Law Messenger
Драйверы локализации ПО: иностранные санкции и внутренний запрет иностранных программ для критической информационной инфраструктуры
09.02.2024 г.
Ранее мы освещали вопросы ограничений предоставления ПО и IT-услуг из ЕС в Россию в рамках 8-го и 12-го пакетов санкций ЕС. Некоторые частные компании в России заблаговременно занялись вопросами локализации ПО и миграции данных, некоторые сейчас анализируют динамику регулирования и доступные предложения. Предлагаем вспомнить ключевое российское регулирование, стимулирующее использование локального ПО как в рамках деятельности государственных органов, так и на важных социальных и промышленных объектах.
30 марта 2022 года Президент Российской Федерации принял Указ № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации» (далее – Указ № 166), вводящий следующие ограничения на использование иностранного программного обеспечения (в том числе в составе программно-аппаратных комплексов) (далее – Иностранное ПО) на объектах критической информационной инфраструктуры (далее – КИИ):
- С 31 марта 2022 года заказчикам, осуществляющим закупки в соответствии с Федеральным законом от 18 июля 2011 года № 223 «О закупках товаров, работ, услуг отдельными видами юридических лиц» (далее – ФЗ № 223) (например, государственные корпорации, юридические лица, в которых доля участия государства превышает 50%, субъекты естественных монополий), (i) запрещено осуществлять закупки Иностранного ПО для его использования на принадлежащих таким заказчикам значимых объектах КИИ, а также (ii) запрещено закупать услуги, необходимые для использования Иностранного ПО на значимых объектах КИИ. Указанный запрет ограничивает возможность приобретения нового, однако не ограничивает право на использование уже приобретенного Иностранного ПО.
- С 1 января 2025 года вышеупомянутым заказчикам, а также органам государственной власти запрещается использовать Иностранное ПО на принадлежащих им значимых объектах КИИ. Запрет предполагает полное прекращение использования Иностранного ПО на указанных объектах, в том числе ранее предоставленное/установленное.
Кроме того, 1 мая 2022 года в дополнение к Указу № 166 Президент Российской Федерации принял Указ № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» (далее – Указ № 250), в соответствии с которым с 1 января 2025 года всем субъектам КИИ запрещается использовать средства защиты информации, разработчики которых прямо или косвенно связаны с «недружественными» странами.
За нарушение вышеуказанных требований должностное лицо, ответственное за организацию создания системы безопасности значимых объектов КИИ, а также юридическое лицо, владеющее соответствующим значимым объектом КИИ, могут быть привлечены Федеральной службой по техническому и экспортному контролю Российской Федерации (далее – ФСТЭК) к административной ответственности в форме штрафа по ч. 1 ст. 13.12.1 КоАП РФ («Нарушение требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования либо требований по обеспечению безопасности значимых объектов КИИ РФ»). В настоящий момент штраф для должностного лица составляет до 50 тыс. рублей, для юридического лица – до 100 тыс. рублей. При этом мы не можем исключить вероятность того, что к 1 января 2025 года будут введены более строгие меры ответственности, а также специальные составы правонарушений, связанные с использованием Иностранного ПО на значимых объектах КИИ.
Для того, чтобы понять применимость положений Указа № 166 и Указа № 250 в конкретной ситуации, необходимо предпринять ряд действий:
1. Прежде всего, необходимо определиться со статусом «субъекта КИИ».
К субъектам КИИ относятся, в частности, индивидуальные предприниматели и юридические лица, которые (i) осуществляют свою деятельность в сферах, предусмотренных Федеральным законом от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – Закон о КИИ), (ii) а также владеют на праве собственности, аренды или ином законном основании объектами КИИ.
К сферам, предусмотренным Законом о КИИ, относятся: здравоохранение, наука, транспорт, связь, энергетика, государственная регистрация прав на недвижимое имущество и сделок с ним, банковская сфера и иные сферы финансового рынка, ТЭК, атомная энергетика, оборонная промышленность, ракетно-космическая промышленность, горнодобывающая, металлургическая и химическая промышленность. Соответственно, ограничения могут быть применимы к больницам, НИИ, университетам, общественному транспорту и такси, кредитным организациям, нефтеперерабатывающим заводам и АЗС – очень широкому спектру компаний в различных отраслях.
К объектам КИИ относятся информационные системы (например, программы, входящие в пакет «1С»), информационно-телекоммуникационные сети (например, локальные сети, оборудование провайдеров), автоматизированные системы управления (например, станки с числовым программным управлением).
2. После того, как было установлено наличие статуса «субъект КИИ», необходимо провести категорирование объектов КИИ для того, чтобы определить, какие из объектов КИИ являются значимыми, поскольку ограничения по Указу № 166 относятся именно к значимым объектам КИИ.
Для этого нужно:
- Организовать внутреннюю специальную ответственную комиссию, которая должна включать руководителя субъекта КИИ или уполномоченное им лицо, работника субъекта КИИ, отвечающего за информационную безопасность, работника субъекта КИИ, имеющего доступ к государственной тайне и т.д. – требования к составу комиссии установлены Постановлением Правительства от 8 февраля 2018 года № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» (далее – Постановление Правительства № 127).
