В обзоре изменений законодательства Российской Федерации в сфере критической информационной инфраструктуре за декабрь 2022 года рассмотрим: изменения в правила категорирования, ответственность за нарушение правил предоставления сведений о категорировании, переходный период для центров ГосСОПКА, а также изменения в комиссии по вопросам обеспечения технологического суверенитета государства в сфере развития КИИ.
Изменения в правила категорирования
Официально опубликовано постановление Правительства Российской Федерации от 20.12.2022 №2360 «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127».
Аналитический центр УЦСБ в конце 2022 года уже опубликовал подробные комментарии к этим изменениям. Из основного:
- с 20.12.2022 вступили в силу изменения в перечень показателей критериев значимости , субъектам критической информационной инфраструктуры (далее – КИИ) необходимо в ближайшее время провести повторное категорирование принадлежащих им объектов КИИ в соответствии с обновленными значениями и вновь введенными показателями критериев значимости;
- актуальные сведения об объектах КИИ в случае их изменений необходимо подавать в Федеральную службу по техническому и экспортному контролю Российской Федерации (далее – ФСТЭК России) в течение 20 рабочих дней с момента возникновения изменений (в т.ч. при изменении данных о присвоенной категории значимости);
- сведения об объектах КИИ теперь подлежат строгому мониторингу на предмет полноты и актуальности;
- с 21.03.2023 отраслевые ведомства вправе формировать перечень типовых отраслевых объектов КИИ, которые обязательно должны входить в перечень объектов КИИ, подлежащих категорированию.
Более подробно об этих изменениях в комментариях аналитического центра УЦСБ.
Центры ГосСОПКА: переходный период в рамках исполнения Указа Президента № 250
Официально опубликован приказ Федеральной службы безопасности Российской Федерации (далее ‑ ФСБ России) от 01.11.2022 № 543 «Об определении переходного периода, предусмотренного подпунктом «б» пункта 5 Указа Президента Российской Федерации от 1 мая 2022 г. № 250», устанавливающий трехлетний переходный период, в течение которого центрам государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (далее – ГосСОПКА) допускается осуществлять мероприятия по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты в интересах субъектов КИИ на основании заключенных с Национальным координационным центром по компьютерным инцидентам (далее – НКЦКИ) соглашений о сотрудничестве.
По истечении этого трехлетнего периода, согласно Указу Президента Российской Федерации (далее – РФ) от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», для проведения таких работ организации смогут подключать только аккредитованные центры ГосСОПКА.
Предполагается, что за время переходного периода ФСБ России разработает необходимую нормативную правовую базу и проведет аккредитацию центров ГосСОПКА.
Штраф за нарушение правил предоставления сведений о категорировании
Официально опубликован Федеральный закон от 19.12.2022 № 518-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации», который вносит поправки в статьи 19.7.15 и 23.90 Кодекса Российской Федерации об административных правонарушениях (далее – КоАП РФ), устанавливающие административную ответственность за предоставление недостоверных сведений о результатах категорирования объектов КИИ во ФСТЭК России.
Размер штрафов аналогичен наказанию за непредставление или несвоевременную подачу данных в регулирующий орган:
- для должностных лиц он составляет от 10 тысяч до 50 тысяч рублей;
- для юридических лиц — от 50 тысяч до 100 тысяч рублей.
Также введены административные штрафы за повторные нарушения. Должностным лицам в этом случае придется заплатить от 50 тысяч до 100 тысяч рублей, юридическим лицам — от 100 тысяч до 200 тысяч рублей.
Такие изменения продиктованы практическим опытом проведения мероприятий в рамках государственного контроля ФСТЭК России, в результате которых обнаружены случаи представления недостоверных сведений о результатах категорирования объектов КИИ, а также случаи непредставления актуализированных сведений.
Федеральный закон вступил в силу с 19 декабря 2022 года.
Президента РАН включили в состав комиссии по вопросам обеспечения технологического суверенитета государства в сфере развития КИИ
В соответствии с данным Указом в Межведомственную комиссию Совета Безопасности РФ по вопросам обеспечения технологического суверенитета государства в сфере развития КИИ, в состав которой входят заместитель Председателя Совета Безопасности РФ, заместители Председателя Правительства РФ, министры некоторых ведомств, директора Росгвардии, ФСБ России, ФСТЭК России, гендиректора Госкорпораций «Росатом», «Роскосмос», «Ростех» и другие участники, внесен Президент Российской академии наук.
Указ вступил в силу с 26 декабря 2022 года.