Обзор изменений в законодательстве за апрель 2025 года

7 апреля 2025 года официально опубликован Федеральный закон от 07.04.2025 № 58-ФЗ «О внесении изменений в Федеральный закон «О безопасности критической информационной инфраструктуры (далее – КИИ) Российской Федерации (далее – РФ)».

Положения закона направлены на расширение полномочий Правительства РФ. Согласно изменениям Правительство РФ будет устанавливать:

• перечни типовых отраслевых объектов КИИ;
• отраслевые особенности категорирования объектов КИИ, определяющие:

      o   порядок установления соответствия объекта КИИ критериям значимости;
      o   отраслевые признаки значимости объектов КИИ, соответствующие критериям значимости и показателям их значений;
      o   порядок расчета значений показателей критериев значимости с учетом особенностей функционирования объекта КИИ;

• требования к используемым на значимых объектах КИИ программно-аппаратным средствам;
• сроки и порядок перехода субъектов КИИ на использование на значимых объектах КИИ программного обеспечения (далее – ПО), включенного в реестр российского ПО;
• порядок осуществления мониторинга такого перехода.

Согласно изменениям из перечня субъектов КИИ исключаются индивидуальные предприниматели, субъекты КИИ при категорировании объектов КИИ должны будут учитывать отраслевые особенности. В перечни типовых отраслевых объектов КИИ будут включаться только типы информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, обладающие признаком значимости.
Обязанности субъектов КИИ в сфере обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ дополняются следующими обязанностями:

• использовать на значимых объектах КИИ ПО:

     o   включенное в реестр российского ПО;
     o   которое используется в соответствующих требованиям о защите информации ГИС и иных информационных системах государственных органов, унитарных предприятий, учреждений;

• осуществлять непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ.

Закон вступает в силу с 1 сентября 2025 года.

В связи с изменениями в Федеральном законе от 26.07.2017 № 187-ФЗ «О безопасности КИИ РФ», согласно которым при категорировании объектов КИИ необходимо будет учитывать отраслевые особенности объектов КИИ, Министерство цифрового развития, связи и массовых коммуникаций РФ опубликовало «Методические указания по категорированию объектов КИИ, принадлежащих субъектам КИИ, осуществляющим деятельность в отрасли связи».

• Указания учитывают перечни типовых отраслевых объектов КИИ, функционирующих в сфере связи, и содержат особенности категорирования объектов КИИ и присвоения категории значимости таким объектам КИИ. В документе предусмотрено подробное описание всех этапов проведения категорирования объектов КИИ.

Федеральная служба по техническому и экспортному контролю России представила для общественного обсуждения проект приказа «О внесении изменений в форму направления сведений о результатах присвоения объекту КИИ одной ‎из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, утвержденную приказом ФСТЭК России ‎от 22.12.2017 № 236».

В сведения об объекте КИИ предлагается включить:

• наименование типового отраслевого объекта КИИ, которому соответствует объект;
• доменное имя и сетевой адрес объекта;

В сведения о программных и программно-аппаратных средствах, используемых на объекте КИИ, при указании:

• наименования применяемых программно-аппаратных средств добавить описание моделей и производителей пользовательских компьютеров, серверов, телекоммуникационного оборудования, средств беспроводного доступа, иных средств;
• средств защиты информации (далее – СрЗИ) добавить наименования моделей и производителей СрЗИ.

Общественное обсуждение проекта завершилось 9 мая 2025 года.