Комментарии Аналитического центра УЦСБ к Указу Президента по импортозамещению

Тема импортозамещения актуальна уже давно. Еще 01.04.2015 был принят Приказ Минкомсвязи России №96, утверждающий план импортозамещения программного обеспечения (далее – ПО). Импортозамещение в критической информационной инфраструктуре (далее – КИИ) также обсуждается не первый год – еще в мае 2020 года были опубликованы проекты нормативных правовых актов (проект Указа Президента, проект Постановления Правительства, далее – проекты документов), обязывающие всех субъектов КИИ перейти на отечественное ПО и оборудование, затем доработанные проекты были опубликованы в октябре 2020 года и феврале 2021 года. 

Субъектами КИИ признаются организации, осуществляющие деятельность в сферах, установленных Федеральным законом от 26.07.2017 №187-ФЗ (в частности, металлургическая промышленность, здравоохранение, оборонная промышленность и пр. – всего 13 сфер), имеющие информационные системы, автоматизированные системы управления, информационно-телекоммуникационные сети).

Однако проекты документов остались не принятыми, так как получили отрицательное заключение Минэкономразвития по результатам оценки регулирующего воздействия.

В дальнейшем у федеральных органов сформировалась позиция в части импортозамещения, заключающаяся в том, что необходимо регулировать переход на отечественное ПО и оборудование не подзаконным актом, а отдельным федеральным законом. Проект федерального закона опубликован не был. Кроме провозглашения в июле 2021 года приоритетного использования отечественных информационных технологий и оборудования в Стратегии национальной безопасности (п.57 пп.13), иных документов в части импортозамещения не было, нормотворческая деятельность по вопросу импортозамещения во второй половине 2021 года затормозилась.

Отметим, что для сертификации средств защиты информации еще в 2020 году приказом ФСТЭК России от 02.06.2020 №76 (п.12.2) была установлена обязанность реализовать аппаратные средства на базе российских решений. П.12.2 вступил в силу с 01.01.2022, теперь те решения, которые реализованы на импортной аппаратной платформе, не могут быть сертифицированы.

В связи со сложившейся геополитической обстановкой сейчас многие организации так или иначе столкнулись с вынужденным импортозамещением: некоторые иностранные решения, применяемые в России, перестали полноценно функционировать – продлить подписки на иностранное ПО не получается, с обновлениями также возникают проблемы. Например, компания VMware приостановила все продажи, поддержки и сервисы в России, отозвала учетные записи пользователей техподдержки. Компания Microsoft объявила о приостановке продаж новых продуктов в России, действующие подписки еще работают, но возникают сложности с оплатой новых продуктов. Также компания SAP сообщила о приостановке деятельности и продаж в России, при этом техническая поддержка пользователей и обновления для текущих клиентов пока сохраняются. В связи с чем вопрос импортозамещения снова вышел на первое место.

30.03.2022 был официально опубликован Указ Президента Российской Федерации № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации» (далее – Указ).

С учетом упомянутых выше проектов документов 2020 и 2021 года по импортозамещению, принятие нового Указа не стало сюрпризом. Субъекты КИИ с мая 2020 года ожидали утвержденный нормативный акт, регулирующий переход на отечественное ПО и оборудование. Следует также отдельно обратить внимание, что предыдущие проекты документов распространяли свое действие на всех субъектов КИИ вне зависимости от наличия у них значимых объектов КИИ. По результатам оценки регулирующего воздействия Минэкономразвития в своем отрицательном заключении дало рекомендации, в частности, по распространению сферы действия проектов документов только на значимые объекты КИИ.

Подробнее о предыдущих проектах документов в части импортозамещения можно почитать в обзорах изменений законодательства, публикуемых компанией УЦСБ (обзоры: май 2020 года, февраль 2021 года, апрель 2021 года).

Под действие Указа попадают практически все субъекты критической КИИ, которые осуществляют закупки по Федеральному закону от 18.07.2011 №223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц» (далее – 223-ФЗ), для принадлежащих им значимых объектов КИИ. К таким организациям относятся компании с государственным участием, например, это Роскосмос, Ростех, Роснано, Газпром, Роснефть, РЖД и пр., также 223-ФЗ распространяется на некоторые другие типы организаций, например, на бюджетные учреждения (больницы, ВУЗы, подведомственные учреждения органов власти и пр.). Исчерпывающий перечень организаций определен в ст.1 223-ФЗ, для них введен термин «заказчики» (далее, как 223-ФЗ, мы будем называть их заказчиками).

