Под обязательные требования попали разные виды ПО: операционные системы, офисные пакеты, системы управления базами данных, средства виртуализации. Разрешенные для использования объекты должны числиться в реестре радиоэлектронной продукции и отечественного ПО. Какое иностранное ПО и в каком порядке заменять, решает учредитель исходя из финансовых возможностей. Для этого ИТ-отдел учреждения должен составить план перехода, а экономисты соотнести его с финансированием. Если денег немного, стоит обратить внимание на бесплатные сервисы. постановление Правительства от 14.11.2023 № 1912
ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ
ПОСТАНОВЛЕНИЕ
от 14 ноября 2023 г. N 1912
О ПОРЯДКЕ
ПЕРЕХОДА СУБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ
ИНФРАСТРУКТУРЫ РОССИЙСКОЙ ФЕДЕРАЦИИ НА ПРЕИМУЩЕСТВЕННОЕ
ПРИМЕНЕНИЕ ДОВЕРЕННЫХ ПРОГРАММНО-АППАРАТНЫХ КОМПЛЕКСОВ
НА ПРИНАДЛЕЖАЩИХ ИМ ЗНАЧИМЫХ ОБЪЕКТАХ КРИТИЧЕСКОЙ
ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ РОССИЙСКОЙ ФЕДЕРАЦИИ
Во исполнение пункта 2 Указа Президента Российской Федерации от 30 марта 2022 г. N 166 "О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации" Правительство Российской Федерации постановляет:
1. Утвердить прилагаемые Правила перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации.
2. Установить, что:
переход субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации осуществляется до 1 января 2030 г. в соответствии с Правилами, утвержденными настоящим постановлением;
с 1 сентября 2024 г. не допускается использование субъектами критической информационной инфраструктуры Российской Федерации на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации программно-аппаратных комплексов, приобретенных субъектами критической информационной инфраструктуры Российской Федерации с 1 сентября 2024 г. и не являющихся доверенными программно-аппаратными комплексами, за исключением случаев отсутствия произведенных в Российской Федерации доверенных программно-аппаратных комплексов, являющихся аналогами приобретенных субъектами критической информационной инфраструктуры Российской Федерации программно-аппаратных комплексов. Подтверждением отсутствия произведенных в Российской Федерации доверенных программно-аппаратных комплексов, являющихся аналогами приобретенных субъектами критической информационной инфраструктуры Российской Федерации программно-аппаратных комплексов, являются заключения об отнесении продукции к промышленной продукции, не имеющей произведенных в Российской Федерации аналогов, выданные Министерством промышленности и торговли Российской Федерации в соответствии с Правилами отнесения продукции к промышленной продукции, не имеющей произведенных в Российской Федерации аналогов, утвержденными постановлением Правительства Российской Федерации от 20 сентября 2017 г. N 1135 "Об отнесении продукции к промышленной продукции, не имеющей произведенных в Российской Федерации аналогов, и внесении изменений в некоторые акты Правительства Российской Федерации".
3. Определить, что федеральными органами исполнительной власти и российскими юридическими лицами, ответственными за организацию перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации в соответствующих сферах (областях) деятельности (далее - уполномоченные органы), являются:
Министерство здравоохранения Российской Федерации - в сфере здравоохранения;
Министерство науки и высшего образования Российской Федерации - в сфере науки;
Министерство транспорта Российской Федерации - в сфере транспорта;
Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации - в сфере связи;
Министерство энергетики Российской Федерации - в сферах энергетики и топливно-энергетического комплекса;
Министерство промышленности и торговли Российской Федерации - в области оборонной, горнодобывающей, металлургической и химической промышленности;
Министерство финансов Российской Федерации - в банковской сфере и иных сферах финансового рынка (за исключением вопросов организации перехода субъектов критической информационной инфраструктуры Российской Федерации, являющихся кредитными организациями или некредитными финансовыми организациями, на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации);
Федеральная служба государственной регистрации, кадастра и картографии - в сфере государственной регистрации прав на недвижимое имущество и сделок с ним;
Государственная корпорация по атомной энергии "Росатом" - в области атомной энергии;
Государственная корпорация по космической деятельности "Роскосмос" - в области ракетно-космической промышленности;
Центральный банк Российской Федерации - в банковской сфере и иных сферах финансового рынка (в части вопросов организации перехода субъектов критической информационной инфраструктуры Российской Федерации, являющихся кредитными организациями или некредитными финансовыми организациями, на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации).
4. Уполномоченным органам до 1 сентября 2024 г.:
определить должностное лицо в должности не ниже заместителя руководителя уполномоченного органа, ответственное за организацию перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации в соответствующих сферах (областях) деятельности;
утвердить планы организации перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации в соответствующих сферах (областях) деятельности.
5. Настоящее постановление вступает в силу со дня его официального опубликования, за исключением пунктов 1 и 2 настоящего постановления, которые вступают в силу с 1 сентября 2024 г. и действуют в течение 6 лет.
