определяли категорию значимости (от первой - максимальной - до четвертой), исходя из потенциального ущерба. Теперь это будет делаться по единым критериям для каждой отрасли.
Кроме перехода на российский софт владельцы КИИ обязаны:
- обеспечить непрерывное взаимодействие с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) в порядке, установленном ФСБ;
- установить на значимых объектах средства обнаружения и предупреждения кибератак, включая системы поиска признаков инцидентов.
Контекст изменений
Глава Минцифры Максут Шадаев ранее отмечал, что поправки призваны распространить обязательства по использованию отечественного ПО не только на госструктуры, но и на частные компании. При этом, по его словам, анализ показал, что многие организации стремились избежать присвоения объектам первой категории, чтобы снизить регуляторную нагрузку.
Источник: