В России продолжится доработка законов для критической инфраструктуры

Вступившие в силу с 1 сентября 2025 г. поправки о переводе на российский софт финансовых, энергетических и компаний из ряда других отраслей пока не заработали. Власти еще согласовывают, какие объекты и как должны исполнять требования. Такое требование предусмотрено вступившими в силу поправками в закон «О безопасности критической информационной инфраструктуры».

Доработка закона

Власти продолжат дорабатывать законы для критической инфраструктуры, пишет РБК.

С 1 сентября 2025 г. объекты критической инфраструктуры (к ним относятся сети связи и информационные системы государственных органов, энергетических, финансовых, транспортных, медицинских и ряда других копаний) обязаны использовать только программное обеспечение (ПО), включенный в реестр отечественного. Такое требование предусмотрено вступившими в силу поправками в закон «О безопасности критической информационной инфраструктуры» (КИИ).

Как сообщили РБК представители Министерства цифрового развития, связи и массовых коммуникаций (Минцифры) России, Центрального банка (Центробанк), Министерства энергетики (Минэнерго) и Министерство транспорта (Минтранса), для подведомственных им организаций с началом осени 2025 г. никаких перемен не произошло.

Как разъяснил представитель Минцифры, конкретные сроки перехода на российский софт будут установлены отдельным правительственным распоряжением. Согласно текущему плану-графику, этот подзаконный акт должен быть принят не позднее 1 апреля 2026 г. В сентябре 2025 г. ведомство занимается его подготовкой, после чего документ будет вынесен на общественное обсуждение.

Представитель Центробанка подтвердил РБК, что аналогичная работа ведется и для финансового сектора. Соответствующий проект определит перечень типовых объектов, особенности их отнесения к категориям значимости, а также порядок и сроки перехода на отечественное ПО и аппаратные комплексы. В Центробанке уже провели предварительную работу с финансовыми организациями, обладающими значимыми объектами КИИ, по подготовке проектов планов перехода. Эти планы будут окончательно уточнены и утверждены после официального установления сроков.

В Минэнерго, в свою очередь, отметили, что компании топливно-энергетического комплекса (ТЭК) начали работу по ИТ-импортозамещению ПО еще до принятия поправок. 2 сентября 2025 г. на согласовании находится проект постановления правительства с перечнем типовых объектов КИИ для энергетики. Их особенности категорирования будут описаны в отдельном документе.

Плавный переход на российский софт

При этом уже сейчас государственные органы и компании с государственные участием не могут использовать иностранное ПО на значимых объектах КИИ и обязаны полностью перейти на доверенные программно-аппаратные комплексы до 1 января 2030 г.

Минтранс также ведет работу по утверждению перечня типовых объектов КИИ и особенностей их категорирования. Как сообщили РБК в пресс-службе ведомства, переход на отечественный софт и оборудование в государственных органах и компаниях осуществляется в соответствии с постановлением правительства от 14 ноября 2023 г. Данная работа должна быть поэтапно завершена в установленные сроки, то есть до первого января 2030 г.

Как поменялись требования

Закон о КИИ был принят еще в 2017 г., он устанавливает понятие КИИ как системы, работа которой важна для безопасности и жизнедеятельности страны и населения, обязывает компании, которые являются владельцами КИИ, определять, какие системы относить к критическим, и выполнять требования безопасности: информировать государственные органы об ИТ-инцидентах, внедрять технические меры защиты информации и др.

Владельцы объектов КИИ до 2 сентября 2025 г. самостоятельно определяли категории значимости своих объектов. Категории ранжируются по степени потенциального ущерба, где первая — наиболее значимая. При определении категории учитывались возможные последствия ИТ-атаки для жизни и здоровья людей, длительность недоступности государственных услуг, а также политическая, экономическая и экологическая значимость угрозы для обеспечения обороны, безопасности и правопорядка в стране.

С 1 сентября 2025 г., согласно новым поправкам, категорирование объектов КИИ перешло от участников рынка к государству. Правительство России теперь определяет типовые отраслевые объекты совместно с Федеральной службой безопасности (ФСБ) и Центробанком (для финансового сектора), а также устанавливает порядок присвоения категорий значимости, сроки и правила перехода на отечественный софт и ИТ-оборудование, а также механизмы контроля соблюдения этих требований. Владельцы КИИ обязаны использовать ПО из реестра Минцифры и непрерывно взаимодействовать с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы (ГосСОПКА) по правилам, установленным ФСБ. Кроме того, на значимых объектах должны быть установлены средства для обнаружения, предупреждения и ликвидации последствий компьютерных кибератак, включая поиск их признаков.

Весной 2025 г. на заседании АРПП «Отечественный софт» глава Минцифры Максут Шадаев заявил, что новые поправки обяжут как государственные структуры, так и частные компании переходить на отечественное ПО и ИТ-оборудование. Он отметил, что после утверждения правительством перечня значимых объектов для каждой отрасли планируется ввести ответственность за невыполнение требований по использованию российского софта. Шадаев также подчеркнул, что, согласно анализу опыта перехода государственных структур на отечественное ПО, большинство стремилось избегать присвоения своим объектам первой категории значимости.