Председатель Правительства
Российской Федерации
М.МИШУСТИН
Утверждены
постановлением Правительства
Российской Федерации
от 14 ноября 2023 г. N 1912
ПРАВИЛА
ПЕРЕХОДА СУБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ
ИНФРАСТРУКТУРЫ РОССИЙСКОЙ ФЕДЕРАЦИИ НА ПРЕИМУЩЕСТВЕННОЕ
ПРИМЕНЕНИЕ ДОВЕРЕННЫХ ПРОГРАММНО-АППАРАТНЫХ КОМПЛЕКСОВ
НА ПРИНАДЛЕЖАЩИХ ИМ ЗНАЧИМЫХ ОБЪЕКТАХ КРИТИЧЕСКОЙ
ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ РОССИЙСКОЙ ФЕДЕРАЦИИ
1. Настоящие Правила определяют порядок перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации (далее - критическая информационная инфраструктура).
2. Для целей настоящих Правил используются следующие понятия:
"программно-аппаратный комплекс" - радиоэлектронная продукция, в том числе телекоммуникационное оборудование, программное обеспечение и технические средства, работающие совместно для выполнения одной или нескольких сходных задач;
"доверенный программно-аппаратный комплекс" - программно-аппаратный комплекс, который соответствует одновременно всем критериям признания программно-аппаратных комплексов доверенными программно-аппаратными комплексами, указанным в приложении N 1;
"преимущественное применение доверенных программно-аппаратных комплексов" - применение субъектами критической информационной инфраструктуры на принадлежащих им значимых объектах критической информационной инфраструктуры доверенных программно-аппаратных комплексов, доля которых по состоянию на 31 декабря 2029 г. составляет 100 процентов в общем количестве программно-аппаратных комплексов, применяемых субъектами критической информационной инфраструктуры на принадлежащих им значимых объектах критической информационной инфраструктуры.
Иные понятия, используемые в настоящих Правилах, имеют значения, определенные Федеральным законом "О безопасности критической информационной инфраструктуры Российской Федерации", иными федеральными законами и нормативными правовыми актами Российской Федерации.
3. Федеральные органы исполнительной власти и российские юридические лица, ответственные за организацию перехода субъектов критической информационной инфраструктуры на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры в соответствующих сферах (областях) деятельности, определенные в соответствии с пунктом 3 постановления Правительства Российской Федерации от 14 ноября 2023 г. N 1912 "О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации" (далее - уполномоченные органы), разрабатывают и утверждают планы организации перехода субъектов критической информационной инфраструктуры на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры в соответствующих сферах (областях) деятельности (далее - отраслевые планы перехода) по форме согласно приложению N 2.
Для каждой сферы (области) деятельности уполномоченного органа разрабатывается отдельный отраслевой план перехода.
Отраслевые планы перехода являются документами, содержащими служебную информацию ограниченного распространения, и имеют пометку "Для служебного пользования", если по решению уполномоченного органа им не присваивается гриф секретности.
4. Отраслевые планы перехода содержат:
а) план мероприятий по организации перехода субъектов критической информационной инфраструктуры на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры;
б) оценочные, прогнозные и фактические доли доверенных программно-аппаратных комплексов в общем количестве программно-аппаратных комплексов, применяемых субъектами критической информационной инфраструктуры на принадлежащих им значимых объектах критической информационной инфраструктуры.
5. Уполномоченные органы начиная с 2026 года ежегодно, до 1 мая, обеспечивают актуализацию отраслевых планов перехода.
Актуализация отраслевых планов перехода осуществляется путем утверждения уполномоченными органами отраслевых планов перехода в новой редакции после направления в Министерство промышленности и торговли Российской Федерации выписки и отчета, предусмотренных пунктом 22 настоящих Правил.
6. Уполномоченные органы в течение 20 рабочих дней со дня утверждения отраслевого плана перехода (в том числе отраслевого плана перехода в новой редакции) направляют в адрес субъектов критической информационной инфраструктуры, функционирующих в соответствующих сферах (областях) деятельности, которым на основании сведений, содержащихся в реестре значимых объектов критической информационной инфраструктуры, принадлежат значимые объекты критической информационной инфраструктуры, утвержденный отраслевой план перехода и уведомляют их о необходимости разработки планов перехода субъектов критической информационной инфраструктуры на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры (далее - план перехода) в соответствии с настоящими Правилами (в случае отсутствия у субъектов критической информационной инфраструктуры утвержденных планов перехода).
7. Субъекты критической информационной инфраструктуры разрабатывают планы перехода по форме согласно приложению N 3.
8. Планы перехода содержат:
а) общие сведения о субъекте критической информационной инфраструктуры;
б) перечень значимых объектов критической информационной инфраструктуры, принадлежащих субъекту критической информационной инфраструктуры, сведения о которых содержатся в реестре значимых объектов критической информационной инфраструктуры;
в) сведения о программно-аппаратных комплексах, применяемых субъектом критической информационной инфраструктуры на принадлежащих ему значимых объектах критической информационной инфраструктуры;
г) плановые и фактические доли доверенных программно-аппаратных комплексов в общем количестве программно-аппаратных комплексов, применяемых субъектом критической информационной инфраструктуры на принадлежащих ему значимых объектах критической информационной инфраструктуры;
д) прогнозные объемы затрат субъекта критической информационной инфраструктуры на реализацию плана перехода.
9. Планы перехода утверждаются руководителями субъектов критической информационной инфраструктуры.
Планы перехода субъектов критической информационной инфраструктуры, являющихся учреждениями Государственной корпорации по атомной энергии "Росатом", акционерными обществами Государственной корпорации по атомной энергии "Росатом" и их дочерними обществами, а также подведомственными федеральными государственными унитарными предприятиями и федеральными государственными бюджетными учреждениями, связанными с реализацией полномочий по управлению атомной отраслью, утверждаются руководителями субъектов критической информационной инфраструктуры по согласованию с Государственной корпорацией по атомной энергии "Росатом".
