Услуги

Услуги

Программы

Офисы Пресс-служба Подписка Обратная связь Запрос на оказание услуг

Выбор языка

Выбор локации

Мы используем файлы cookie, чтобы улучшить работу сайта. Оставаясь на сайте, вы соглашаетесь с нашей политикой по использованию файлов cookie.
Смотреть все выпуски

Law Messenger

Драйверы локализации ПО: иностранные санкции и внутренний запрет иностранных программ для критической информационной инфраструктуры

09.02.2024 г.

Поделиться

Ранее мы освещали вопросы ограничений предоставления ПО и IT-услуг из ЕС в Россию в рамках 8-го и 12-го пакетов санкций ЕС. Некоторые частные компании в России заблаговременно занялись вопросами локализации ПО и миграции данных, некоторые сейчас анализируют динамику регулирования и доступные предложения. Предлагаем вспомнить ключевое российское регулирование, стимулирующее использование локального ПО как в рамках деятельности государственных органов, так и на важных социальных и промышленных объектах. 

30 марта 2022 года Президент Российской Федерации принял Указ № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации» (далее – Указ № 166), вводящий следующие ограничения на использование иностранного программного обеспечения (в том числе в составе программно-аппаратных комплексов) (далее – Иностранное ПО) на объектах критической информационной инфраструктуры (далее – КИИ):

  • С 31 марта 2022 года заказчикам, осуществляющим закупки в соответствии с Федеральным законом от 18 июля 2011 года № 223 «О закупках товаров, работ, услуг отдельными видами юридических лиц» (далее – ФЗ № 223) (например, государственные корпорации, юридические лица, в которых доля участия государства превышает 50%, субъекты естественных монополий), (i) запрещено осуществлять закупки Иностранного ПО для его использования на принадлежащих таким заказчикам значимых объектах КИИ, а также (ii) запрещено закупать услуги, необходимые для использования Иностранного ПО на значимых объектах КИИ. Указанный запрет ограничивает возможность приобретения нового, однако не ограничивает право на использование уже приобретенного Иностранного ПО.
  • С 1 января 2025 года вышеупомянутым заказчикам, а также органам государственной власти запрещается использовать Иностранное ПО на принадлежащих им значимых объектах КИИ. Запрет предполагает полное прекращение использования Иностранного ПО на указанных объектах, в том числе ранее предоставленное/установленное. 

Кроме того, 1 мая 2022 года в дополнение к Указу № 166 Президент Российской Федерации принял Указ № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» (далее – Указ № 250), в соответствии с которым с 1 января 2025 года всем субъектам КИИ запрещается использовать средства защиты информации, разработчики которых прямо или косвенно связаны с «недружественными» странами.

За нарушение вышеуказанных требований должностное лицо, ответственное за организацию создания системы безопасности значимых объектов КИИ, а также юридическое лицо, владеющее соответствующим значимым объектом КИИ, могут быть привлечены Федеральной службой по техническому и экспортному контролю Российской Федерации (далее – ФСТЭК) к административной ответственности в форме штрафа по ч. 1 ст. 13.12.1 КоАП РФ («Нарушение требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования либо требований по обеспечению безопасности значимых объектов КИИ РФ»). В настоящий момент штраф для должностного лица составляет до 50 тыс. рублей, для юридического лица – до 100 тыс. рублей. При этом мы не можем исключить вероятность того, что к 1 января 2025 года будут введены более строгие меры ответственности, а также специальные составы правонарушений, связанные с использованием Иностранного ПО на значимых объектах КИИ.

Для того, чтобы понять применимость положений Указа № 166 и Указа № 250 в конкретной ситуации, необходимо предпринять ряд действий:

1. Прежде всего, необходимо определиться со статусом «субъекта КИИ».

К субъектам КИИ относятся, в частности, индивидуальные предприниматели и юридические лица, которые (i) осуществляют свою деятельность в сферах, предусмотренных Федеральным законом от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – Закон о КИИ), (ii) а также владеют на праве собственности, аренды или ином законном основании объектами КИИ.

