Цена на обороте: Минцифры готовит штрафы за просрочку перевода КИИ на российский софт

«Оборотные, к сожалению»

«Сейчас мы готовим соответствующий законопроект: ...должны быть штрафы для заказчиков, если они в установленные сроки на тех объектах КИИ, которые определены правительством, не перешли на российские решения. Будут штрафы и за то, что компания не классифицировала эти решения как объекты КИИ. В нашем понимании штрафы... оборотные, к сожалению», — заявил глава Минцифры Максут Шадаев на CNews Forum во вторник, 11 ноября (цитата по «Интерфаксу»). Размер штрафов сейчас обсуждается, компаниям, не переходящим на отечественное ПО, придется выплачивать их ежегодно.

КИИ — это объекты (системы, сети и базы данных), от функционирования которых зависит безопасность государства, национальная экономика и благосостояние граждан. К таковым, в частности, относятся сети операторов связи, банковская, транспортная, энергетическая и транспортная инфраструктура, системы здравоохранения, водоснабжения и водоотведения.

Ранее Минцифры подготовило проекты постановлений, по которым значимые объекты КИИ должны быть переведены на российский софт с 1 января 2028 года. При наличии объективных оснований по решению президиума правкомиссии по цифровому развитию срок может быть продлен, но не более чем до 1 декабря 2030 года.

Согласно проектам, также правкомиссия может установить иной срок, если в реестре российского ПО нет необходимого отечественного решения. При этом субъект КИИ должен реализовывать особо значимый проект по доработке российских IT-решений и дальнейшему их внедрению на предприятии, заместив иностранное ПО.

Еще одним случаем пролонгации срока внедрения российского софта на объектах КИИ является длительная процедура внедрения крупных IT-систем. В этом случае компаниям нужно до 1 сентября 2026 года подписать контракт, который будет предполагать завершение внедрения систем позднее 1 января 2028 года. Тогда компании отводится 48 месяцев на окончание внедрения российских решений.

Владимир Путин подписал закон, предусматривающий переход субъектов КИИ на преимущественное использование российского ПО, в апреле 2025 года. Ведомства должны до 1 июня 2026 года разработать и утвердить отраслевые планы перехода субъектов КИИ на отечественное ПО.

«В настоящее время идет завершающий этап перехода на отечественное ПО для органов власти и госкомпаний. Также все субъекты КИИ должны обеспечить переход на российское ПО на значимых объектах КИИ по 58-ФЗ, принятому в апреле 2025 года. Даты перехода для отраслей определит отдельный акт правительства», — заявили Forbes в Минцифры. Что касается законопроекта о введении оборотных штрафов для компаний, которые в установленный срок не перевели свои ЗОКИИ (значимые объекты) на российское ПО, то в настоящее время он «обсуждается с заинтересованными ведомствами и отраслью, и говорить о деталях пока рано», резюмировали в Минцифры. Вопрос, в каком размере или диапазоне предлагается ввести штрафы, там оставили без внимания. 

«Отсутствие аналогов, слабый функционал»

Forbes опросил экспертов и участников рынка о том, что они думают о возможной эффективности инициативы Минцифры.

Уровень импортозамещения сегодня серьезно различается по сегментам, замечает IT-архитектор практики «Технологическая информация» «Рексофт Консалтинг» Александр Черный. В КИИ банков доля отечественного ПО составляет 50–60%, тогда как в госкомпаниях — лишь 30–40%, приводит примеры он, несмотря на первоначальный срок до 1 января 2025 года. Эксперт имеет в виду указ президента №166 от 30 марта 2022 года «О мерах по обеспечению технологической независимости и безопасности КИИ»: по нему госкорпорациям, юрлицам с долей участия государства более 50%, субъектам естественных монополий и госорганам с 1 января 2025 года запрещается использовать иностранное ПО на принадлежащих им значимых объектах КИИ.

«Основные причины отставания — отсутствие российских аналогов, их слабая функциональность или несовместимость с инфраструктурой. Учитывая эти системные проблемы, законодательство было скорректировано: поправки в ФЗ-187 обязывают субъектов КИИ перейти на отечественное ПО в новые сроки, установленные правительством, — поясняет Черный. — Согласно проекту постановления, это 1 января 2028 года, а для отдельных объектов — 1 января 2035 года». Такой гибкий подход позволяет надеяться, что импортозамещение в КИИ будет завершено в новые сроки при условии устранения текущих технологических барьеров, полагает он.

По мнению генерального директора хостинг-провайдера RUVDS Никиты Цаплина, у государства фактически не осталось иных методов стимулирования перехода на отечественное ПО в контексте объектов КИИ. «Те же льготы на софт уже введены, но, очевидно, этого недостаточно. И с этой точки зрения введение штрафов — логичный шаг, — считает он. — Другой вопрос — чем замещать иностранные решения. Говорить о возможности полноценной замены преждевременно, тем и вызвана гибкость крайнего срока». Заместить тот же Autocad или SAP, по словам Цаплина, по-прежнему сложно, хотя попытки в этом направлении предпринимаются: «К слову, для поддержания стабильной работы одной только промышленности необходим перевод на российский софт свыше 800 бизнес-процессов. Но есть и позитивные тенденции: те же аэропорты успешно переходят на российские решения».