Планы перехода субъектов критической информационной инфраструктуры, являющихся кредитными организациями или некредитными финансовыми организациями, утверждаются руководителями субъектов критической информационной инфраструктуры по согласованию с Центральным банком Российской Федерации.
10. Субъект критической информационной инфраструктуры в течение 10 рабочих дней со дня утверждения плана перехода направляет копию утвержденного плана перехода с соблюдением требований законодательства Российской Федерации о государственной тайне в уполномоченный орган, который определяется субъектом критической информационной инфраструктуры в соответствии со сферой (областью) деятельности субъекта критической информационной инфраструктуры и (или) основным видом экономической деятельности субъекта критической информационной инфраструктуры:
а) до 1 января 2025 г., если сведения об объектах критической информационной инфраструктуры, принадлежащих субъекту критической информационной инфраструктуры, включены в реестр значимых объектов критической информационной инфраструктуры по состоянию на 1 сентября 2024 г.;
б) в 4-месячный срок со дня получения уведомления от Федеральной службы по техническому и экспортному контролю о внесении сведений об объекте (объектах) критической информационной инфраструктуры в реестр значимых объектов критической информационной инфраструктуры, в случае присвоения объекту критической информационной инфраструктуры, принадлежащему субъекту критической информационной инфраструктуры, одной из категорий значимости после 1 сентября 2024 г.
11. Уполномоченные органы осуществляют формирование и ведение реестров планов перехода в соответствующей сфере (области) деятельности (далее - отраслевые реестры планов перехода) по форме согласно приложению N 4.
12. В ходе формирования и ведения отраслевых реестров планов перехода уполномоченными органами обеспечивается:
а) безопасность сведений, составляющих государственную тайну, содержащихся в планах перехода и отраслевых реестрах планов перехода, в соответствии с законодательством Российской Федерации о государственной тайне;
б) использование сведений о значимых объектах критической информационной инфраструктуры, содержащихся в планах перехода и отраслевых реестрах планов перехода, только в целях организации перехода субъектов критической информационной инфраструктуры на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры в соответствии с настоящими Правилами.
13. Уполномоченный орган в течение 30 рабочих дней со дня поступления от субъекта критической информационной инфраструктуры копии утвержденного плана перехода принимает решение о включении сведений о плане перехода в отраслевой реестр планов перехода либо об отказе во включении сведений о плане перехода в отраслевой реестр планов перехода.
14. Основаниями для принятия уполномоченным органом решения об отказе во включении сведений о плане перехода в отраслевой реестр планов перехода являются:
а) несоответствие плана перехода установленной форме;
б) предусмотренное планом перехода целевое значение доли доверенных программно-аппаратных комплексов в общем количестве программно-аппаратных комплексов, применяемых субъектом критической информационной инфраструктуры на принадлежащих ему значимых объектах критической информационной инфраструктуры по состоянию на 31 декабря 2029 г., составляет менее 100 процентов;
в) отсутствие в плане перехода сведений о значимых объектах критической информационной инфраструктуры, включенных в реестр значимых объектов критической информационной инфраструктуры, согласно выписке из реестра значимых объектов критической информационной инфраструктуры, полученной уполномоченным органом от Федеральной службы по техническому и экспортному контролю не ранее чем за 90 дней до дня поступления в уполномоченный орган от субъекта критической информационной инфраструктуры копии плана перехода;
г) несоответствие сведений о значимых объектах критической информационной инфраструктуры, содержащихся в плане перехода, сведениям, содержащимся в выписке, указанной в подпункте "в" настоящего пункта;
д) несоблюдение субъектом критической информационной инфраструктуры требований, предусмотренных пунктом 9 настоящих Правил.
15. В случае принятия решения о включении сведений о плане перехода в отраслевой реестр планов перехода уполномоченный орган в течение 5 рабочих дней со дня принятия такого решения включает соответствующие сведения в отраслевой реестр планов перехода и направляет субъекту критической информационной инфраструктуры уведомление о включении сведений о плане перехода в отраслевой реестр планов перехода с указанием регистрационного номера плана перехода в отраслевом реестре планов перехода, даты включения сведений об актуальной редакции плана перехода в отраслевой реестр планов перехода и номера редакции плана перехода.
В случае принятия решения об отказе во включении сведений о плане перехода в отраслевой реестр планов перехода уполномоченный орган в течение 5 рабочих дней со дня принятия такого решения направляет субъекту критической информационной инфраструктуры уведомление об отказе во включении сведений о плане перехода в отраслевой реестр планов перехода с указанием оснований для отказа во включении сведений о плане перехода в отраслевой реестр планов перехода, установленных пунктом 14 настоящих Правил.
16. В случае наличия у уполномоченного органа информации о доверенных программно-аппаратных комплексах, имеющих функциональные, технические и (или) эксплуатационные характеристики, аналогичные характеристикам программно-аппаратных комплексов, применяемых субъектом критической информационной инфраструктуры на принадлежащих ему значимых объектах критической информационной инфраструктуры и не являющихся доверенными программно-аппаратными комплексами, уполномоченный орган направляет субъекту критической информационной инфраструктуры информацию о таких доверенных программно-аппаратных комплексах.
