О чем материал:
Импортозамещение, защита данных, требования к критической информационной инфраструктуре — изменения в этом секторе происходят регулярно, и руководителям компаний приходится пристально следить за обновлениями. Сдвигаются сроки, у регуляторов появляется больше рычагов контроля, а у директоров — больше личной ответственности. Ошибка в классификации объектов, выборе программного обеспечения или выстраивании системы безопасности будет стоить компании больших денег и стабильности самого бизнеса.
В этой статье делимся обновлениями законов. Вы узнаете: какие обязанности возникают у компаний и директоров, какие санкции предусмотрены за их нарушение, как выстроить подготовку к новым требованиям без хаотичных решений.
Чтобы не пропустить новые материалы от MDS, подписывайтесь на наш Телеграм-канал.
Что такое импортозамещение КИИ
Законодательная база
Импортозамещение в сфере критической информационной инфраструктуры (КИИ) — комплекс требований по переходу на российское программное обеспечение (ПО) и программно-аппаратные комплексы (ПАК) на объектах, от которых зависит устойчивость отраслей экономики и государства. С сентября 2025 года этот режим существенно изменился после внесения поправок в ФЗ №187-ФЗ «О безопасности КИИ» федеральным законом №58-ФЗ.
Главная цель — усилить технологическую независимость и одновременно сделать регулирование более гибким. Законодатель отказался от универсального подхода для всех, усилив отраслевую специфику и перераспределив полномочия в пользу Правительства РФ. Теперь именно оно определяет требования к ПО и ПАК, сроки перехода и механизмы контроля.
Переход на российское ПО и ПАК для объектов критической инфраструктуры
С 1 сентября 2025 года Правительство РФ получило право утверждать обязательные требования к программному обеспечению и программно-аппаратным комплексам, используемым на объектах КИИ. Эти требования уже закреплены в постановлении №1478 и дополнены правилами перехода на отечественные решения.
Правительство теперь может:
- устанавливать перечни типовых отраслевых объектов КИИ;
- определять особенности их категорирования;
- контролировать ход импортозамещения.
Новые сроки: перенос на 2028 год и условия пролонгации
Срок перехода на российское ПО и ПАК для большинства объектов КИИ перенесен на 1 января 2028 года. Решение связано с масштабом задач и объективной нехваткой готовых отечественных решений для сложных инфраструктурных систем.
Перенос дедлайна не означает ослабления требований. Напротив, он сопровождается введением более формализованных механизмов контроля и ответственности за невыполнение сроков.
Как продлить сроки: соглашения и отраслевые планы
Три механизма продления сроков импортозамещения:
Первый — заключение соглашения с Правительством РФ о реализации особо значимого проекта по внедрению российского ПО. Соглашение позволяет сдвинуть дедлайн на два года и рассчитывать на государственную поддержку.
Второй вариант касается компаний, которые заключат контракты на внедрение отечественных решений до 1 сентября 2026 года. Если реализация проекта выходит за рамки 1 января 2028 года, санкции применяться не будут. Срок исполнения может составлять до 48 месяцев с возможностью продления.
Третий механизм связан с программно-аппаратными комплексами: их допускается использовать до окончания срока амортизации. Но с 1 января 2028 года запрещается закупка и установка новых зарубежных ПАК, даже если они ранее применялись на объекте.
Обязанности субъектов КИИ по импортозамещению
Классификация объектов и реестр ФСТЭК
ФСТЭК и профильные регуляторы действуют в пределах правил постановления Правительства №127.
Теперь пересмотр категории обязателен не только раз в пять лет, но и при изменении функционала объекта или появлении новых угроз. Дополнительно закреплена возможность электронного взаимодействия с регуляторами, включая подачу уведомлений и согласований.
Запрет на иностранное ПО с 1 сентября 2025 года
Сейчас действует запрет на использование иностранного программного обеспечения на значимых объектах КИИ, если отсутствуют утвержденные основания для исключений. Закон допускает временное использование зарубежных решений — но только в рамках установленных переходных периодов и при наличии утвержденных планов замещения. Сам факт эксплуатации иностранного ПО без согласованной дорожной карты теперь рассматривается как риск нарушения.
