О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации
ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ
ПОСТАНОВЛЕНИЕ
от 14 ноября 2023 г. № 1912
МОСКВА
О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации
Во исполнение пункта 2 Указа Президента Российской Федерации от 30 марта 2022 г. № 166 "О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации" Правительство Российской Федерации постановляет:
1. Утвердить прилагаемые Правила перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации.
2. Установить, что:
переход субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации осуществляется до 1 января 2030 г. в соответствии с Правилами, утвержденными настоящим постановлением;
с 1 сентября 2024 г. не допускается использование субъектами критической информационной инфраструктуры Российской Федерации на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации программно-аппаратных комплексов, приобретенных субъектами критической информационной инфраструктуры Российской Федерации с 1 сентября 2024 г. и не являющихся доверенными программно-аппаратными комплексами, за исключением случаев отсутствия произведенных в Российской Федерации доверенных программно-аппаратных комплексов, являющихся аналогами приобретенных субъектами критической информационной инфраструктуры Российской Федерации программно-аппаратных комплексов. Подтверждением отсутствия произведенных в Российской Федерации доверенных программно-аппаратных комплексов, являющихся аналогами приобретенных субъектами критической информационной инфраструктуры Российской Федерации программно-аппаратных комплексов, являются заключения об отнесении продукции к промышленной продукции, не имеющей произведенных в Российской Федерации аналогов, выданные Министерством промышленности и торговли Российской Федерации в соответствии с Правилами отнесения продукции к промышленной продукции, не имеющей произведенных в Российской Федерации аналогов, утвержденными постановлением Правительства Российской Федерации от 20 сентября 2017 г. № 1135 "Об отнесении продукции к промышленной продукции, не имеющей произведенных в Российской Федерации аналогов, и внесении изменений в некоторые акты Правительства Российской Федерации".
3. Определить, что федеральными органами исполнительной власти и российскими юридическими лицами, ответственными за организацию перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации в соответствующих сферах (областях) деятельности (далее - уполномоченные органы) , являются:
Министерство здравоохранения Российской Федерации - в сфере здравоохранения;
Министерство науки и высшего образования Российской Федерации - в сфере науки;
Министерство транспорта Российской Федерации - в сфере транспорта;
Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации - в сфере связи;
Министерство энергетики Российской Федерации - в сферах энергетики и топливно-энергетического комплекса;
Министерство промышленности и торговли Российской Федерации - в области оборонной, горнодобывающей, металлургической и химической промышленности;
Министерство финансов Российской Федерации - в банковской сфере и иных сферах финансового рынка (за исключением вопросов организации перехода субъектов критической информационной инфраструктуры Российской Федерации, являющихся кредитными организациями или некредитными финансовыми организациями, на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации) ;
Федеральная служба государственной регистрации, кадастра и картографии - в сфере государственной регистрации прав на недвижимое имущество и сделок с ним;
Государственная корпорация по атомной энергии "Росатом" - в области атомной энергии;
Государственная корпорация по космической деятельности "Роскосмос" - в области ракетно-космической промышленности;
Центральный банк Российской Федерации - в банковской сфере и иных сферах финансового рынка (в части вопросов организации перехода субъектов критической информационной инфраструктуры Российской Федерации, являющихся кредитными организациями или некредитными финансовыми организациями, на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации) .
4. Уполномоченным органам до 1 сентября 2024 г.:
определить должностное лицо в должности не ниже заместителя руководителя уполномоченного органа, ответственное за организацию перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации в соответствующих сферах (областях) деятельности;
утвердить планы организации перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации в соответствующих сферах (областях) деятельности.
5. Настоящее постановление вступает в силу со дня его официального опубликования, за исключением пунктов 1 и 2 настоящего постановления, которые вступают в силу с 1 сентября 2024 г. и действуют в течение 6 лет.
Председатель Правительства Российской Федерации М.Мишустин
УТВЕРЖДЕНЫ постановлением Правительства Российской Федерацииот 14 ноября 2023 г. № 1912
ПРАВИЛА перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации
1. Настоящие Правила определяют порядок перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации (далее - критическая информационная инфраструктура) .
2. Для целей настоящих Правил используются следующие понятия:
"программно-аппаратный комплекс" - радиоэлектронная продукция, в том числе телекоммуникационное оборудование, программное обеспечение и технические средства, работающие совместно для выполнения одной или нескольких сходных задач;
"доверенный программно-аппаратный комплекс" - программно-аппаратный комплекс, который соответствует одновременно всем критериям признания программно-аппаратных комплексов доверенными программно-аппаратными комплексами, указанным в приложении № 1;
"преимущественное применение доверенных программно-аппаратных комплексов" - применение субъектами критической информационной инфраструктуры на принадлежащих им значимых объектах критической информационной инфраструктуры доверенных программно-аппаратных комплексов, доля которых по состоянию на 31 декабря 2029 г. составляет 100 процентов в общем количестве программно-аппаратных комплексов, применяемых субъектами критической информационной инфраструктуры на принадлежащих им значимых объектах критической информационной инфраструктуры.
