Обзор изменений в законодательстве за март 2024 года

В обзоре изменений в области критической информационной инфраструктуры за март 2024 года рассмотрим изменения, которые предлагается внести в Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», и порядок представления сведений об объектах КИИ в сфере транспорта.

Изменения в 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»

На рассмотрение в Государственную думу внесен законопроект № 581689-8, предлагающий внести изменения в Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации (далее – РФ)» (далее – 187-ФЗ).

Проект федерального закона направлен на обеспечение технологической независимости и безопасности критической информационной инфраструктуры (далее – КИИ) РФ в условиях санкций, введенных в отношении государства, и при наличии рисков нарушения работоспособности объектов КИИ по причине введения таких санкций.

Первые положения проекта федерального закона направлены на изменение части 2 статьи 6 187-ФЗ, то есть на расширение полномочий Правительства РФ. Согласно предлагаемым изменениям, Правительство РФ будет устанавливать:
‒ требования к программному обеспечению (далее – ПО), программно-аппаратным комплексам (далее – ПАК), радиоэлектронному и телекоммуникационному оборудованию, используемым в составе значимых объектов КИИ, а также случаи и порядок согласования использования таких составляющих, происходящих из иностранных государств;
‒ сроки и порядок перехода субъектов КИИ на использование российского ПО и отечественной аппаратной продукции на значимых объектах КИИ;
‒ порядок осуществления мониторинга такого перехода.
На данный момент Правительством РФ утверждено два постановления в рамках указанных выше полномочий:
‒ постановление Правительства РФ от 22.08.2022 № 1478 (далее – ПП-1478);
‒ постановление Правительства РФ от 14.11.2023 № 1912 (далее – ПП-1912).

ПП-1478 устанавливает требования к ПО, используемому на значимых объектах КИИ, правила перехода на преимущественное использование российского ПО, а также правила согласования закупок иностранного ПО для его использования на значимых объектах КИИ. Срок перехода ограничен 1 января 2025 года.

ПП-1912 утверждает порядок и правила перехода на преимущественное использование доверенных ПАК в составе значимых объектов КИИ, в том числе постановлением определены уполномоченные органы, ответственные за организацию такого перехода. Сроки перехода ограничены 1 января 2030 года.

ПП-1478 распространяется на субъекты КИИ, осуществляющие закупочную деятельность в соответствии с Федеральным законом от 18.07.2011 № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц» (далее – 223-ФЗ), а ПП-1912 – на все субъекты КИИ. После вступления в силу предлагаемых изменений будет утвержден порядок мониторинга перехода субъектов КИИ на отечественные ПО и продукцию, а также могут появиться новые требования к ПО, применяемому на значимых объектах КИИ всех субъектов КИИ.

Согласно изменениям, требования, сроки и порядок перехода на российское ПО и отечественную аппаратную продукцию на значимых объектах КИИ, функционирующих в банковской сфере и иных сферах финансового рынка, подлежат согласованию с Центральным банком РФ (далее – Банк России). Соответствующие полномочия Банка России в области импортозамещения закреплены Федеральным законом от 13.06.2023 № 243-ФЗ.

Предложения законопроекта также направлены на уточнение обязанностей субъектов КИИ, которым на законном основании принадлежат значимые объекты КИИ (часть 3 статьи 9 187-ФЗ). Предлагаемые дополнительные пункты закрепят следующие обязанности субъектов КИИ:
‒ соблюдение требований к используемым на значимых объектах КИИ ПО и радиоэлектронной продукции, в том числе к телекоммуникационному оборудованию и ПАК, в целях обеспечения безопасности КИИ;
‒ переход на преимущественное использование российского ПО и отечественной радиоэлектронной продукции, в том числе телекоммуникационного оборудования и ПАК, в соответствии с порядком и сроками, определенными Правительством РФ.

Следующие изменения предлагается внести в статью 7 187-ФЗ – дополнить порядок категорирования объектов КИИ. Согласно изменениям, субъекты КИИ при категорировании должны будут учитывать методические указания, регламентирующие отраслевые особенности. На момент рассмотрения законопроекта разработаны и утверждены методические указания по категорированию объектов КИИ в следующих сферах деятельности, определенных в пункте 8 статьи 2 187-ФЗ:
‒ связи;
‒ топливно-энергетического комплекса;
‒ здравоохранения.

Также в рамках проекта федерального закона предлагается дополнить статью 7 187-ФЗ новыми частями, в рамках которых:
‒ на государственные органы, Банк России и отдельные юридические лица, выполняющие функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности (далее – государственные органы и юридические лица), возлагаются обязанности по разработке перечней типовых отраслевых объектов КИИ;
‒ методические указания, регламентирующие отраслевые особенности категорирования объектов КИИ с учетом установленных перечней типовых отраслевых объектов, утверждаются государственными органами и юридическими лицами по согласованию с Федеральной службой по техническому и экспортному контролю (далее – ФСТЭК России);
‒ законодательно закрепляется процесс мониторинга представления субъектами КИИ актуальных и достоверных сведений об имеющихся у них объектах КИИ, а также устанавливаются сроки уведомления субъекта КИИ о выявленных неактуальных сведениях и сроки предоставления актуализированных сведений или обоснований об отсутствии необходимости исправления сведений.

При категорировании объектов КИИ субъекты КИИ обязаны будут учитывать утвержденные перечни типовых объектов КИИ в рамках своей сферы деятельности, а также следить за актуальностью сведений о принадлежащих им объектах КИИ и предоставлять информацию по запросу государственных органов или юридических лиц. На текущий момент утверждены перечни типовых объектов КИИ для следующих сфер деятельности:
‒ химическая промышленность;
‒ сфера топливно-энергетического комплекса;
‒ сфера транспорта;
‒ сфера энергетики;
‒ сфера здравоохранения;
‒ горнодобывающая промышленность (в части руд, камней);
‒ металлургическая промышленность;
‒ оборонная промышленность.

Порядок процедуры оценки (мониторинг) актуальности и достоверности сведений об объектах КИИ в общем виде регламентирован в Правилах категорирования объектов КИИ, утвержденных постановлением Правительства РФ от 08.02.2018 № 127. В отношении субъектов КИИ оборонной, металлургической и химической промышленности издан «Порядок проведения в отношении субъектов КИИ РФ, осуществляющих деятельность в области оборонной, металлургической и химической промышленности, оценки актуальности и достоверности сведений…», утвержденный приказом Министерства промышленности и торговли РФ от 31.05.2023 № 1981, который устанавливает порядок и сроки проведения процедуры оценки актуальности и достоверности сведений для соответствующих сфер субъектов КИИ.
Планируется, что предлагаемые изменения вступят в силу с 1 марта 2025 года.

Порядок представления сведений об объектах КИИ в сфере транспорта

На официальном сайте ФСТЭК России опубликовано Информационное сообщение «О порядке представления субъектами КИИ сведений о результатах присвоения объектам КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий», согласно которому субъектам КИИ, осуществляющим деятельность в сфере транспорта, необходимо направлять указанные выше сведения на рассмотрение:
‒ в центральный аппарат ФСТЭК России, если субъект КИИ является федеральным органом исполнительной власти, подведомственным учреждением или организацией, осуществляющей деятельность в двух и более субъектах РФ;
‒ в управление ФСТЭК России по федеральному округу для всех остальных субъектов КИИ.