Ответственность директора за невыполнение требований
Административные штрафы
Санкция закреплена в статье 13.12.1 КоАП РФ. Предусмотрен штраф до 500 000 рублей для юридических лиц за несоблюдение требований по защите критической инфраструктуры. Штраф может применяться неоднократно (за каждый выявленный факт нарушения или за каждый год просрочки).
Дополнительно планируется внедрение оборотных штрафов, размер которых будет зависеть от выручки компании.
Уголовная ответственность
Если несоблюдение требований по защите КИИ привело к утечке данных, сбоям или иным тяжким последствиям, возможна уже уголовная ответственность должностных лиц. Статья 274.1 УК РФ предусматривает наказание за неправомерное воздействие на критическую информационную инфраструктуру вплоть до лишения свободы на срок до 10 лет.
Как подготовиться к дедлайну: шаги для бизнеса
- Аудит инфраструктуры и выбор отечественных решений
Первый шаг — инвентаризация IT-ландшафта и определение, какие системы подпадают под требования КИИ. Разберитесь, какие элементы инфраструктуры могут быть признаны значимыми объектами и какое иностранное ПО или ПАК используется в их работе.
После аудита формируется дорожная карта импортозамещения: подбор российских аналогов, оценка сроков внедрения, рисков и совместимости. Такой подход позволяет заранее обосновать сроки перехода и, при необходимости, использовать механизмы пролонгации дедлайнов.
- Пересмотр договоров с подрядчиками
Импортозамещение КИИ невозможно без корректировки договорной базы. Контракты с IT-подрядчиками и интеграторами должны учитывать требования по использованию российского ПО, ответственность за несоблюдение регуляторных норм и сроки перехода на отечественные решения.
Также имеет смысл закреплять в договорах обязанности подрядчиков по участию в определении категории значимости объектов КИИ, подготовке документации для ФСТЭК и сопровождению проверок, чтобы упростить контроль за исполнением требований.
Часто задаваемые вопросы (FAQ)
- Можно ли использовать ПО из дружественных стран?
Нет, в общем случае это не допускается. Для объектов КИИ критерием будет не страна происхождения, а включение ПО или ПАК в реестр российских решений и соответствие требованиям, установленным Правительством РФ. Программное обеспечение из дружественных юрисдикций не приравнивается к отечественному.
- Влияет ли это на ИП и малый бизнес?
С 1 сентября 2025 года индивидуальные предприниматели исключены из числа субъектов КИИ, поэтому формально требования по импортозамещению КИИ на них не распространяются.
- Что делать, если импортозамещение технически невозможно?
В таких случаях компаниям доступны механизмы отсрочки:
- участие в особо значимых проектах;
- заключение контрактов на внедрение отечественного ПО до установленного срока;
- использование ПАК до окончания амортизации.
Главное условие — наличие документально подтвержденного плана перехода и взаимодействие с регуляторами, прежде всего с Минцифры.
Регулирование в сфере КИИ, импортозамещения и защиты данных меняется быстрее, чем успевают обновляться внутренние регламенты компаний. Даже формальное соответствие требованиям без понимания логики законодателя и практики проверок перестает работать.
В Moscow Digital School знают, как устроена система. Мы регулярно обновляем программу курсов, чтобы юристы не отставали от новых изменений. Так, курс «Обучение защите персональных данных» восполняет пробелы в темах требований 152-ФЗ, трансграничной передачи данных и международного законодательства о защите данных, включая GDPR.
В ходе обучения вы научитесь проводить аудит компании, работать с биометрическими данными, выстраивать локализацию баз данных в РФ, разберетесь в экспертизе Privacy Advocates и цифровом кодексе. По итогам курса вы сможете создать эффективную систему защиты персональных данных в компании и работать Data Protection Officer. В MDS вы получаете компетенции, ценность которых будет только расти.