Иные понятия, используемые в настоящих Правилах, имеют значения, определенные Федеральным законом "О безопасности критической информационной инфраструктуры Российской Федерации", иными федеральными законами и нормативными правовыми актами Российской Федерации.
3. Федеральные органы исполнительной власти и российские юридические лица, ответственные за организацию перехода субъектов критической информационной инфраструктуры на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры в соответствующих сферах (областях) деятельности, определенные в соответствии с пунктом 3 постановления Правительства Российской Федерации от 14 ноября 2023 г. № 1912 "О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации" (далее - уполномоченные органы) , разрабатывают и утверждают планы организации перехода субъектов критической информационной инфраструктуры на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры в соответствующих сферах (областях) деятельности (далее - отраслевые планы перехода) по форме согласно приложению № 2.
Для каждой сферы (области) деятельности уполномоченного органа разрабатывается отдельный отраслевой план перехода.
Отраслевые планы перехода являются документами, содержащими служебную информацию ограниченного распространения, и имеют пометку "Для служебного пользования", если по решению уполномоченного органа им не присваивается гриф секретности.
4. Отраслевые планы перехода содержат:
а) план мероприятий по организации перехода субъектов критической информационной инфраструктуры на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры;
б) оценочные, прогнозные и фактические доли доверенных программно-аппаратных комплексов в общем количестве программно-аппаратных комплексов, применяемых субъектами критической информационной инфраструктуры на принадлежащих им значимых объектах критической информационной инфраструктуры.
5. Уполномоченные органы начиная с 2026 года ежегодно, до 1 мая, обеспечивают актуализацию отраслевых планов перехода.
Актуализация отраслевых планов перехода осуществляется путем утверждения уполномоченными органами отраслевых планов перехода в новой редакции после направления в Министерство промышленности и торговли Российской Федерации выписки и отчета, предусмотренных пунктом 22 настоящих Правил.
6. Уполномоченные органы в течение 20 рабочих дней со дня утверждения отраслевого плана перехода (в том числе отраслевого плана перехода в новой редакции) направляют в адрес субъектов критической информационной инфраструктуры, функционирующих в соответствующих сферах (областях) деятельности, которым на основании сведений, содержащихся в реестре значимых объектов критической информационной инфраструктуры, принадлежат значимые объекты критической информационной инфраструктуры, утвержденный отраслевой план перехода и уведомляют их о необходимости разработки планов перехода субъектов критической информационной инфраструктуры на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры (далее - план перехода) в соответствии с настоящими Правилами (в случае отсутствия у субъектов критической информационной инфраструктуры утвержденных планов перехода) .
7. Субъекты критической информационной инфраструктуры разрабатывают планы перехода по форме согласно приложению № 3.
8. Планы перехода содержат:
а) общие сведения о субъекте критической информационной инфраструктуры;
б) перечень значимых объектов критической информационной инфраструктуры, принадлежащих субъекту критической информационной инфраструктуры, сведения о которых содержатся в реестре значимых объектов критической информационной инфраструктуры;
в) сведения о программно-аппаратных комплексах, применяемых субъектом критической информационной инфраструктуры на принадлежащих ему значимых объектах критической информационной инфраструктуры;
г) плановые и фактические доли доверенных программно-аппаратных комплексов в общем количестве программно-аппаратных комплексов, применяемых субъектом критической информационной инфраструктуры на принадлежащих ему значимых объектах критической информационной инфраструктуры;
д) прогнозные объемы затрат субъекта критической информационной инфраструктуры на реализацию плана перехода.
9. Планы перехода утверждаются руководителями субъектов критической информационной инфраструктуры.
Планы перехода субъектов критической информационной инфраструктуры, являющихся учреждениями Государственной корпорации по атомной энергии "Росатом", акционерными обществами Государственной корпорации по атомной энергии "Росатом" и их дочерними обществами, а также подведомственными федеральными государственными унитарными предприятиями и федеральными государственными бюджетными учреждениями, связанными с реализацией полномочий по управлению атомной отраслью, утверждаются руководителями субъектов критической информационной инфраструктуры по согласованию с Государственной корпорацией по атомной энергии "Росатом".
Планы перехода субъектов критической информационной инфраструктуры, являющихся кредитными организациями или некредитными финансовыми организациями, утверждаются руководителями субъектов критической информационной инфраструктуры по согласованию с Центральным банком Российской Федерации.