17. Субъект критической информационной инфраструктуры вносит изменения в план перехода:
а) в случае получения от уполномоченного органа уведомления, предусмотренного абзацем вторым пункта 15 настоящих Правил, - в течение 30 календарных дней со дня получения такого уведомления;
б) в случае внесения сведений о значимых объектах критической информационной инфраструктуры, не указанных в актуальной редакции утвержденного плана перехода, в реестр значимых объектов критической информационной инфраструктуры - в 4-месячный срок со дня получения уведомления от Федеральной службы по техническому и экспортному контролю о внесении сведений о таких объектах в реестр значимых объектов критической информационной инфраструктуры (при наличии у субъекта критической информационной инфраструктуры утвержденного плана перехода);
в) по решению субъекта критической информационной инфраструктуры, в том числе с учетом информации, указанной в пункте 16 настоящих Правил.
18. Внесение изменений в план перехода осуществляется путем утверждения плана перехода в новой редакции.
Копия утвержденного плана перехода в новой редакции направляется в уполномоченный орган в порядке и сроки, указанные в абзаце первом пункта 10 настоящих Правил, с указанием основания внесения изменений в план перехода в соответствии с пунктом 17 настоящих Правил.
19. Уполномоченный орган в течение 30 рабочих дней со дня получения копии плана перехода, утвержденного в новой редакции, принимает решение о включении сведений о плане перехода в отраслевой реестр планов перехода либо об отказе во включении сведений о плане перехода в отраслевой реестр планов перехода в соответствии с пунктами 13 - 15 настоящих Правил.
В случае внесения изменений в план перехода в соответствии с подпунктами "б" или "в" пункта 17 настоящих Правил и принятия уполномоченным органом решения о включении сведений о плане перехода, утвержденном в новой редакции, в отраслевой реестр планов перехода внесение изменений в отраслевой реестр планов перехода осуществляется путем изменения существующей реестровой записи, содержащей сведения о соответствующем плане перехода.
20. Уполномоченный орган в течение 10 рабочих дней со дня включения сведений о плане перехода (в том числе о плане перехода, утвержденном в новой редакции) в отраслевой реестр планов перехода направляет с соблюдением требований законодательства Российской Федерации о государственной тайне в организацию, определенную распоряжением Правительства Российской Федерации от 29 марта 2023 г. N 757-р научно-производственным объединением, специализирующимся на разработке, производстве, технической поддержке и сервисном обслуживании доверенных программно-аппаратных комплексов для критической информационной инфраструктуры, созданным в целях реализации Указа Президента Российской Федерации от 30 марта 2022 г. N 166 "О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации":
а) выписку из плана перехода, содержащую сведения, приведенные в разделах 3 и 4 плана перехода, по форме, предусмотренной приложением N 3 к настоящим Правилам;
б) сопроводительное письмо с указанием исключительно отраслевого реестра планов перехода, в который включены сведения о плане перехода, регистрационного номера плана перехода в отраслевом реестре планов перехода, даты утверждения актуальной редакции плана перехода и номера актуальной редакции плана перехода.
21. Субъекты критической информационной инфраструктуры начиная с 2026 года ежегодно, до 1 марта, направляют в уполномоченные органы с соблюдением требований законодательства Российской Федерации о государственной тайне отчет о ходе реализации субъектом критической информационной инфраструктуры плана перехода за предшествующий календарный год по форме согласно приложению N 5.
22. Уполномоченные органы начиная с 2026 года ежегодно, до 1 апреля, направляют в Министерство промышленности и торговли Российской Федерации выписку из отраслевого реестра планов перехода по состоянию на 31 декабря предшествующего календарного года по форме согласно приложению N 6 и отчет о ходе реализации отраслевого плана перехода за предшествующий календарный год по форме согласно приложению N 7.
Выписка и отчет, указанные в настоящем пункте, являются документами, содержащими служебную информацию ограниченного распространения, и имеют пометку "Для служебного пользования", если по решению уполномоченного органа им не присваивается гриф секретности.
23. Министерство промышленности и торговли Российской Федерации начиная с 2026 года ежегодно, до 1 мая, направляет в Правительство Российской Федерации сводную выписку из отраслевых реестров планов перехода по состоянию на 31 декабря предшествующего календарного года по форме согласно приложению N 8 и сводный отчет о ходе реализации отраслевых планов перехода за предшествующий календарный год по форме согласно приложению N 9.
Сводная выписка и сводный отчет, указанные в настоящем пункте, являются документами, содержащими служебную информацию ограниченного распространения, и имеют пометку "Для служебного пользования", если по решению Министерства промышленности и торговли Российской Федерации им не присваивается гриф секретности.
24. По запросу Аппарата Правительства Российской Федерации и (или) Министерства промышленности и торговли Российской Федерации уполномоченные органы представляют выписки из отраслевых реестров планов перехода в срок, установленный в таком запросе.
По запросу Аппарата Правительства Российской Федерации Министерство промышленности и торговли Российской Федерации представляет сводную выписку из отраслевых реестров планов перехода в срок, установленный в таком запросе.
25. Организация, указанная в пункте 20 настоящих Правил, начиная с 2025 года ежегодно, до 1 апреля, направляет в уполномоченные органы прогноз производства доверенных программно-аппаратных комплексов в Российской Федерации на текущий календарный год и 2 последующих календарных года.
