Федеральный закон от 07.04.2025 N 58-ФЗ "О внесении изменений в Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации"
Федеральным законом уточняются требования, касающиеся категорирования объектов критической информационной инфраструктуры.
ИП исключены из числа субъектов критической информационной инфраструктуры.
К подразделениям, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, помимо подразделений и должностных лиц субъектов критической информационной инфраструктуры, отнесены иные органы и организации.
Расширяются полномочия Правительства РФ в области обеспечения безопасности критической информационной инфраструктуры. В частности, Правительство устанавливает перечни типовых отраслевых объектов критической информационной инфраструктуры и требования к используемым на значимых объектах критической информационной инфраструктуры программно-аппаратным средствам.
В перечни типовых отраслевых объектов критической информационной инфраструктуры включаются только типы информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, обладающие признаком значимости.
Перечни типовых отраслевых объектов критической информационной инфраструктуры подлежат пересмотру и дополнению на основании предложений ФСТЭК России или ФСБ России.
Субъекты критической информационной инфраструктуры, которым принадлежат значимые объекты критической информационной инфраструктуры, обязаны:
- использовать на значимых объектах критической информационной инфраструктуры программное обеспечение сведения о котором включены в единый реестр российских программ и которое используется в соответствующих требованиям о защите информации государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений;
- соблюдать требования к используемым на значимых объектах критической информационной инфраструктуры программно-аппаратным средствам;
- осуществлять непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы.
Обязанности субъектов критической информационной инфраструктуры, в том числе по взаимодействию с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы, распространяются также на руководителей государственных органов (за исключением ФСБ России, СВР России, ФСО России, ГУСП, ФСТЭК России), государственных унитарных предприятий, государственных учреждений, государственных фондов, государственных корпораций (компаний), иных российских юридических лиц, которые, если иное не предусмотрено международным договором, находятся под контролем РФ, или субъекта РФ, или контролируемых ими совместно или по отдельности лиц, в части информационных ресурсов, принадлежащих таким органам и юридическим лицам на праве собственности, аренды или ином законном основании. При этом под контролем понимается возможность определять решения, принимаемые юридическим лицом, в силу наличия права прямо или косвенно распоряжаться более чем 50% общего количества голосов, приходящихся на голосующие акции (доли), составляющие уставный капитал данного юридического лица.
К целям государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры отнесена проверка правильности отнесения субъектами критической информационной инфраструктуры принадлежащих им на праве собственности, аренды или ином законном основании объектов критической информационной инфраструктуры к значимым объектам критической информационной инфраструктуры.
Предусмотрен ряд переходных положений.
01.09.2025