Также «логичным шагом» оборотные штрафы называет управляющий партнер ЮК «Зарцын и партнеры» Людмила Харитонова. «В том числе в свете текущей ситуации и сохраненных налоговых льгот. Я считаю, что дополнительно в ближайшее время или существенно усложнят вход в реестр [отечественного софта, который ведет Минцифры] поставщикам решений или закроют его на время. Одновременно мы ожидаем чистки реестра», — говорит она.

Если ввести ощутимый оборотный штраф в случае срыва установленных сверху сроков, это будет означать «изъятие определенного объема финансового ресурса», который компания могла бы направить на завершение перехода на отечественные решения, указывает директор по взаимодействию с органами государственной власти Postgres Professional Михаил Хазов. «Куда будут направлены изъятые у компании в таком случае средства, неизвестно, — продолжает он. — Возможно, есть смысл в дополнение к такой норме предложить механизм по возврату средств обратно в компанию при появлении хорошей, положительной динамики перехода на российские решения».

Архитектор по ИБ «Спикатела» Александр Бушуев видит в инициативе Минцифры стремление поддержать не только отечественных разработчиков ПО, но и стимулировать российские компании к отказу от иностранных технологий, «что в конечном счете повысит безопасность значимых объектов КИИ России». Введение оборотных штрафов подтолкнет субъектов КИИ навстречу российским разработчикам, говорит он. «Особенно эффективно это может сработать для компаний, которые не спешат вкладываться в замену ПО и ждут «дедлайна» в 2028 году. Введение штрафов сделает такую выжидательную позицию невыгодной: возможно, компаниям будет проще решиться на единовременные инвестиции в российское ПО, чем регулярно платить штрафы», — полагает Бушуев.

Не все участники IT-отрасли разделяют мнение о пользе подобных мер. Так, в Ассоциации больших данных (АБД, объединяет «Яндекс», VK, «Сбер», Газпромбанк, Т-Банк, Россельхозбанк, «Мегафон», «Ростелеком», Билайн, МТС, ВТБ, «Авито», HeadHunter, Точка Банк) заявили Forbes, что отсутствие единой методики и четких критериев категорирования делает корректное выполнение требований «затруднительным даже при добросовестном подходе бизнеса». «Сам процесс требует значительных трудозатрат и сбора больших объемов данных, что создает дополнительную административную и финансовую нагрузку на компании. Вместе с тем передача этой функции госорганам не решит проблему, а может усугубить ее из-за различий в трактовках и подходах», — полагают в организации.

Прежде чем вводить штрафы, в АБД считают важным сформировать «устойчивую методологическую базу»: утвердить единые правила, понятные критерии и прозрачные инструменты. «Только тогда подобные инициативы смогут работать как стимул, а не как источник неопределенности для участников рынка», — заключают в ассоциации.

Руководитель отдела корпоративных клиентов IT-интегратора «Телеком биржа» Дина Фомичева называет идею Минцифры «неоднозначной». «С одной стороны, понятно стремление государства ускорить переход объектов КИИ на российский софт. И конечно, какой-то положительный эффект в этом смысле будет, особенно в тех сегментах, где российские аналоги уже существуют и они конкурентоспособны, — рассуждает она. — С другой — одними штрафами проблему не решить: если в каком-то месте российских альтернатив иностранным решениям нет, штрафы не помогут их создать». Другое опасение — некоторые компании могут видеть в штрафах легализованную возможность не замещать иностранное ПО, просто заложив бюджет на штраф, продолжает Фомичева. «Штрафы — это мера, которая должна работать в комплексе с другими: поддержкой отечественных разработчиков, реализацией дорожных карт по внедрению российских аналогов ПО с реалистичными сроками и т.д.», — говорит она.

Теория и практика

Оборотные штрафы уже действуют в ряде отраслей. Так, в конце мая 2025 года вступили в силу поправки в Кодекс об административных правонарушениях (КоАП), вводящие такие санкции для компаний за утечки персональных данных. Так, компрометация персональных данных более 100 000 человек и/или более 1 млн идентификаторов влечет наложение на юридическое лицо штрафа в размере до 15 млн рублей. Повторение такого инцидента сулит компании уже штраф в размере от 1% до 3% совокупного размера годовой выручки. Если же произойдет повторная утечка персональных данных более 100 000 человек или же больше 1 млн идентификаторов, то и штраф составит от 1% до 3% совокупного размера суммы выручки, но не менее 20 млн рублей и не более 500 млн рублей.

Для оценки действенности подобных мер Александр Черный призывает посмотреть на результат введения оборотных штрафов за утечки персональных данных, ссылаясь на данные Минцифры. В частности, по словам Максута Шадаева на конференции «Сохранить все. Безопасность информации» в октябре 2025 года, число утечек персональных данных снижается: «С начала года в России зафиксировано всего 65, тогда как в прошлом году их было 135».

Несмотря на то что прошло относительно немного времени, уже можно сделать вывод, что угроза значительных финансовых взысканий (от 1% до 3% оборота за повторное нарушение) является существенным стимулом для компаний уделять достаточно внимания проблеме.

О том, что оборотные штрафы за утечки убедили российские компании усилить защиту, свидетельствует также недавнее исследование центра компетенций защиты данных ГК «Гарда». Согласно его данным, две трети (64%) российских компаний восприняли оборотные штрафы за утечки персональных данных как серьезный риск и уже предприняли шаги по усилению защиты информации. Еще 30% респондентов осознают существующие риски, но пока не пересмотрели свои подходы к защите, и лишь 5% опрошенных не считают штрафы значимой угрозой. Наиболее серьезно к изменениям отнесся крупный бизнес, который уже принял соответствующие меры.