26. В целях организации перехода субъектов критической информационной инфраструктуры на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры уполномоченными органами могут привлекаться отраслевые центры компетенций, в том числе созданные на базе организаций, подведомственных уполномоченным органам, или иные организации в порядке, предусмотренном законодательством Российской Федерации.
ПОСТАНОВЛЕНИЕ
от 14 ноября 2023 г. N 1912
О ПОРЯДКЕ
ПЕРЕХОДА СУБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ
ИНФРАСТРУКТУРЫ РОССИЙСКОЙ ФЕДЕРАЦИИ НА ПРЕИМУЩЕСТВЕННОЕ
ПРИМЕНЕНИЕ ДОВЕРЕННЫХ ПРОГРАММНО-АППАРАТНЫХ КОМПЛЕКСОВ
НА ПРИНАДЛЕЖАЩИХ ИМ ЗНАЧИМЫХ ОБЪЕКТАХ КРИТИЧЕСКОЙ
ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ РОССИЙСКОЙ ФЕДЕРАЦИИ
Во исполнение пункта 2 Указа Президента Российской Федерации от 30 марта 2022 г. N 166 "О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации" Правительство Российской Федерации постановляет:
1. Утвердить прилагаемые Правила перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации.
2. Установить, что:
переход субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации осуществляется до 1 января 2030 г. в соответствии с Правилами, утвержденными настоящим постановлением;
с 1 сентября 2024 г. не допускается использование субъектами критической информационной инфраструктуры Российской Федерации на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации программно-аппаратных комплексов, приобретенных субъектами критической информационной инфраструктуры Российской Федерации с 1 сентября 2024 г. и не являющихся доверенными программно-аппаратными комплексами, за исключением случаев отсутствия произведенных в Российской Федерации доверенных программно-аппаратных комплексов, являющихся аналогами приобретенных субъектами критической информационной инфраструктуры Российской Федерации программно-аппаратных комплексов. Подтверждением отсутствия произведенных в Российской Федерации доверенных программно-аппаратных комплексов, являющихся аналогами приобретенных субъектами критической информационной инфраструктуры Российской Федерации программно-аппаратных комплексов, являются заключения об отнесении продукции к промышленной продукции, не имеющей произведенных в Российской Федерации аналогов, выданные Министерством промышленности и торговли Российской Федерации в соответствии с Правилами отнесения продукции к промышленной продукции, не имеющей произведенных в Российской Федерации аналогов, утвержденными постановлением Правительства Российской Федерации от 20 сентября 2017 г. N 1135 "Об отнесении продукции к промышленной продукции, не имеющей произведенных в Российской Федерации аналогов, и внесении изменений в некоторые акты Правительства Российской Федерации".
3. Определить, что федеральными органами исполнительной власти и российскими юридическими лицами, ответственными за организацию перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации в соответствующих сферах (областях) деятельности (далее - уполномоченные органы), являются:
Министерство здравоохранения Российской Федерации - в сфере здравоохранения;
Министерство науки и высшего образования Российской Федерации - в сфере науки;
Министерство транспорта Российской Федерации - в сфере транспорта;
Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации - в сфере связи;
Министерство энергетики Российской Федерации - в сферах энергетики и топливно-энергетического комплекса;
Министерство промышленности и торговли Российской Федерации - в области оборонной, горнодобывающей, металлургической и химической промышленности;
Министерство финансов Российской Федерации - в банковской сфере и иных сферах финансового рынка (за исключением вопросов организации перехода субъектов критической информационной инфраструктуры Российской Федерации, являющихся кредитными организациями или некредитными финансовыми организациями, на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации);
Федеральная служба государственной регистрации, кадастра и картографии - в сфере государственной регистрации прав на недвижимое имущество и сделок с ним;
Государственная корпорация по атомной энергии "Росатом" - в области атомной энергии;
Государственная корпорация по космической деятельности "Роскосмос" - в области ракетно-космической промышленности;
Центральный банк Российской Федерации - в банковской сфере и иных сферах финансового рынка (в части вопросов организации перехода субъектов критической информационной инфраструктуры Российской Федерации, являющихся кредитными организациями или некредитными финансовыми организациями, на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации).
4. Уполномоченным органам до 1 сентября 2024 г.:
определить должностное лицо в должности не ниже заместителя руководителя уполномоченного органа, ответственное за организацию перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации в соответствующих сферах (областях) деятельности;
утвердить планы организации перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации в соответствующих сферах (областях) деятельности.
5. Настоящее постановление вступает в силу со дня его официального опубликования, за исключением пунктов 1 и 2 настоящего постановления, которые вступают в силу с 1 сентября 2024 г. и действуют в течение 6 лет.
Председатель Правительства
Российской Федерации
М.МИШУСТИН
Утверждены
постановлением Правительства
Российской Федерации
от 14 ноября 2023 г. N 1912
ПРАВИЛА
ПЕРЕХОДА СУБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ
ИНФРАСТРУКТУРЫ РОССИЙСКОЙ ФЕДЕРАЦИИ НА ПРЕИМУЩЕСТВЕННОЕ
ПРИМЕНЕНИЕ ДОВЕРЕННЫХ ПРОГРАММНО-АППАРАТНЫХ КОМПЛЕКСОВ
НА ПРИНАДЛЕЖАЩИХ ИМ ЗНАЧИМЫХ ОБЪЕКТАХ КРИТИЧЕСКОЙ
ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ РОССИЙСКОЙ ФЕДЕРАЦИИ
1. Настоящие Правила определяют порядок перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации (далее - критическая информационная инфраструктура).
