Что изменится в законе о КИИ: шесть ключевых поправок

С 1 сентября в закон о критической информационной инфраструктуре (187-ФЗ) вносится ряд изменений. Поправки касаются как круга субъектов, так и базовых требований к защите критической информационной инфраструктуры. Часть норм закрепляет уже действующие положения, другие вводят принципиально новые обязанности. При этом отдельные формулировки пока оставляют пространство для правовых разночтений – без разъяснений регуляторов здесь не обойтись.

1. Исключение ИП из числа субъектов КИИ

Индивидуальные предприниматели больше не считаются субъектами КИИ. Это нововведение вызывает немало вопросов – ведь ИП по-прежнему могут иметь лицензии и работать в сферах связи и здравоохранения, где использование ОКИИ вполне возможно. Значит, формально остается возможность обойти требования закона, передав ОКИИ в аренду ИП. Такая коллизия вряд ли останется без внимания – рынок ждет комментарии от ФСТЭК или обновление подзаконной базы.

2. Обязанность подключения к ГосСОПКА

Теперь к ГосСОПКА обязаны подключаться все органы государственной власти, за исключением прямо указанных в законе. Кроме того, допускается подключение и иных организаций, не являющихся субъектами КИИ. Однако критерии отбора таких организаций не раскрыты – это создает почву для разночтений и потребует дополнительной правоприменительной практики.

3. Закрепление полномочий Правительства и усиление роли отраслевых регуляторов

На уровне закона зафиксированы полномочия по утверждению перечней типовых ОКИИ, отраслевых признаков значимости и особенностей категорирования. Эти механизмы применяются и сейчас на основании постановления № 127, но теперь они становятся не просто методическими, а нормативными. Также стоит ожидать пересмотра и актуализации существующих методик категорирования, особенно в тех отраслях, где они давно не обновлялись или не были утверждены вовсе.

4. Уточнение состава сведений в реестре ЗОКИИ

В реестр значимых объектов теперь нужно будет указывать доменное имя и сетевой адрес. С учетом того, что порядок подачи данных регламентирован приказом ФСТЭК № 236, без его корректировки возникнет противоречие с новой редакцией закона. Скорее всего, обновление формы – вопрос времени.

5. Обязательное применение ПО из реестра российских программ

Теперь использование на ЗОКИИ разрешено только программному обеспечению из реестра российского ПО. Если раньше это ограничение касалось лишь отдельных сфер, то теперь оно распространяется на всех субъектов КИИ. Требование официально закреплено на уровне федерального закона и станет обязательным для исполнения.

6. Непрерывное взаимодействие с ГосСОПКА

Все субъекты КИИ, обладающие ЗОКИИ, обязаны обеспечить непрерывную техническую связь с системой ГосСОПКА. Это подразумевает подключение к инфраструктуре НКЦКИ по правилам, утвержденным приказом ФСБ № 281. Однако действующий приказ № 282 пока допускает альтернативные каналы связи, что создает нормативное расхождение. Можно ожидать его пересмотра в ближайшее время для приведения в соответствие с обновленным законом.

Комментарий Игоря Тарви, руководителя направления защиты объектов КИИ АО «ДиалогНаука»:

«Изменения в 187-ФЗ — шаг к систематизации регулирования в сфере КИИ. Законодатель закрепляет ранее действовавшие подходы и усиливает роль отраслевых регуляторов, делая их требования нормативно обязательными. В то же время часть нововведений требует дополнительной проработки: неясен статус ИП в контексте владения ОКИИ, остаются вопросы по порядку подключения к ГосСОПКА для новых категорий участников, а также по техническому исполнению требований. Учитывая сжатые сроки, субъектам КИИ уже сейчас стоит оценить, как изменения повлияют на их процессы, и начать подготовку к корректировке внутренней документации и технической инфраструктуры.»