111

Внесен законопроект об изменениях в ФЗ о безопасности критической информационной инфраструктуры

Правительство будет устанавливать сроки перехода на отечественный софт. Для каждой отрасли будет установлен уникальный перечень объектов, на которых использование российского ПО и радиоэлектронной продукции будет обязательным. В настоящее время перечень объектов КИИ по отраслям не выделен. С 1 января 2025 года на объектах КИИ запрещено использовать иностранное ПО. В случае принятия поправки начнут действовать с 1 марта 2025 года. ID проекта:581689-8
Вносится Правительством Российской Федерации
Проект
ФЕДЕРАЛЬНЫЙ ЗАКОН
О внесении изменений в Федеральный закон
"О безопасности критической информационной инфраструктуры Российской Федерации"


Статья 1
Внести в Федеральный закон от 26 июля 2017 года № 187-ФЗ
"О безопасности критической информационной инфраструктуры Российской Федерации" (Собрание законодательства Российской Федерации, 2017, № 31, ст. 4736) следующие изменения:
1) часть 2 статьи 6 дополнить пунктами 4 - 6 следующего содержания:
"4) требования к используемым на значимых объектах критической информационной инфраструктуры программам для электронных вычислительных машин и базам данных (далее - программное обеспечение) и радиоэлектронной продукции, в том числе
к телекоммуникационному оборудованию и программно-аппаратным комплексам, а также случаи и порядок согласования использования
таких программного обеспечения и радиоэлектронной продукции, в том числе телекоммуникационного оборудования и программно-аппаратных комплексов, происходящих из иностранных государств, в том числе при выполнении работ, оказании услуг (в банковской сфере и иных сферах финансового рынка - по согласованию с Центральным банком Российской Федерации);
5) порядок и сроки перехода субъектов критической информационной инфраструктуры на преимущественное использование российского программного обеспечения и отечественной радиоэлектронной продукции, в том числе телекоммуникационного оборудования и программно-аппаратных комплексов, на принадлежащих им значимых объектах критической информационной инфраструктуры (в банковской сфере
и иных сферах финансового рынка - по согласованию с Центральным банком Российской Федерации);
6) порядок осуществления мониторинга перехода субъектов критической информационной инфраструктуры на преимущественное использование российского программного обеспечения и отечественной радиоэлектронной продукции, в том числе телекоммуникационного оборудования и программно-аппаратных комплексов (в банковской сфере и иных сферах финансового рынка - по согласованию с Центральным банком Российской Федерации).";
2) в статье 7:
а) в части 4 после слов "порядком осуществления категорирования" дополнить словами "с учетом методических указаний, регламентирующих отраслевые особенности категорирования объектов критической информационной инфраструктуры,";
б) дополнить частями 13 - 16 следующего содержания:
"13. В целях надлежащего категорирования объектов критической информационной инфраструктуры государственные органы, Центральный банк Российской Федерации и российские юридические лица, выполняющие функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, формируют перечни типовых отраслевых объектов критической информационной инфраструктуры, включающие в себя наименования типов информационных систем, выполняемых функций и видов деятельности, для обеспечения которых они предназначены, по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации.
14. Методические указания, регламентирующие с учетом установленных перечней типовых отраслевых объектов критической информационной инфраструктуры особенности категорирования объектов критической информационной инфраструктуры и присвоения им категорий значимости, утверждаются государственными органами, Центральным банком Российской Федерации и российскими юридическими лицами, выполняющими функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации.
15. В случае, если по результатам мониторинга представления субъектами критической информационной инфраструктуры актуальных
и достоверных сведений об имеющихся у них объектах критической информационной инфраструктуры, проводимого в соответствии
с утвержденными Правительством Российской Федерации правилами, выявлены факты представления субъектом критической информационной инфраструктуры в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, недостоверных и (или) неполных сведений об имеющихся у него объектах критической информационной инфраструктуры, федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации,
в тридцатидневный срок направляет субъекту критической информационной инфраструктуры обоснованное требование
о необходимости внесения изменений в сведения, указанные
в части 5 настоящей статьи.
16. Субъект критической информационной инфраструктуры
в десятидневный срок рассматривает обоснованное требование федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, и представляет в указанный федеральный орган исполнительной власти исправленные сведения, указанные в части 5 настоящей статьи, либо обоснование отсутствия необходимости исправления соответствующих сведений.";
3) часть 3 статьи 9 дополнить пунктами 5 и 6 следующего содержания:
"5) соблюдать установленные законодательством Российской Федерации требования к используемым на значимых объектах критической информационной инфраструктуры программному обеспечению
и радиоэлектронной продукции, в том числе к телекоммуникационному оборудованию и программно-аппаратным комплексам, в целях обеспечения безопасности критической информационной инфраструктуры;
6) обеспечить переход на преимущественное использование российского программного обеспечения и отечественной радиоэлектронной продукции, в том числе телекоммуникационного оборудования и программно-аппаратных комплексов, в соответствии
с порядком и сроками, определенными Правительством Российской Федерации (в банковской сфере и иных сферах финансового рынка -
по согласованию с Центральным банком Российской Федерации).".
Статья 2
Настоящий Федеральный закон вступает в силу с 1 марта 2025 года.
Президент
Российской Федерации