2. Для целей настоящих Правил используются следующие понятия:
"программно-аппаратный комплекс" - радиоэлектронная продукция, в том числе телекоммуникационное оборудование, программное обеспечение и технические средства, работающие совместно для выполнения одной или нескольких сходных задач;
"доверенный программно-аппаратный комплекс" - программно-аппаратный комплекс, который соответствует одновременно всем критериям признания программно-аппаратных комплексов доверенными программно-аппаратными комплексами, указанным в приложении N 1;
"преимущественное применение доверенных программно-аппаратных комплексов" - применение субъектами критической информационной инфраструктуры на принадлежащих им значимых объектах критической информационной инфраструктуры доверенных программно-аппаратных комплексов, доля которых по состоянию на 31 декабря 2029 г. составляет 100 процентов в общем количестве программно-аппаратных комплексов, применяемых субъектами критической информационной инфраструктуры на принадлежащих им значимых объектах критической информационной инфраструктуры.
Иные понятия, используемые в настоящих Правилах, имеют значения, определенные Федеральным законом "О безопасности критической информационной инфраструктуры Российской Федерации", иными федеральными законами и нормативными правовыми актами Российской Федерации.
3. Федеральные органы исполнительной власти и российские юридические лица, ответственные за организацию перехода субъектов критической информационной инфраструктуры на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры в соответствующих сферах (областях) деятельности, определенные в соответствии с пунктом 3 постановления Правительства Российской Федерации от 14 ноября 2023 г. N 1912 "О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации" (далее - уполномоченные органы), разрабатывают и утверждают планы организации перехода субъектов критической информационной инфраструктуры на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры в соответствующих сферах (областях) деятельности (далее - отраслевые планы перехода) по форме согласно приложению N 2.
Для каждой сферы (области) деятельности уполномоченного органа разрабатывается отдельный отраслевой план перехода.
Отраслевые планы перехода являются документами, содержащими служебную информацию ограниченного распространения, и имеют пометку "Для служебного пользования", если по решению уполномоченного органа им не присваивается гриф секретности.
4. Отраслевые планы перехода содержат:
а) план мероприятий по организации перехода субъектов критической информационной инфраструктуры на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры;
б) оценочные, прогнозные и фактические доли доверенных программно-аппаратных комплексов в общем количестве программно-аппаратных комплексов, применяемых субъектами критической информационной инфраструктуры на принадлежащих им значимых объектах критической информационной инфраструктуры.
5. Уполномоченные органы начиная с 2026 года ежегодно, до 1 мая, обеспечивают актуализацию отраслевых планов перехода.
Актуализация отраслевых планов перехода осуществляется путем утверждения уполномоченными органами отраслевых планов перехода в новой редакции после направления в Министерство промышленности и торговли Российской Федерации выписки и отчета, предусмотренных пунктом 22 настоящих Правил.
6. Уполномоченные органы в течение 20 рабочих дней со дня утверждения отраслевого плана перехода (в том числе отраслевого плана перехода в новой редакции) направляют в адрес субъектов критической информационной инфраструктуры, функционирующих в соответствующих сферах (областях) деятельности, которым на основании сведений, содержащихся в реестре значимых объектов критической информационной инфраструктуры, принадлежат значимые объекты критической информационной инфраструктуры, утвержденный отраслевой план перехода и уведомляют их о необходимости разработки планов перехода субъектов критической информационной инфраструктуры на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры (далее - план перехода) в соответствии с настоящими Правилами (в случае отсутствия у субъектов критической информационной инфраструктуры утвержденных планов перехода).
7. Субъекты критической информационной инфраструктуры разрабатывают планы перехода по форме согласно приложению N 3.
8. Планы перехода содержат:
а) общие сведения о субъекте критической информационной инфраструктуры;
б) перечень значимых объектов критической информационной инфраструктуры, принадлежащих субъекту критической информационной инфраструктуры, сведения о которых содержатся в реестре значимых объектов критической информационной инфраструктуры;
в) сведения о программно-аппаратных комплексах, применяемых субъектом критической информационной инфраструктуры на принадлежащих ему значимых объектах критической информационной инфраструктуры;
г) плановые и фактические доли доверенных программно-аппаратных комплексов в общем количестве программно-аппаратных комплексов, применяемых субъектом критической информационной инфраструктуры на принадлежащих ему значимых объектах критической информационной инфраструктуры;
д) прогнозные объемы затрат субъекта критической информационной инфраструктуры на реализацию плана перехода.
9. Планы перехода утверждаются руководителями субъектов критической информационной инфраструктуры.
Планы перехода субъектов критической информационной инфраструктуры, являющихся учреждениями Государственной корпорации по атомной энергии "Росатом", акционерными обществами Государственной корпорации по атомной энергии "Росатом" и их дочерними обществами, а также подведомственными федеральными государственными унитарными предприятиями и федеральными государственными бюджетными учреждениями, связанными с реализацией полномочий по управлению атомной отраслью, утверждаются руководителями субъектов критической информационной инфраструктуры по согласованию с Государственной корпорацией по атомной энергии "Росатом".