10. Субъект критической информационной инфраструктуры в течение 10 рабочих дней со дня утверждения плана перехода направляет копию утвержденного плана перехода с соблюдением требований законодательства Российской Федерации о государственной тайне в уполномоченный орган, который определяется субъектом критической информационной инфраструктуры в соответствии со сферой (областью) деятельности субъекта критической информационной инфраструктуры и (или) основным видом экономической деятельности субъекта критической информационной инфраструктуры:
а) до 1 января 2025 г., если сведения об объектах критической информационной инфраструктуры, принадлежащих субъекту критической информационной инфраструктуры, включены в реестр значимых объектов критической информационной инфраструктуры по состоянию на 1 сентября 2024 г.;
б) в 4-месячный срок со дня получения уведомления от Федеральной службы по техническому и экспортному контролю о внесении сведений об объекте (объектах) критической информационной инфраструктуры в реестр значимых объектов критической информационной инфраструктуры, в случае присвоения объекту критической информационной инфраструктуры, принадлежащему субъекту критической информационной инфраструктуры, одной из категорий значимости после 1 сентября 2024 г.
11. Уполномоченные органы осуществляют формирование и ведение реестров планов перехода в соответствующей сфере (области) деятельности (далее - отраслевые реестры планов перехода) по форме согласно приложению № 4.
12. В ходе формирования и ведения отраслевых реестров планов перехода уполномоченными органами обеспечивается:
а) безопасность сведений, составляющих государственную тайну, содержащихся в планах перехода и отраслевых реестрах планов перехода, в соответствии с законодательством Российской Федерации о государственной тайне;
б) использование сведений о значимых объектах критической информационной инфраструктуры, содержащихся в планах перехода и отраслевых реестрах планов перехода, только в целях организации перехода субъектов критической информационной инфраструктуры на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры в соответствии с настоящими Правилами.
13. Уполномоченный орган в течение 30 рабочих дней со дня поступления от субъекта критической информационной инфраструктуры копии утвержденного плана перехода принимает решение о включении сведений о плане перехода в отраслевой реестр планов перехода либо об отказе во включении сведений о плане перехода в отраслевой реестр планов перехода.
14. Основаниями для принятия уполномоченным органом решения об отказе во включении сведений о плане перехода в отраслевой реестр планов перехода являются:
а) несоответствие плана перехода установленной форме;
б) предусмотренное планом перехода целевое значение доли доверенных программно-аппаратных комплексов в общем количестве программно-аппаратных комплексов, применяемых субъектом критической информационной инфраструктуры на принадлежащих ему значимых объектах критической информационной инфраструктуры по состоянию на 31 декабря 2029 г., составляет менее 100 процентов;
в) отсутствие в плане перехода сведений о значимых объектах критической информационной инфраструктуры, включенных в реестр значимых объектов критической информационной инфраструктуры, согласно выписке из реестра значимых объектов критической информационной инфраструктуры, полученной уполномоченным органом от Федеральной службы по техническому и экспортному контролю не ранее чем за 90 дней до дня поступления в уполномоченный орган от субъекта критической информационной инфраструктуры копии плана перехода;
г) несоответствие сведений о значимых объектах критической информационной инфраструктуры, содержащихся в плане перехода, сведениям, содержащимся в выписке, указанной в подпункте "в" настоящего пункта;
д) несоблюдение субъектом критической информационной инфраструктуры требований, предусмотренных пунктом 9 настоящих Правил.
15. В случае принятия решения о включении сведений о плане перехода в отраслевой реестр планов перехода уполномоченный орган в течение 5 рабочих дней со дня принятия такого решения включает соответствующие сведения в отраслевой реестр планов перехода и направляет субъекту критической информационной инфраструктуры уведомление о включении сведений о плане перехода в отраслевой реестр планов перехода с указанием регистрационного номера плана перехода в отраслевом реестре планов перехода, даты включения сведений об актуальной редакции плана перехода в отраслевой реестр планов перехода и номера редакции плана перехода.
В случае принятия решения об отказе во включении сведений о плане перехода в отраслевой реестр планов перехода уполномоченный орган в течение 5 рабочих дней со дня принятия такого решения направляет субъекту критической информационной инфраструктуры уведомление об отказе во включении сведений о плане перехода в отраслевой реестр планов перехода с указанием оснований для отказа во включении сведений о плане перехода в отраслевой реестр планов перехода, установленных пунктом 14 настоящих Правил.
16. В случае наличия у уполномоченного органа информации о доверенных программно-аппаратных комплексах, имеющих функциональные, технические и (или) эксплуатационные характеристики, аналогичные характеристикам программно-аппаратных комплексов, применяемых субъектом критической информационной инфраструктуры на принадлежащих ему значимых объектах критической информационной инфраструктуры и не являющихся доверенными программно-аппаратными комплексами, уполномоченный орган направляет субъекту критической информационной инфраструктуры информацию о таких доверенных программно-аппаратных комплексах.
17. Субъект критической информационной инфраструктуры вносит изменения в план перехода:
а