Переход значимых объектов КИИ на отечественный софт отложили на восемь лет

Минцифры предлагает ввести отдельные сроки перевода значимых объектов критической информационной инфраструктуры (ЗО КИИ) на российский отечественный софт. В то время как все субъекты КИИ первоначально должны были это сделать до 1 января 2025 г., а программно-аппаратные комплексы (ПАК) – до 1 января 2028 г. Для ЗО КИИ ранее отдельных сроков не было, на них распространялось общее правило.

Теперь же Минцифры готовит для таких объектов отдельные условия, сообщил «Интерфакс» 12 мая 2026 г. По информации информагентства, ЗО КИИ будут обязаны перейти на российское программное обеспечение (ПО) в несколько этапов – с 1 января 2028 г. по 1 января 2036 г. Зачем это делается и как это скажется на отрасли – в материале «Ведомости. Инноваций и технологий».

К указанному году

В 2022 г. президент России Владимир Путин подписал указ, согласно которому все объекты КИИ госкомпаний и госорганизаций, включая органы власти, с 1 января 2025 г. не смогут использовать ПО из недружественных стран. Правда, штрафы за непереход на отечественный софт законодательством пока не предусмотрены.

ЗО КИИ – это объекты с особым статусом, требующие повышенной защиты, объясняет директор по стратегическому развитию производителя электроники Fplus Станислав Поплавский. К ним, как правило, относятся системы диспетчерского управления на электростанциях, управления технологическими процессами (АСУ ТП) на химических комбинатах, управления движением поездов и др. Для них установлены более строгие требования с точки зрения безопасности и обеспечения их функционирования в соответствии с законодательством, например с приказом ФСТЭК России № 239, говорит он. Требования к ним строже, а процессы миграции – сложнее, чем у условно обычных объектов КИИ, и очевидно, что единый дедлайн для всех был нереалистичен, подчеркнул эксперт.

В планах Минцифры, на которые ссылается «Интерфакс», доля российского софта на объектах ЗО КИИ к 1 января 2028 г. должна составлять 100%. Но ведомство предлагает установить еще два предельных срока для перехода ЗО КИИ на отечественное ПО. Первый – для случаев, когда на объекте КИИ до 1 января 2026 г. был реализован особо значимый проект или если ЗО КИИ до 1 сентября 2027 г. был заключен контракт на разработку соответствующего российского ПО. Такие организации смогут переходить на отечественный софт до 1 января 2031 г.

Второй – для тех случаев, когда в течение 2026–2027 гг. субъект КИИ был привлечен к реализации особо значимых проектов, перечень которых определяет правительство, пишет «Интерфакс». Такие организации смогут не переходить на отечественные решения аж до 1 января 2036 г.

Если для ЗО КИИ не найдется подходящего отечественного софта, то организации, созданные до 2026 г., смогут искать нужное решение до 2031 г., а организации, созданные в период с 2026 по 2028 г., – до 2036 г.

«Ведомости. Инновации и технологии» направили запрос в Минцифры.

Сложности особо значимых

Сроки по переходу КИИ на отечественное оборудование проваливались, отмечает бизнес-партнер по кибербезопасности Cloud.ru Юлия Липатникова. Она объясняет это сложностями с внедрением софта. Одно дело – заменить офисный пакет, другое – SCADA-систему или АСУ ТП непрерывного цикла, где остановка на перевод грозит коллапсом производства, говорит она.

Выделение отдельных сроков для ЗО КИИ – это следствие взросления рынка и понимания реальных рисков, отмечает председатель совета по противодействию технологическим правонарушениям КС НСБ России Игорь Бедеров. Значимые объекты – это не просто серверы с базами данных, а целое ядро государства, утверждает эксперт. Их вывод из строя грозит не утечкой данных, а физическим ущербом, экологическими катастрофами и гибелью людей. И именно поэтому сроки необходимо расширять, добавил он.

По оценке Ассоциации разработчиков программных продуктов (АРПП) за ноябрь 2025 г., на отечественный софт перешли порядка 40–45% субъектов КИИ. Наибольшую сложность у многих по-прежнему вызывает переход на отечественные программно-аппаратные решения, особенно в части «железа», указано на сайте ассоциации.

Производственный цикл может строиться вокруг оборудования, выпущенного 10–15 лет назад, настаивает Бедеров, а написать новую прошивку, которая не «уронит» устаревший, но работающий аппаратный «зоопарк», – задача на порядок сложнее создания продукта с нуля. Но российские компании-флагманы, как «Лаборатория Касперского» с KasperskyOS, ГК «Астра», «Базальт СПО», компании – интеграторы промышленных решений уже предлагают конкурентоспособные продукты, подчеркивает Бедеров. Но если закрыть базовые потребности в SCADA и общесистемном ПО рынок в состоянии, то создание нишевого инженерного софта и прошивок для специфических микропроцессоров уже вызывает серьезные трудности, утверждает он.

Риски перехода

Импортозамещение необходимо по ряду причин: вендоры ушли, отключили облака, отозвали лицензии, компании работают на «зомби-софте» без обновлений, что создает благоприятные условия для эксплуатации уязвимостей, сетует Липатникова.

Однако тотальное удаление всего иностранного – утопия, предупреждает она. В АСУ ТП есть встроенный firmware-уровень, например прошивки контроллеров, который заменить пока нечем, говорит она. Речь должна идти о 100%-ном замещении верхнего уровня управления и защиты, что радикально снижает поверхность атаки, считает эксперт.

Стать полностью независимыми от зарубежного кода в каждом байте – утопия в глобализированном мире, согласен Бедеров. Но тотально убрать неуправляемое иностранное ПО с критически значимых узлов – абсолютно реально и критически необходимо с точки зрения безопасности, говорит он.

Риск переноса сроков, безусловно, существует и он уже реализовывался не раз, отмечает Бедеров. Главный риск здесь – эффект «крика про волков» и, если бизнес привыкнет, что любой дедлайн сдвигается после серии коллективных писем о неготовности, у IТ-компаний действительно может пропасть стимул дожимать продукт до идеала, резюмировал он.