Планы перехода субъектов критической информационной инфраструктуры, являющихся кредитными организациями или некредитными финансовыми организациями, утверждаются руководителями субъектов критической информационной инфраструктуры по согласованию с Центральным банком Российской Федерации.
10. Субъект критической информационной инфраструктуры в течение 10 рабочих дней со дня утверждения плана перехода направляет копию утвержденного плана перехода с соблюдением требований законодательства Российской Федерации о государственной тайне в уполномоченный орган, который определяется субъектом критической информационной инфраструктуры в соответствии со сферой (областью) деятельности субъекта критической информационной инфраструктуры и (или) основным видом экономической деятельности субъекта критической информационной инфраструктуры:
а) до 1 января 2025 г., если сведения об объектах критической информационной инфраструктуры, принадлежащих субъекту критической информационной инфраструктуры, включены в реестр значимых объектов критической информационной инфраструктуры по состоянию на 1 сентября 2024 г.;
б) в 4-месячный срок со дня получения уведомления от Федеральной службы по техническому и экспортному контролю о внесении сведений об объекте (объектах) критической информационной инфраструктуры в реестр значимых объектов критической информационной инфраструктуры, в случае присвоения объекту критической информационной инфраструктуры, принадлежащему субъекту критической информационной инфраструктуры, одной из категорий значимости после 1 сентября 2024 г.
11. Уполномоченные органы осуществляют формирование и ведение реестров планов перехода в соответствующей сфере (области) деятельности (далее - отраслевые реестры планов перехода) по форме согласно приложению N 4.
12. В ходе формирования и ведения отраслевых реестров планов перехода уполномоченными органами обеспечивается:
а) безопасность сведений, составляющих государственную тайну, содержащихся в планах перехода и отраслевых реестрах планов перехода, в соответствии с законодательством Российской Федерации о государственной тайне;
б) использование сведений о значимых объектах критической информационной инфраструктуры, содержащихся в планах перехода и отраслевых реестрах планов перехода, только в целях организации перехода субъектов критической информационной инфраструктуры на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры в соответствии с настоящими Правилами.
13. Уполномоченный орган в течение 30 рабочих дней со дня поступления от субъекта критической информационной инфраструктуры копии утвержденного плана перехода принимает решение о включении сведений о плане перехода в отраслевой реестр планов перехода либо об отказе во включении сведений о плане перехода в отраслевой реестр планов перехода.
14. Основаниями для принятия уполномоченным органом решения об отказе во включении сведений о плане перехода в отраслевой реестр планов перехода являются:
а) несоответствие плана перехода установленной форме;
б) предусмотренное планом перехода целевое значение доли доверенных программно-аппаратных комплексов в общем количестве программно-аппаратных комплексов, применяемых субъектом критической информационной инфраструктуры на принадлежащих ему значимых объектах критической информационной инфраструктуры по состоянию на 31 декабря 2029 г., составляет менее 100 процентов;
в) отсутствие в плане перехода сведений о значимых объектах критической информационной инфраструктуры, включенных в реестр значимых объектов критической информационной инфраструктуры, согласно выписке из реестра значимых объектов критической информационной инфраструктуры, полученной уполномоченным органом от Федеральной службы по техническому и экспортному контролю не ранее чем за 90 дней до дня поступления в уполномоченный орган от субъекта критической информационной инфраструктуры копии плана перехода;
г) несоответствие сведений о значимых объектах критической информационной инфраструктуры, содержащихся в плане перехода, сведениям, содержащимся в выписке, указанной в подпункте "в" настоящего пункта;
д) несоблюдение субъектом критической информационной инфраструктуры требований, предусмотренных пунктом 9 настоящих Правил.
15. В случае принятия решения о включении сведений о плане перехода в отраслевой реестр планов перехода уполномоченный орган в течение 5 рабочих дней со дня принятия такого решения включает соответствующие сведения в отраслевой реестр планов перехода и направляет субъекту критической информационной инфраструктуры уведомление о включении сведений о плане перехода в отраслевой реестр планов перехода с указанием регистрационного номера плана перехода в отраслевом реестре планов перехода, даты включения сведений об актуальной редакции плана перехода в отраслевой реестр планов перехода и номера редакции плана перехода.
В случае принятия решения об отказе во включении сведений о плане перехода в отраслевой реестр планов перехода уполномоченный орган в течение 5 рабочих дней со дня принятия такого решения направляет субъекту критической информационной инфраструктуры уведомление об отказе во включении сведений о плане перехода в отраслевой реестр планов перехода с указанием оснований для отказа во включении сведений о плане перехода в отраслевой реестр планов перехода, установленных пунктом 14 настоящих Правил.
16. В случае наличия у уполномоченного органа информации о доверенных программно-аппаратных комплексах, имеющих функциональные, технические и (или) эксплуатационные характеристики, аналогичные характеристикам программно-аппаратных комплексов, применяемых субъектом критической информационной инфраструктуры на принадлежащих ему значимых объектах критической информационной инфраструктуры и не являющихся доверенными программно-аппаратными комплексами, уполномоченный орган направляет субъекту критической информационной инфраструктуры информацию о таких доверенных программно-аппаратных комплексах.
