Импортозамещение: изменения закона и новые правила

В России продолжают затягивать гайки в области импортозамещения. На этот раз взгляд властей коснулся правил разработки отечественного программного обеспечения, что затронет десятки, если не сотни, компаний. В первую очередь изменения коснутся ПО для объектов критической информационной инфраструктуры (КИИ), так как даты окончательного перехода на российский софт уже подступают к последнему краю, однако подвох, по традиции, скрывается в другом. Новый законопроект предполагает, что власти смогут самостоятельно определять, что относить к КИИ, а что нет, тем самым вынуждая предприятия переходить на ру-софт к 2025г, или, напротив, освобождая “избранных” от этого обязательства.

Почему государство продвигает такие изменения?

Обсуждения крутятся вокруг потенциального (и вероятнее всего неизбежного) изменения закона «О безопасности КИИ». Пока законопроект не стал законом, субъекты КИИ имеют полное право по собственному усмотрению назначать категории значимости своим объектам КИИ, а некоторые системы и вовсе не относить к таковым, что, конечно, очень удобно для них с финансовой точки зрения, и очень неудобно для властей с точки зрения безопасности. Сейчас субъекты КИИ регулярно и специально снижают степень значимости имеющихся в их распоряжении объектов КИИ, и эту проблему отмечают в Правительстве РФ уже давно.

Сейчас собственники объектов стараются не придавать им статус КИИ, ведь для них это значит взять на себя дополнительную ответственность и расходы по модернизации, и именно таких недобросовестных владельцев изменения в законе и призваны мобилизовать.

Что значат такие изменения на практике?

Согласно действующему закону, запрет на использование иностранного софта на объектах КИИ начнет действовать 1 января 2025 г., что прописано в указе Президента от 31 марта 2022 г. По этому документу, с момента вступления его в силу, запрещено субъектам КИИ приобретать иностранное ПО для своих объектов КИИ. Эта часть закона не изменится. Однако может измениться само понятие КИИ, получив более четкие рамки, а те предприятия, которые должны бы быть КИИ, но формально под требования не попадают, будут внесены в списки “вручную”.

Сейчас от госорганов и Центробанка ждут составления списков типовых отраслевых объектов КИИ по классификациям информационных систем и выполняемых ими функций, после чего планируется согласовать их с ФСТЭК. Заодно хотят собрать сведения о КИИ на основании полученной от их “владельцев” информации: читай, если объект относится к КИИ, но делает вид, что нет, или относится к менее важной структуре, чем является по факту, службы возьмут это на заметку.

За неполные или ложные сведения в законе не предусмотрена какая-то кара - всего-то предписание от ФСТЭК об устранении нарушений, однако это обманчивое впечатление. Да, конкретно этот закон наказания не предусматривает, но подчеркивает, что оно может быть установлено связанными подзаконными актами - и вот в них, как раз, можно будет найти и штрафы, и административную ответственность (а возможно, и не только административную). На то, что санкции будут, непрозрачно намекает текст самого законопроекта, где прямо говориться о возможности появления дополнений в виде подзаконных актов.

Документ требует не только сформировать силами властей каталог типовых объектов КИИ, но и проработать порядок «закупок и использования телекомоборудования и программно-аппаратных комплексов (ПАК) иностранного происхождения». Отдельно авторы законопроекта прошлись по российским финансовым организациям – если он будет принят в нынешней редакции, то, по задумке Минцифры, государство и Центробанк получат право принудительно устанавливать и порядок, и сроки перехода таких организаций на «преимущественное использование российского ПО и отечественной радиоэлектронной продукции, в том числе телеком-оборудования и ПАК, на принадлежащих им значимых объектах КИИ».

При помощи подзаконных актов к законопроекту в течение полугода после его вступления в силу могут быть добавлены «требования к ПО, радиоэлектронной продукции, используемых на значимых объектах КИИ», реализованные в виде постановления Правительства России. Этими же актами можно будет установить «сроки, порядок перехода и мониторинга субъектов КИИ».

Проще говоря, в рядах чиновников поняли, что принудить все важные объекты КИИ к переходу общим методом не получается, и дополняют закон таким образом, чтобы проконтролировать отдельные субъекты вручную. Мы напоминаем читателям, что с большой вероятностью их компания также относится к КИИ, так как, согласно определению, КИИ - это госорганизации, юрлица и индивидуальные предприниматели, владеющие информационными системами из ряда стратегически важных отраслей: транспорта, телекоммуникаций, банковской сферы, атомной энергетики, ТЭК, здравоохранения, науки, металлургии, оборонной, ракетно-космической и химической промышленности.

Упомянутые объекты КИИ – это критически важные сети и информационные системы субъектов КИИ, следовательно, они подлежат особой защите, и, если ваша компания занимается одним из перечисленных видов деятельности, пора задуматься об установке отечественного оборудования и софта.