Новости в сфере сертификации и декларирования

Принят закон об импортозамещении зарубежного софта

2025-04-11 11:00

Федеральный закон № 58‑ФЗ от 7 апреля 2025 года: что меняется для бизнеса в сфере КИИ

7 апреля 2025 года Президент РФ подписал Федеральный закон № 58‑ФЗ «О внесении изменений в Федеральный закон „О безопасности критической информационной инфраструктуры Российской Федерации“». Документ вступает в силу с 1 сентября 2025 года и задаёт новые правила для субъектов критической информационной инфраструктуры (КИИ). Разберём ключевые положения и дадим практические рекомендации.

Что изменилось: основные нововведения

  1. Обязательный переход на отечественное ПО
  2. С 1 сентября 2025 года субъекты КИИ обязаны использовать:
  • программное обеспечение, включённое в Единый реестр российских программ для ЭВМ и баз данных;
  • программно‑аппаратные комплексы (ПАК) и средства защиты информации (СрЗИ), соответствующие требованиям Правительства РФ.
  1. Исключение: ПО и ПАК, уже применяемые в государственных и муниципальных информационных системах (ГИС, МИС, ЕГРН и др.), можно продолжать использовать, но с постепенным переходом на российские аналоги.
  2. Новые полномочия Правительства РФ
  3. Правительство получило право:
  • утверждать перечни типовых объектов КИИ по отраслям;
  • устанавливать сроки и порядок перехода на отечественное ПО и ПАК;
  • определять требования к программно‑аппаратным средствам на объектах КИИ (в соответствии с постановлением Правительства от 22.08.2022 № 1478);
  • регулировать мониторинг исполнения требований.
  1. Исключение ИП из субъектов КИИ
  2. Индивидуальные предприниматели больше не относятся к субъектам КИИ. Это снижает административную нагрузку на малый бизнес.
  3. Расширение полномочий ФСБ
  4. ФСБ теперь:
  • руководит работами по предотвращению, выявлению и ликвидации последствий компьютерных атак на объекты КИИ;
  • утверждает требования к техническим средствам защиты информации;
  • устанавливает порядок информирования о компьютерных атаках и инцидентах;
  • вправе запрашивать и обрабатывать данные о состоянии защиты КИИ.
  1. Уточнение процедур категорирования
  • категорирование объектов КИИ стало более чётким: теперь оно обязательно только для потенциально значимых систем;
  • введён порядок актуализации категории при изменении параметров объекта или появлении новых угроз;
  • разрешено электронное взаимодействие (подача уведомлений, актов категорирования через специализированные сервисы).

Кто относится к субъектам КИИ

С 1 сентября 2025 года к субъектам КИИ относятся:
  • федеральные и региональные органы власти;
  • государственные и муниципальные учреждения (больницы, школы, МФЦ);
  • государственные и муниципальные унитарные предприятия (ГУПы, МУПы);
  • хозяйственные общества с госучастием (при контрольном пакете акций);
  • иные юридические лица, владеющие объектами КИИ.

Ответственность за нарушения

  • Административная (ст. 13.12.1 КоАП): штраф до 500 000 рублей для юрлиц, до 50 000 рублей для должностных лиц.
  • Уголовная (ст. 274.1 УК): лишение свободы до 10 лет при серьёзных нарушениях, повлёкших ущерб КИИ.

Рекомендации для бизнеса

Если ваша организация относится к субъектам КИИ, рекомендуем:
  1. Провести инвентаризацию
  • зафиксировать все объекты КИИ (сети, базы данных, системы автоматизации, серверы);
  • составить список используемого ПО и ПАК;
  • отметить, какие из них уже включены в реестр российского ПО и соответствуют требованиям ФСТЭК.
  1. Проверить категорию объектов
  • провести или актуализировать категорирование с учётом новых угроз;
  • подготовить акты категорирования, модели угроз, отчёты о состоянии защиты.
  1. Перейти на российское ПО и ПАК
  • определить приоритетные системы для замены (критические серверные приложения, базы данных, сетевое оборудование);
  • учесть, что с 1 марта 2026 года появится альтернативный вариант использования ПО из специального перечня для российских юрлиц.
  1. Наладить мониторинг и реагирование
  • организовать систему мониторинга инцидентов (SIEM, SOAR);
  • настроить журнал учёта событий и средства обнаружения атак;
  • при необходимости передать мониторинг на аутсорс компании с лицензией SOC.
  1. Обеспечить взаимодействие с госорганами
  • установить контакты с ФСТЭК и ФСБ;
  • определить ответственных за информирование об инцидентах и подготовку отчётов;
  • разработать план восстановления после инцидентов.
  1. Документировать процессы
  • оформить приказы, регламенты, инструкции по ИБ;
  • провести обучение персонала (особенно ИТ‑специалистов и ИБ‑подразделений).

Важные нюансы

  • Сертификация ПО. Обязательная сертификация по техрегламентам не требуется, но в ряде случаев нужен сертификат ФСТЭК.
  • Сроки. Переход на российское ПО должен начаться с 1 сентября 2025 года, но конкретные сроки для отраслей будут установлены Правительством.
  • Отчётность. Субъекты КИИ обязаны самостоятельно оценивать безопасность инфраструктуры и предоставлять отчётность в ФСТЭК и ФСБ.

Вывод

ФЗ № 58‑ФЗ усиливает требования к безопасности КИИ и ускоряет импортозамещение ПО. Чтобы избежать штрафов и оперативно адаптироваться к новым правилам:
  • проверьте, относится ли ваша организация к субъектам КИИ;
  • проведите аудит текущего ПО и ПАК;
  • начните переход на российские решения;
  • наладьте взаимодействие с регуляторами.
Актуальные нормативные акты:
  • Федеральный закон от 26.07.2017 № 187‑ФЗ «О безопасности критической информационной инфраструктуры РФ»;
  • Постановление Правительства от 22.08.2022 № 1478;
  • Единый реестр российского ПО ().