17. Субъект критической информационной инфраструктуры вносит изменения в план перехода:
а) в случае получения от уполномоченного органа уведомления, предусмотренного абзацем вторым пункта 15 настоящих Правил, - в течение 30 календарных дней со дня получения такого уведомления;
б) в случае внесения сведений о значимых объектах критической информационной инфраструктуры, не указанных в актуальной редакции утвержденного плана перехода, в реестр значимых объектов критической информационной инфраструктуры - в 4-месячный срок со дня получения уведомления от Федеральной службы по техническому и экспортному контролю о внесении сведений о таких объектах в реестр значимых объектов критической информационной инфраструктуры (при наличии у субъекта критической информационной инфраструктуры утвержденного плана перехода);
в) по решению субъекта критической информационной инфраструктуры, в том числе с учетом информации, указанной в пункте 16 настоящих Правил.
18. Внесение изменений в план перехода осуществляется путем утверждения плана перехода в новой редакции.
Копия утвержденного плана перехода в новой редакции направляется в уполномоченный орган в порядке и сроки, указанные в абзаце первом пункта 10 настоящих Правил, с указанием основания внесения изменений в план перехода в соответствии с пунктом 17 настоящих Правил.
19. Уполномоченный орган в течение 30 рабочих дней со дня получения копии плана перехода, утвержденного в новой редакции, принимает решение о включении сведений о плане перехода в отраслевой реестр планов перехода либо об отказе во включении сведений о плане перехода в отраслевой реестр планов перехода в соответствии с пунктами 13 - 15 настоящих Правил.
В случае внесения изменений в план перехода в соответствии с подпунктами "б" или "в" пункта 17 настоящих Правил и принятия уполномоченным органом решения о включении сведений о плане перехода, утвержденном в новой редакции, в отраслевой реестр планов перехода внесение изменений в отраслевой реестр планов перехода осуществляется путем изменения существующей реестровой записи, содержащей сведения о соответствующем плане перехода.
20. Уполномоченный орган в течение 10 рабочих дней со дня включения сведений о плане перехода (в том числе о плане перехода, утвержденном в новой редакции) в отраслевой реестр планов перехода направляет с соблюдением требований законодательства Российской Федерации о государственной тайне в организацию, определенную распоряжением Правительства Российской Федерации от 29 марта 2023 г. N 757-р научно-производственным объединением, специализирующимся на разработке, производстве, технической поддержке и сервисном обслуживании доверенных программно-аппаратных комплексов для критической информационной инфраструктуры, созданным в целях реализации Указа Президента Российской Федерации от 30 марта 2022 г. N 166 "О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации":
а) выписку из плана перехода, содержащую сведения, приведенные в разделах 3 и 4 плана перехода, по форме, предусмотренной приложением N 3 к настоящим Правилам;
б) сопроводительное письмо с указанием исключительно отраслевого реестра планов перехода, в который включены сведения о плане перехода, регистрационного номера плана перехода в отраслевом реестре планов перехода, даты утверждения актуальной редакции плана перехода и номера актуальной редакции плана перехода.
21. Субъекты критической информационной инфраструктуры начиная с 2026 года ежегодно, до 1 марта, направляют в уполномоченные органы с соблюдением требований законодательства Российской Федерации о государственной тайне отчет о ходе реализации субъектом критической информационной инфраструктуры плана перехода за предшествующий календарный год по форме согласно приложению N 5.
22. Уполномоченные органы начиная с 2026 года ежегодно, до 1 апреля, направляют в Министерство промышленности и торговли Российской Федерации выписку из отраслевого реестра планов перехода по состоянию на 31 декабря предшествующего календарного года по форме согласно приложению N 6 и отчет о ходе реализации отраслевого плана перехода за предшествующий календарный год по форме согласно приложению N 7.
Выписка и отчет, указанные в настоящем пункте, являются документами, содержащими служебную информацию ограниченного распространения, и имеют пометку "Для служебного пользования", если по решению уполномоченного органа им не присваивается гриф секретности.
23. Министерство промышленности и торговли Российской Федерации начиная с 2026 года ежегодно, до 1 мая, направляет в Правительство Российской Федерации сводную выписку из отраслевых реестров планов перехода по состоянию на 31 декабря предшествующего календарного года по форме согласно приложению N 8 и сводный отчет о ходе реализации отраслевых планов перехода за предшествующий календарный год по форме согласно приложению N 9.
Сводная выписка и сводный отчет, указанные в настоящем пункте, являются документами, содержащими служебную информацию ограниченного распространения, и имеют пометку "Для служебного пользования", если по решению Министерства промышленности и торговли Российской Федерации им не присваивается гриф секретности.
24. По запросу Аппарата Правительства Российской Федерации и (или) Министерства промышленности и торговли Российской Федерации уполномоченные органы представляют выписки из отраслевых реестров планов перехода в срок, установленный в таком запросе.
По запросу Аппарата Правительства Российской Федерации Министерство промышленности и торговли Российской Федерации представляет сводную выписку из отраслевых реестров планов перехода в срок, установленный в таком запросе.
25. Организация, указанная в пункте 20 настоящих Правил, начиная с 2025 года ежегодно, до 1 апреля, направляет в уполномоченные органы прогноз производства доверенных программно-аппаратных комплексов в Российской Федерации на текущий календарный год и 2 последующих календарных года.
26. В целях организации перехода субъектов критической информационной инфраструктуры на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры уполномоченными органами могут привлекаться отраслевые центры компетенций, в том числе созданные на базе организаций, подведомственных уполномоченным органам, или иные организации в порядке, предусмотренном законодательством Российской Федерации.