Указ президента об импортозамещении: что изменится с 1 января 2025 года — Контур.Толк
Экосистема продуктов для бизнеса
Электронный документооборот
Учет и отчетность
Участие в закупках
Торговля и ритейл
Автоматизация бизнеса
Управление HR‑процессами
Проверка контрагентов
Обучение
Коммуникации
Сделки с недвижимостью
Банковские услуги
Продажи и маркетинг
Информационная безопасность
Для ритейла и поставщиков
Для нового бизнеса
Крупному бизнесу
Работа с госсистемами
Импортозамещение
Маркировка товаров
Все продукты и решения
  1. Главная
  2. Журнал

Указ президента об импортозамещении: что изменится с 1 января 2025 года

20 декабря 2024

Для госкомпаний вступает в силу запрет использовать иностранный софт на объектах критической информационной инфраструктуры. Рассказываем об ограничениях: на кого распространяются, как идет процесс импортозамещения и какие возможны санкции, если не успеть в срок заменить зарубежное ПО на российское.

Фотография Полина Романовских Полина Романовских Юрист, эксперт по законодательству

Где установлено требование по переходу на российское ПО

Два года назад вышел Указ Президента от 30.03.2022 № 166, цель которого — обеспечить безопасность критической информационной инфраструктуры России. Почти сразу, с 31 марта, документ запретил госкомпаниям покупать иностранное ПО для использования на значимых объектах КИИ. А с 1 января 2025 года зарубежное программное обеспечение нельзя не только приобретать в рамках закупок, но и использовать на значимых объектах КИИ.

Весной того же года появился Указ Президента от 01.05.2022 № 250, который продолжает линию обеспечения информационной безопасности страны. Документ регулирует порядок назначения в госкомпаниях ответственных за предупреждение компьютерных атак и ликвидацию их последствий.

с 1 января 2025 года указ вводит запрет на средства защиты информации, произведенные в недружественных странах: Евросоюзе, США, Японии, Великобритании, Республике Корея — полный перечень установлен в распоряжении правительства от 05.03.2022 № 430-Р. Также ограничения распространяются на сервисы, работы и услуги по обеспечению информационной безопасности от зарубежных поставщиков. СЗИ включают софт, устройства и сервисы, которые защищают информационную систему от вирусов, взломов, утечек данных.

Кто должен исполнять требования по импортозамещению

Требования указа № 166 распространяются на органы государственной власти, а также компании с госучастием:

  • госкорпорации, госкомпании, публично-правовые компании, организации в сфере ЖКХ, АО и ООО, в уставном капитале которых доля участия государства, субъекта РФ или муниципального образования больше 50%;
  • их «дочки» и «внучки»;
  • бюджетные учреждения;
  • государственные и муниципальные унитарные предприятия;
  • некоторые особо значимые федеральные государственные унитарные предприятия: научные центры, заводы, комбинаты, институты — полный перечень есть в распоряжении правительства от 31.12.2016 № 2931-р.

При этом не все госорганы и организации попадают под действие указа № 166, а только те, которым принадлежат значимые объекты КИИ.

Круг субъектов, которые должны выполнять указ № 250, отличается. Документ действует в отношении федеральных органов исполнительной власти, высших исполнительных органов госвласти регионов, госфондов, госкорпораций, стратегических предприятий и АО, системообразующих организаций российской экономики и других юрлиц, которые относятся к субъектам КИИ.

Что такое объекты КИИ

В указах президента фигурируют два понятия — объекты и субъекты критической информационной инфраструктуры. Их объясняет закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры в России».

Субъекты КИИ — это госорганы, госучреждения, компании и ИП в 13 важных для государства и его граждан сферах:

  • финансы;
  • оборона;
  • здравоохранение;
  • промышленность;
  • наука;
  • транспорт;
  • связь;
  • энергетика;
  • госрегистрация прав на недвижимость.

Объекты КИИ — это информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления. Они принадлежат субъектам КИИ на праве собственности или аренды.

К объектам КИИ относятся ПО и устройства, которые автоматизируют бизнес-процессы компаний. Например, для крупного банка объектами КИИ могут быть система дистанционного банковского обслуживания, система электронных денежных переводов, автоматизированная банковская система. Для медицинской организации — медицинская информационная система, в которой ведут карточки пациентов и записывают на прием.

По указу № 166 иностранное ПО нельзя использовать на значимых объектах КИИ. Всего есть три категории значимости: первая, вторая и третья. Категория определяется на основании критериев в пяти областях: социальной, экономической, политической, экологической, оборонной. Чем больше ущерб от потенциальной компьютерной атаки в каждой из них, тем ниже категория объекта КИИ. После процедуры категорирования значимые объекты КИИ попадают в реестр ФСТЭК, а руководству компании нужно защитить их от кибератак.

