Полное
наименование
О внесении изменений в Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации" (в части уточнения требований по категорированию объектов критической информационной инфраструктуры)
Законопроект на сайте ГД
Движение законопроекта в ГД
Внесен | I чтение | II чтение | III чтение | СФ | Подписан |
---|---|---|---|---|---|
21.03.2024 | 25.07.2024 |
Суть
законопроекта
1. Расширяется перечень полномочий Правительства в отраслях экономики, а также указаны полномочия Банка России (действующего по согласованию с Правительством) в части финансового рынка.
Банк России для ЗОКИИ определяет:
требования к ПО и радиоэлектронной продукции (далее -РЭП, включает в том числе ПАКи и телекоммуникационное оборудование);
случаи и порядок согласования возможности использования иностранного ПО и РП;
порядок и сроки перехода на отечественные ПО и РЭП;
порядок осуществления мониторинга перехода.
2. Категорирование будет осуществляться с учетом отраслевых методических рекомендаций.
3. Банк России совместно со ФСТЭК формируют перечни типовых отраслевых объектов критической информационной инфраструктуры, включающие в себя наименования типов информационных систем, выполняемых функций и видов деятельности, для обеспечения которых они предназначены.
4. По результатам мониторинга выясняется, что не все закатегорировали, то ФСТЭК в 30-дневный срок направляет требование об изменении сведений. Субъект отвечает в 10-дневный срок: вносит дополнения или обосновывает ненужность изменений.
5. Расширяются обязанности Субъектов КИИ, они должны:
соблюдать требования законодательства (?!) к ПО и РЭП на ЗО КИИ в целях обеспечения безопасности;
обеспечить переход в соответствии с установленными сроками
6. Вступает в силу 1 марта 2025
События
(от старых
к новым)
25.07.2024 Принят в 1м чтении, поправки – до 23.08.2024
15.07.2024 Ответственный Комитет по ИТ дал заключение на законопроект предлагает :
Используемая в законопроекте терминология «российское ПО», «преимущественное использование» и пр. – не имеют однозначных определений, что повлечет за собой «усмотрительный характер реализации данной нормы и произвольное толкование в правоприменительной практике.».
Предлагается закрепить, что переход должен осуществляться на то ПО, коорое содержится в Едином Реестре российского ПО «с учетом устанавливаемых Правительством Российской Федерации порядка и сроков.».
Требует дополнительного обоснования норма о мониторинге достоверности сведений об объектах КИИ, с учетом того, что уже существует государственный контроль в области обеспечения безопасности значимых объектов КИИ.
Нет смысла на уровне ФЗ закреплять необходимость учета отраслевых «методических рекомендаций» при категории объектов КИИ, поскольку это уровень ведомственных нормативных актов.
Нужно уточнить, что это за «российских юридические лица» выполняющие «функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности». Такие функции должны выполнять федеральные министерства.
Уточнить: распространяются требования на все объекты или только на ЗО КИИ.
Поправки ко 2 чтению - до 22.08.2024.
22.05.2024 Правовое управление Госдумы:
Законопроект наделяет полномочиями Правительство по согласованию с ЦБ устанавливать порядок осуществления мониторинга перехода субъектов КИИ на ОПО. Однако, в законе о ЦБ уже прописано, что порядок контроля и мониторинга устанавливается ЦБ по согласованию с Минцифры. Нужно соотнести эти нормы между собой
Законопроект устанавливает, что ФСТЭК осуществляет:
мониторинг предоставления сведений об объектах КИИ
мониторинг перехода на ОПО
Мониторинг – это форма государственного контроля (надзора), поэтому необходимо соотнести эти мониторинги с полномочиями, которые уже прописаны в ст.13 187-ФЗ «О безопасности КИИ в РФ».
И еще несколько уточнений
16.05.2024 Соисполнитель Комитет по безопасности и противодействию коррупции поддерживает законопроект
03.04.2024 Комитет по финрынку предлагает для восстановления справедливость распространить на другие сектора экономики такое же требование, которое уже введено для финансового рынка, а именно: чтобы контроль за обеспечением безопасности КИИ осуществлялся ФСБ и ФСТЭК
26.03.2024 Отзывы до 01.05.2024
22.03.2024 Профильный – Комитет по информационной политике, информационным технологиям и связи
21.03.2024 Внесен
Возможные действия
Позиция
рынка
Примечания
Требуется еще время для анализа, но пока поверхностные соображения:
1. Указ Президента Российской Федерации от 30.03.2022 № 166 запрещал ОГВ и компаниям с госучастием от 50% с 1 марта 2025 года использовать иностранное ПО на ЗОКИИ. Законопроект – адресован всем субъектам КИИ и общему порядку импортозамещения в отраслях. При этом с 1 марта 2025 года можно только приступить к разработке этих порядков и установления сроков перехода, сделав их любыми. Теоретически законопроект прямо не отменяет и не противоречит Указу, все зависит от реализации.
2. О необходимости соблюдать законы решили напомнить в самом законе. При этом ответственность за несоблюдение не прописали. Если ЦБ захочет, то возможность определять ответственность у него есть.
3. САМОЕ ТРЕВОЖНОЕ, на мой взгляд – это не перенос в неопределенность импортозамещения (это как раз понятно), а создание ТИПОВЫХ ОБЪЕКТОВ.
И хотя эти ОБЪЕКТЫ создаются в целях категорирования КИИ – есть вероятность усугубления дискуссии с Минфином на тему является ли «банковское ПО» действительно таким же ПО, как и любое другое. Дискуссия возникла в связи с оригинальным прочтением норм НК РФ, в рамках которого продажа лицензий на «банковское ПО» не считается доходом от ИТ деятельности.
У Банка России уже есть Функционально-технологическая карта и есть Положение 719-П, в которых есть определенная классификация ПО и бизнес-процессов, в том числе по признаку «участия в обслуживании клиентов». Банк России логично исходит из того, что в обслуживании клиентов участвует крайне широкий спектр ПО (почти все), поскольку очевидно, что не будет у банка услуг.
4. Клиентам, не будет смысла иметь ПО для исполнения банком функций юрлица. Но вот как эту классификацию воспримет Минфин – сказать сложно.
Любая классификация ПО – путь тупиковый. Нужно классифицировать процессы, а не инструменты.
Инициаторы
законопроекта
Правительство Российской Федерации