- Собрать необходимые данные – составить список всех объектов КИИ.
- Провести категорирование объектов КИИ в соответствии с критериями, установленными Постановлением Правительства № 127, и определить таким образом значимые объекты КИИ.
- Отправить результаты категорирования во ФСТЭК. При необходимости нужно учесть замечания, полученные от ФСТЭК.
3. После выявления значимых объектов КИИ требуется привести свою закупочную деятельность (а системы информационной безопасности – после установления статуса субъекта КИИ) в соответствие с установленными требованиями, а также готовиться к отказу от Иностранного ПО и переходу на отечественные аналоги. Для всех субъектов КИИ речь идет о «недружественном» Иностранном ПО в сфере информационной безопасности, а для лиц, осуществляющих закупки по ФЗ № 223, и органов государственной власти – о полном отказе от Иностранного ПО, связанного со значимыми объектами КИИ.
Что дальше
В ближайшее время компаниям, функционирующим в сфере здравоохранения, науки, транспорта, связи, энергетики, государственной регистрации прав на недвижимое имущество и сделок с ним, в банковской сфере и иных сферах финансового рынка, ТЭК, атомной энергетики, оборонной промышленности, ракетно-космической промышленности, горнодобывающей, металлургической и химической промышленности следует уделить особое внимание определению своего статуса в соответствии с Законом о КИИ, а также провести категоризацию объектов КИИ и согласовать ее со ФСТЭК. После того, как будет установлен перечень значимых объектов КИИ, необходимо приступить к поиску или заказу разработки отечественных программ, способных заменить Иностранное ПО.
Команда Б1 готова оказать поддержку по различным вопросам, связанным с определением принадлежности наших клиентов к субъектам КИИ, осуществить техническое и юридическое сопровождение организации и провести процедуру категорирования объектов КИИ, в том числе при первоначальной подготовке позиции перед взаимодействием с уполномоченными органами, а также подготовить сопровождающие трансформацию договоры.
Авторы
- Наталья Аристова, партнер Б1, отдел юридических услуг
- Антон Сиднин, менеджер Б1, отдел юридических услуг
- Дмитрий Коровин, юрист Б1, отдел юридических услуг
АЛЕРТЫ ПО ТЕМЕ
Посмотреть всеРазбираем 12-й пакет санкций ЕС: фокус на IT
18 декабря 2023 года Совет Европейского союза принял 12-й пакет санкций, который существенно повлияет на выстроенные в российских компаниях IT-процессы. ЕС ввел ограничения на передачу учрежденным в России организациям ПО для управления предприятиями, промышленного дизайна и производства.
25.01.2024
Некоторые ответы на вопросы в отношении запрета ПО в 12-м пакете ограничительных мер ЕС
6 февраля 2024 года Генеральный директорат по финансовой стабильности, финансовым услугам и рынкам капитала Европейского союза выпустил ответы на некоторые из вопросов, которые возникли в связи с принятым в конце декабря 2023 года запретом продажи, поставки, передачи, экспорта и предоставления, прямо или косвенно, Правительству РФ и любым учрежденным в России юридическим лицам, организациям и органам ПО для управления предприятиями, промышленного дизайна и производства.
09.02.2024
Декабрьские санкции США: фокус на ограничениях для иностранных финансовых организаций, работающих с российскими компаниями
22 декабря 2023 года Президент США подписал Исполнительный указ № 14114, который в том числе расширяет критерии применения ограничительных мер в рамках санкционного режима, введенного в отношении России Исполнительным указом № 14024 от 2021 года.
06.02.2024
Обзор ключевых мер Российской Федерации в ответ на санкции
В документе представлен список ключевых мер Российской Федерации в ответ на санкции по состоянию на 15 сентября 2023 года.
18.09.2023
Смягчение условий выплаты дивидендов «недружественным» инвесторам
9 августа на заседании Правительственной комиссии был озвучен новый подход Минфина и Банка России к выдаче разрешений на осуществление резидентами выплаты дивидендов (прибыли) «недружественным» акционерам (участникам).
01.09.2023
Новые санкции иностранных государств в отношении РФ
19 мая 2023 года США, Великобритания, Австралия и Канада ввели новые ограничительные меры в отношении России. Указанные страны расширили санкционные списки, включив в них преимущественно лиц, связанных с технологическим, оборонным и энергетическим секторами экономики.
25.05.2023
Новые санкции США, ЕС и Великобритании
12 апреля 2023 года OFAC расширил список лиц, на которых распространяются блокирующие санкции США. Великобритания и ЕС также расширили свои санкционные списки. В публикации перечислены ключевые изменения.
24.04.2023
Десятый пакет санкций Европейского Союза (ЕС) и иные ограничительные меры иностранных государств
США, ЕС, Великобритания и иные иностранные государства ввели новые ограничительные меры против России.
02.03.2023