top of page
NPA.png

№ 581689–8. Категорирование КИИ

Полное
наименование

О внесении изменений в Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации" (в части уточнения требований по категорированию объектов критической информационной инфраструктуры)

Законопроект на сайте ГД

Движение законопроекта в ГД

Внесен
I чтение
II чтение
III чтение
СФ
Подписан
21.03.2024
25.07.2024

Суть
законопроекта

1. Расширяется перечень полномочий Правительства в отраслях экономики, а также указаны полномочия Банка России (действующего по согласованию с Правительством) в части финансового рынка.


Банк России для ЗОКИИ определяет:

  • требования к ПО и радиоэлектронной продукции (далее -РЭП, включает в том числе ПАКи и телекоммуникационное оборудование);

  • случаи и порядок согласования возможности использования иностранного ПО и РП;

  • порядок и сроки перехода на отечественные ПО и РЭП;

  • порядок осуществления мониторинга перехода.


2. Категорирование будет осуществляться с учетом отраслевых методических рекомендаций.


3. Банк России совместно со ФСТЭК формируют перечни типовых отраслевых объектов критической информационной инфраструктуры, включающие в себя наименования типов информационных систем, выполняемых функций и видов деятельности, для обеспечения которых они предназначены.


4. По результатам мониторинга выясняется, что не все закатегорировали, то ФСТЭК в 30-дневный срок направляет требование об изменении сведений. Субъект отвечает в 10-дневный срок: вносит дополнения или обосновывает ненужность изменений.


5. Расширяются обязанности Субъектов КИИ, они должны:

  • соблюдать требования законодательства (?!) к ПО и РЭП на ЗО КИИ в целях обеспечения безопасности;

  • обеспечить переход в соответствии с установленными сроками

6. Вступает в силу 1 марта 2025

События
(от старых
к новым)

25.07.2024 Принят в 1м чтении, поправки – до 23.08.2024


15.07.2024 Ответственный Комитет по ИТ дал заключение на законопроект предлагает :


  • Используемая в законопроекте терминология «российское ПО», «преимущественное использование» и пр. – не имеют однозначных определений, что повлечет за собой «усмотрительный характер реализации данной нормы и произвольное толкование в правоприменительной практике.».

  • Предлагается закрепить, что переход должен осуществляться на то ПО, коорое содержится в Едином Реестре российского ПО «с учетом устанавливаемых Правительством Российской Федерации порядка и сроков.».

  • Требует дополнительного обоснования норма о мониторинге достоверности сведений об объектах КИИ, с учетом того, что уже существует государственный контроль в области обеспечения безопасности значимых объектов КИИ.

  • Нет смысла на уровне ФЗ закреплять необходимость учета отраслевых «методических рекомендаций» при категории объектов КИИ, поскольку это уровень ведомственных нормативных актов.

  • Нужно уточнить, что это за «российских юридические лица» выполняющие «функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности». Такие функции должны выполнять федеральные министерства.

  • Уточнить: распространяются требования на все объекты или только на ЗО КИИ.


Поправки ко 2 чтению - до 22.08.2024.


22.05.2024 Правовое управление Госдумы:


  • Законопроект наделяет полномочиями Правительство по согласованию с ЦБ устанавливать порядок осуществления мониторинга перехода субъектов КИИ на ОПО. Однако, в законе о ЦБ уже прописано, что порядок контроля и мониторинга устанавливается ЦБ по согласованию с Минцифры. Нужно соотнести эти нормы между собой


  • Законопроект устанавливает, что ФСТЭК осуществляет: 

  1. мониторинг предоставления сведений об объектах КИИ

  2. мониторинг перехода на ОПО

  • Мониторинг – это форма государственного контроля (надзора), поэтому необходимо соотнести эти мониторинги с полномочиями, которые уже прописаны в ст.13 187-ФЗ «О безопасности КИИ в РФ».

И еще несколько уточнений



16.05.2024 Соисполнитель Комитет по безопасности и противодействию коррупции поддерживает законопроект


03.04.2024 Комитет по финрынку предлагает для восстановления справедливость распространить на другие сектора экономики такое же требование, которое уже введено для финансового рынка, а именно: чтобы контроль за обеспечением безопасности КИИ осуществлялся ФСБ и ФСТЭК


26.03.2024 Отзывы до 01.05.2024


22.03.2024 Профильный – Комитет по информационной политике, информационным технологиям и связи


21.03.2024 Внесен

Возможные действия

Позиция
рынка

Примечания
 

Требуется еще время для анализа, но пока поверхностные соображения:


1. Указ Президента Российской Федерации от 30.03.2022 № 166 запрещал ОГВ и компаниям с госучастием от 50% с 1 марта 2025 года использовать иностранное ПО на ЗОКИИ. Законопроект – адресован всем субъектам КИИ и общему порядку импортозамещения в отраслях. При этом с 1 марта 2025 года можно только приступить к разработке этих порядков и установления сроков перехода, сделав их любыми. Теоретически законопроект прямо не отменяет и не противоречит Указу, все зависит от реализации.


2. О необходимости соблюдать законы решили напомнить в самом законе. При этом ответственность за несоблюдение не прописали. Если ЦБ захочет, то возможность определять ответственность у него есть.


3. САМОЕ ТРЕВОЖНОЕ, на мой взгляд – это не перенос в неопределенность импортозамещения (это как раз понятно), а создание ТИПОВЫХ ОБЪЕКТОВ.


И хотя эти ОБЪЕКТЫ создаются в целях категорирования КИИ – есть вероятность усугубления дискуссии с Минфином на тему является ли «банковское ПО» действительно таким же ПО, как и любое другое. Дискуссия возникла в связи с оригинальным прочтением норм НК РФ, в рамках которого продажа лицензий на «банковское ПО» не считается доходом от ИТ деятельности.


У Банка России уже есть Функционально-технологическая карта и есть Положение 719-П, в которых есть определенная классификация ПО и бизнес-процессов, в том числе по признаку «участия в обслуживании клиентов». Банк России логично исходит из того, что в обслуживании клиентов участвует крайне широкий спектр ПО (почти все), поскольку очевидно, что не будет у банка услуг.


4. Клиентам, не будет смысла иметь ПО для исполнения банком функций юрлица. Но вот как эту классификацию воспримет Минфин – сказать сложно.


Любая классификация ПО – путь тупиковый. Нужно классифицировать процессы, а не инструменты.

Инициаторы
законопроекта

 

Правительство Российской Федерации

bottom of page