К сферам, предусмотренным Законом о КИИ, относятся: здравоохранение, наука, транспорт, связь, энергетика, государственная регистрация прав на недвижимое имущество и сделок с ним, банковская сфера и иные сферы финансового рынка, ТЭК, атомная энергетика, оборонная промышленность, ракетно-космическая промышленность, горнодобывающая, металлургическая и химическая промышленность. Соответственно, ограничения могут быть применимы к больницам, НИИ, университетам, общественному транспорту и такси, кредитным организациям, нефтеперерабатывающим заводам и АЗС – очень широкому спектру компаний в различных отраслях.

К объектам КИИ относятся информационные системы (например, программы, входящие в пакет «1С»), информационно-телекоммуникационные сети (например, локальные сети, оборудование провайдеров), автоматизированные системы управления (например, станки с числовым программным управлением).

2. После того, как было установлено наличие статуса «субъект КИИ», необходимо провести категорирование объектов КИИ для того, чтобы определить, какие из объектов КИИ являются значимыми, поскольку ограничения по Указу № 166 относятся именно к значимым объектам КИИ.

Для этого нужно:

  • Организовать внутреннюю специальную ответственную комиссию, которая должна включать руководителя субъекта КИИ или уполномоченное им лицо, работника субъекта КИИ, отвечающего за информационную безопасность, работника субъекта КИИ, имеющего доступ к государственной тайне и т.д. – требования к составу комиссии установлены Постановлением Правительства от 8 февраля 2018 года № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» (далее – Постановление Правительства № 127).
  • Собрать необходимые данные – составить список всех объектов КИИ.
  • Провести категорирование объектов КИИ в соответствии с критериями, установленными Постановлением Правительства № 127, и определить таким образом значимые объекты КИИ.
  • Отправить результаты категорирования во ФСТЭК. При необходимости нужно учесть замечания, полученные от ФСТЭК.

3. После выявления значимых объектов КИИ требуется привести свою закупочную деятельность (а системы информационной безопасности – после установления статуса субъекта КИИ) в соответствие с установленными требованиями, а также готовиться к отказу от Иностранного ПО и переходу на отечественные аналоги. Для всех субъектов КИИ речь идет о «недружественном» Иностранном ПО в сфере информационной безопасности, а для лиц, осуществляющих закупки по ФЗ № 223, и органов государственной власти – о полном отказе от Иностранного ПО, связанного со значимыми объектами КИИ.

Что дальше

В ближайшее время компаниям, функционирующим в сфере здравоохранения, науки, транспорта, связи, энергетики, государственной регистрации прав на недвижимое имущество и сделок с ним, в банковской сфере и иных сферах финансового рынка, ТЭК, атомной энергетики, оборонной промышленности, ракетно-космической промышленности, горнодобывающей, металлургической и химической промышленности следует уделить особое внимание определению своего статуса в соответствии с Законом о КИИ, а также провести категоризацию объектов КИИ и согласовать ее со ФСТЭК. После того, как будет установлен перечень значимых объектов КИИ, необходимо приступить к поиску или заказу разработки отечественных программ, способных заменить Иностранное ПО.

Команда Б1 готова оказать поддержку по различным вопросам, связанным с определением принадлежности наших клиентов к субъектам КИИ, осуществить техническое и юридическое сопровождение организации и провести процедуру категорирования объектов КИИ, в том числе при первоначальной подготовке позиции перед взаимодействием с уполномоченными органами, а также подготовить сопровождающие трансформацию договоры.

Авторы

  • Наталья Аристова, партнер Б1, отдел юридических услуг
  • Антон Сиднин, менеджер Б1, отдел юридических услуг
  • Дмитрий Коровин, юрист Б1, отдел юридических услуг

АЛЕРТЫ ПО ТЕМЕ

Посмотреть все