Следует заметить, что принятый Указ учитывает заключение Минэкономразвития к предыдущим непринятым документам, то есть распространяет свое действие не на всех субъектов КИИ, а только на часть из них – на тех, кто выступает заказчиками в закупках по 223-ФЗ. Кроме того, Указ распространяется только на значимые объекты КИИ.

Значимый объект КИИ – объект КИИ, которому присвоена одна из категорий значимости (всего их три, самая высокая – первая, самая низкая – третья). Объекты КИИ признаются значимыми или незначимыми комиссией самих организаций – субъектов КИИ. Категорирование обязаны провести все субъекты КИИ, процедура урегулирована Постановлением Правительства от 08.02.2018 №127. Документы установленной формы подлежат отправке во ФСТЭК России по каждому объекту КИИ, подлежащему категорированию. ФСТЭК России ведет реестр всех значимых объектов КИИ.

Что означает принятие Указа для заказчиков по 223-ФЗ? Уже со вчерашнего дня заказчики не могут проводить закупку иностранного оборудования и ПО для использования их на значимых объектах КИИ без согласования с уполномоченным органом власти, который будет определен Правительством РФ в течение месяца, как и правила согласования таких закупок. Например, сейчас компания Газпром (в том числе ее дочерние общества) или государственная больница фактически не имеют возможности легитимно закупать иностранное оборудование для их установки в значимых объектах КИИ, это касается любого оборудования – серверы, принтеры, межсетевые экраны. Однако для закупки этого же оборудования в целях их использования на незначимых объектах КИИ, например, в системе электронной почты или документооборота, такого запрета нет.

Указ также распространяет этот запрет на закупку услуг, необходимых для использования иностранного ПО на значимых объектах КИИ заказчиков, то есть услуги по установке ранее закупленного иностранного ПО или техническому обслуживанию имеющегося у заказчиков иностранного оборудования на значимых объектах КИИ без соблюдения процедуры согласования теперь также не удастся закупить.

В дополнение к этому, с 1 января 2025 г. органам государственной власти и заказчикам запрещается использовать иностранное ПО на принадлежащих им значимых объектах КИИ. Таким образом, у указанных организаций есть менее трех лет для формирования планов по импортозамещению на значимых объектах КИИ.

Можно ли теперь закупать иностранное ПО и оборудование, необходимое заказчикам? Если предполагается закупка ПО и оборудования, необходимого для установки на значимых объектах КИИ, то такая закупка сейчас нелегитимна. Мы рекомендуем дождаться утверждения Правительством РФ правил согласования таких закупок, либо рассмотреть вопрос осуществления закупок в рамках положений иных законодательных актов (не по №223-ФЗ), если организации обладают таким правом. Если закупаемое иностранное ПО и оборудование не планируется к установке на значимые объекты КИИ, то запреты к такой закупке Указом не установлены. 

Явно отметим, что Указ на текущий момент не распространяется на:

• иные субъекты КИИ, не осуществляющие закупки по 223-ФЗ;
• организации с муниципальным участием, осуществляющие закупки по 223-ФЗ;
• незначимые объекты КИИ, принадлежащие любым субъектам КИИ (в т.ч. компаниям с госучастием).

Также отметим, что в соответствии с Указом, Правительство РФ в течение полугода должно реализовать комплекс мероприятий, направленных на обеспечение преимущественного применения всеми субъектами КИИ отечественной продукции на значимых объектах КИИ. В связи с чем субъектам КИИ необходимо иметь ввиду курс на импортозамещение: если планируются закупки ПО или оборудования для значимых объектов КИИ, то уже сейчас рекомендуем рассматривать приобретение отечественных решений. Отметим, что в текущих формулировках Указа термин «преимущественное применение» носит неопределенный характер. Предполагаем, что в дальнейшем нормативные акты Правительства РФ уточнят такую формулировку.

Таким образом, рассматриваемый Указ вводит ограничения исключительно на закупку иностранного ПО и оборудования, проводимую заказчиками по 223-ФЗ, в целях использования иностранной продукции на значимых объектах КИИ. В течение месяца ожидаем выхода новых нормативных актов Правительства РФ, разъясняющих правила согласования таких закупок. Также в ближайшие полгода Правительство РФ должно разработать дополнительные нормативные правовые акты в части импортозамещения на значимых объектах всех субъектов КИИ, не только компаний с госучастием.