Все ли госкомпании успеют с импортозамещением

Опрос группы компаний InfoWatch показывает, что не все госорганы и организации с госучастием успевают к назначенному сроку заменить иностранное ПО на российское. К осени 2024 года требования указа № 166 успели выполнить только 7% опрошенных. 8% респондентов были уверены, что успеют к 1 января 2025 года. 32% сомневались, но склонялись к тому, что смогут закончить импортозамещение.

В начале декабря Минцифры провело совещание, на котором только пять из 25 присутствующих компаний отчитались о полном импортозамещении на объектах КИИ. По оценкам экспертов, количество тех, кто успешно заменит зарубежный софт вовремя, не превысит 15–20%.

В октябре этого года Ассоциация крупнейших потребителей ПО попросила Госдуму сдвинуть сроки по импортозамещению. В ассоциации отметили, что не для всего узкоспециализированного софта на российском рынке есть полноценные аналоги. Даже если нужные программы есть, они не всегда совместимы со сложными информационными системами крупных компаний, которые создавались десятилетиями.

Однако ФСТЭК не будет просить власти продлить сроки, при этом представители службы готовы помогать отстающим.

Какие санкции будут, если не уложиться в срок

В Минцифры понимают, что не все компании и госорганы справятся с переходом на российское ПО к назначенному сроку. Главными причинами называют отсутствие финансирования и недостаточную зрелость российских решений. Еще в ведомстве считают, что некоторые владельцы объектов КИИ стараются уйти из-под действия указов. Из-за того, что они не проводят категорирование объектов КИИ, у них таких объектов нет совсем или меньше, чем должно быть.

В Минцифры обещают провести «строгий анализ причин» среди организаций, которые не уложатся к 1 января 2025 года. Не выполнивших требования могут обязать заключать форвардные контракты с разработчиками. Суть таких договоров в том, что если разработчик создает программу, которая по всем критериям отвечает требованиям заказчика, последний обязательно выкупает ПО. Так власти реагируют на жалобы компаний о том, что невозможность импортозамещения связана с отсутствием на рынке подходящих решений. В ведомстве допустили, что государство поможет профинансировать заключение форвардных контрактов.

Как таковых штрафов за пропуск сроков по импортозамещению пока нет. Однако есть риск, что нарушителей будут наказывать штрафами по ч. 1 ст. 13.12.1 КоАП РФ. Состав предусматривает ответственность за нарушение требований по обеспечению безопасности значимых объектов КИИ. Штраф для юрлиц составляет от 50 рублей до 100 тысяч рублей.

В Уголовном кодексе есть состав, которой предусматривает наказание за неправомерное воздействие на критическую инфраструктуру (ст. 274.1 УК РФ). Первые две части статьи связаны с кибератаками, а третья устанавливает уголовную ответственность за нарушение правил эксплуатации объекта КИИ, если он в итоге пострадал. Например, по этому составу могут наказать сотрудника, который вовремя не обновил ПО на объекте КИИ, из-за чего хакеры получили к нему доступ, воспользовавшись уязвимостью. Будут ли привлекать к ответственности по этой статье, если не успеть с импортозамещением, покажет только практика. Максимальное наказание за нарушение — шесть лет лишения свободы.

Какие еще есть ограничения на иностранное ПО

Импортозамещение коснулось не только объектов КИИ. Есть и другие виды программ, которые должны быть российского производства:

  • Мессенджеры. Банкам и госкомпаниям при работе с персональными данными и информацией о расчетах клиентов нельзя использовать иностранные программы для обмена сообщениями из запрещенного списка. За нарушение требований возможен штраф до 700 тыс. рублей.
  • ПО для обучения. Образовательным организациям разрешается использовать только российские информационные системы, программы для прокторинга, сервисы видеосвязи, мессенджеры и системы управления обучением. Вузы, колледжи, онлайн-школы могут работать с программами для обучения только из реестра отечественного ПО.

По данным исследования Контур.Толка, за последние несколько лет 57% опрошенных компаний поменяли хотя бы один зарубежный сервис на российский. Сложнее всего найти альтернативы операционным системам и программам для работы с документами. При этом почти четверть респондентов успешно заменила зарубежный мессенджер, 10% — сервис видеосвязи.

Фотография Полина Романовских Полина Романовских Юрист, эксперт по законодательству
Самое главное — у вас в почте
Подписаться
#Мессенджер #Видеосвязь
Заботливо составляем дайджест с обновлениями продуктов, гайдами и статьямиСамое главное — у вас в почте
Подписаться

Другие статьи

Все статьи
Вы всё ещё думаете? Просто попробуйте
Попробовать бесплатно