Заключение Комитета Государственной Думы Федерального Собрания Российской Федерации по информационной политике, информационным технологиям и связи на проект федерального закона N 581689-8 "О внесении изменений в Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации" (в части уточнения требований по категорированию объектов критической информационной инфраструктуры), внесенный Правительством Российской Федерации

Досье на проект федерального закона

Комитет Государственной Думы по информационной политике, информационным технологиям и связи рассмотрел внесенный Правительством Российской Федерации проект федерального закона N 581689-8 "О внесении изменений в Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации" (в части уточнения требований по категорированию объектов критической информационной инфраструктуры) и отмечает следующее.

Законопроектом вносятся изменения в Федеральный закон от 26 июля 2017 года N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", наделяющие Правительство Российской Федерации (в банковской сфере и иных сферах финансового рынка - по согласованию с Банком России) полномочиями по установлению требований к используемым на значимых объектах критической информационной инфраструктуры программному обеспечению и радиоэлектронной продукции, в том числе происходящих из иностранных государств, а также по установлению порядка и сроков перехода субъектов критической информационной инфраструктуры на преимущественное использование российского программного обеспечения и отечественной радиоэлектронной продукции на принадлежащих им значимых объектах критической информационной инфраструктуры. Кроме того, уточняется порядок категорирования объектов критической информационной инфраструктуры.

Отмечаем, что дополнение Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" терминами "российское программное обеспечение", "отечественная радиоэлектронная продукция" требует определения критериев отнесения указанных программ и оборудования к российским и отечественным соответственно. Аналогичное замечание касается термина "программное обеспечение и радиоэлектронная продукция, происходящие из иностранных государств", которое ранее законодательстве не использовалось. Кроме того, неопределенность термина "преимущественное использование российского программного обеспечения и отечественной радиоэлектронной продукции, в том числе телекоммуникационного оборудования и программно-аппаратных комплексов" субъектами критической информационной инфраструктуры на объектах критической информационной инфраструктуры повлечет усмотрительный характер реализации данной нормы и произвольное толкование в правоприменительной практике.

Согласно статье 12.1 Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации" создан Единый реестр российских программ для электронных вычислительных машин и баз данных. В связи с этим полагаем необходимым скорректировать предлагаемый законопроектом подход, предусмотрев обязанность субъектов критической информационной инфраструктуры осуществить переход к использованию российского программного обеспечения и баз данных, сведения о которых включены в указанный Реестр, с учетом устанавливаемых Правительством Российской Федерации порядка и сроков.

Законопроектом вводится мониторинг представления субъектами критической информационной инфраструктуры актуальных и достоверных сведений об объектах такой инфраструктуры. Однако в законопроекте не определено, какой федеральный орган исполнительной власти будет осуществлять такой мониторинг. Полагаем, что включение в Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации" мониторинга представления субъектами критической информационной инфраструктуры вышеуказанных сведений нуждается в дополнительном обосновании, учитывая уже действующие положения данного Федерального закона в области осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры.

Кроме того, представляется нецелесообразным закрепление на уровне федерального закона нормы об учете при присвоении категории значимости объекту критической информационной инфраструктуры утверждаемых органами и организациями "методических указаний, регламентирующих отраслевые особенности категорирования объектов критической информационной инфраструктуры", "методических указаний, регламентирующих с учетом установленных перечней типовых отраслевых объектов критической информационной инфраструктуры и присвоения им категорий значимости" (проектируемые части 4 и 14 статьи 7 Федерального закона), поскольку такие "методические указания" являются предметом регулирования ведомственных нормативных актов.

Необходимо уточнить, о каких "российских юридических лицах" выполняющих "функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности" в законопроекте идет речь (проектируемая часть 13 статьи 7 Федерального закона). Согласно положениям Указа Президента Российской Федерации от 9 марта 2004 года N 314 "О системе и структуре федеральных органов исполнительной власти", полномочия по реализации государственной политики и нормативно-правовому регулированию осуществляют федеральные министерства.

Также полагаем целесообразным уточнить в законопроекте - распространяются его положения на все объекты критической информационной инфраструктуры, или только на значимые объекты.

С учетом изложенного, Комитет Государственной Думы по информационной политике, информационным технологиям и связи поддерживает проект федерального закона N 581689-8 "О внесении изменений в Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации" и рекомендует Государственной Думе принять его в первом чтении с учетом высказанных замечаний и предложений.

Председатель комитета

А.Е. Хинштейн