Минцифры готовит штрафы за нарушение перехода на доверенные ПАКи для КИИ

Минцифры планирует ввести новые штрафы за нарушения при переходе на доверенные программно‑аппаратные комплексы (ПАК) на объектах критической инфраструктуры (КИИ). Ведомство готовит соответствующие поправки в Кодекс об административных правонарушениях (КоАП) по поручению вице‑премьера Дмитрия Григоренко.

Из документа следует, что санкции будут действовать для ведомств, госкомпаний и организаций с госучастием, которые не перейдут на отечественные решения до 1 января 2030 года. Президент России ещё в 2022-м подписал указ, в соответствии с которому все значимые объекты КИИ госкомпаний и госорганизаций, включая органы власти, с 1 января 2025 года не могут применять ПО и «железо» из недружественных стран. Штрафы за непереход на доверенные ПАКи законодательством пока не предусмотрены. Сейчас каждый субъект КИИ фактически сам определяет, какие именно системы относятся к таким объектам.

Исчерпывающей методологии мониторинга по переходу на доверенные ПАКи также не предусмотрено. Процедуру определения комплексов проводит внутренняя комиссия Минцифры, а отчёт направляют в ФСТЭК. Согласно новым поправкам в КоАП, за несоблюдение порядка определения объектов КИИ и за неустранение ошибок после проверки регулятора их владельцев ждет штраф в размере от 10 тыс. до 50 тыс. рублей для должностных лиц и от 50 тыс. до 100 тыс. рублей для юрлиц.

За нарушение сроков или порядка перехода на российское ПО или доверенные ПАКи Минцифры предлагает ввести штрафы от 100 тыс. до 200 тыс. рублей для должностных лиц и от 300 тыс. до 700 тыс. рублей для юрлиц.

Министерство не исключало и введения оборотных штрафов для российских компаний, которые не классифицируют значимые объекты КИИ и не переведут их на российское ПО. Об этом в ноябре 2025 года говорил глава ведомства Максут Шадаев. Руководитель проектного офиса «Критическая информационная инфраструктура» госкорпорации «Росатом» Константин Смазнов также заявлял, что обсуждаемый размер оборотного штрафа — 0,1% от выручки компании. Но представитель Минцифры заверил, что «говорить о деталях пока рано», так как соответствующий законопроект только обсуждается с заинтересованными ведомствами в сфере их ведения.

Текущая релиз документа предусматривает именно установление новой административной ответственности, добавил представитель Минцифры. Собеседник уточнил, что сейчас идёт «завершающий этап перехода на отечественное ПО для органов власти и госкомпаний». Согласно данным Минцифры, к марту 2025 года более двух третей значимых объектов КИИ госорганов и госкомпаний уже перешли на отечественное ПО.

Так как чётких правил отнесения к той или иной категории нет, рост штрафов или введение штрафов в 0,1% от оборота может сыграть роль, но незначительную, рассуждает ресурс «Ведомостей» в IT‑компании. «Если регулятор не знает, кого и за что штрафовать, то такой подход теряет смысл», — считает он. По его словам, производительность подобных стимулов возможна только при прозрачности IT‑ландшафта КИИ для регуляторов и владельцев самих систем. Для этого необходимо параллельно разработать и внедрить стандарты инвентаризации таких IT‑ландшафтов, рассуждает эксперт. Такой подход позволит выявлять активы, которые всё ещё являются иностранными решениями, но о необходимости замены которых не знает даже сам собственник КИИ.

До 17% заказчиков сталкиваются со сложностями при внедрении новых комплексов, оценивает председатель совета Координационного совета негосударственной сферы безопасности России Игорь Бедеров. На начало 2025 года уровень фактического импортозамещения не превышал 40%, а по опросам участников рынка в ноябре прошлого года, лишь 7% компаний заявили, что целиком завершили процедура перехода на российское ПО и ПАКи, знает эксперт. Ужесточение ответственности в таком случае – вынужденная и своевременная мера, считает Бедеров.