«Красные линии» для российского импортозамещения

Минцифры России разработало проект постановления, устанавливающий сроки перевода значимых объектов критической информационной инфраструктуры (ЗО КИИ) на использование исключительно российского программного обеспечения (ПО). Согласно документу, полный переход должен быть завершён к 1 января 2028 года. Однако для отдельных случаев предусмотрены дополнительные сроки — 1 января 2031 года и 1 января 2036 года.

Для объектов, на которых до 1 января 2026 года были реализованы особо значимые проекты, или для тех, где до 1 сентября 2027 года заключен контракт на разработку российского ПО, первый дополнительный срок — 1 января 2031 года. Второй дополнительный срок — 1 января 2036 года — предназначен для объектов, на которых в 2026-2027 годах запущены значимые проекты. Эти сроки также распространяются на объекты, созданные до 1 января 2026 года и 1 января 2028 года, если для них нет необходимого российского ПО.

Для новых объектов КИИ, созданных после 1 января 2027 года, перевод на российское ПО должен быть завершен в течение пяти лет с момента вступления в силу изменений в перечень типовых объектов КИИ.

Федеральные министерства и ведомства, включая Банк России, госкорпорации «Роскосмос» и «Росатом», должны до 1 сентября 2026 года утвердить отраслевые планы перехода на российское ПО. В этих организациях должны быть назначены ответственные лица, не ниже уровня заместителя руководителя, за организацию процесса.

Как уточняет Интерфакс, субъектам КИИ, согласно Федеральному закону №187-ФЗ, относятся государственные органы, российские юридические лица и предприниматели, владеющие информационными системами, интеллектуальными транспортными системами и автоматизированными системами управления в различных сферах, включая здравоохранение, науку, транспорт, связь, энергетику, регистрацию недвижимости, финансовый сектор, ТЭК, атомную, оборонную, ракетно-космическую, горнодобывающую, металлургическую и химическую промышленность. Объекты КИИ делятся на три категории значимости, для которых должны быть созданы системы обеспечения информационной безопасности (СОИБ). С марта 2023 года границы ущерба, расцениваемого как значимый в случае киберинцидентов, были снижены. В перечень субъектов КИИ теперь включены не только банки, но и другие финансовые организации, а к социально значимым последствиям относятся не только нарушения транспортной инфраструктуры, но и работы транспортных средств.

Для ускорения перехода на российские IT и ИБ-решения президент Владимир Путин подписал указы № 166 и № 250. Первый указ предусматривал перевод с 1 января 2025 года объектов КИИ, принадлежащих госорганам и госкомпаниям, на российское ПО, а второй — переход всех значимых объектов КИИ на российские средства информационной безопасности.

Владельцы объектов КИИ, где продолжает использоваться иностранный софт, пытались обойти эти требования, занижая уровень значимости объектов, «дробя» информационные системы и т.п.

Федеральная служба по техническому и экспортному контролю (ФСТЭК) сообщила, что в 2025 году в ходе проверок более 700 значимых объектов КИИ было выявлено свыше 1,2 тысячи нарушений в области информационной безопасности, направлено более 2 тысяч требований об устранении нарушений и составлено 603 протокола об административных правонарушениях.

Летом 2025 года правительство поручило Минцифры, Минпромторгу и Российскому фонду развития информационных технологий (РФРИТ), а также индустриальным центрам компетенции (ИЦК), разработать предложения по приоритетному импортозамещению ПО для объектов КИИ. В частности, была поставлена задача разработать методику определения приоритетных направлений замещения зарубежных решений на российские аналоги для каждой отрасли. На основе этой методики отраслевые комитеты должны будут предложить формирование отраслевых IT-ландшафтов, включая типовые объекты КИИ и сроки их перевода на отечественное ПО.