Проект Указания Банка России "О порядке осуществления Банком России контроля и мониторинга за соблюдением кредитными организациями реализации планов мероприятий кредитных организаций по переходу на преимущественное использование российского программного обеспечения, отечественных радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации и осуществления закупок иностранного программного обеспечения, радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов..."

1. Банк России на основании статьей 57, 575-1, 73, 731, 74 Федерального закона от 10.07.2002 N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)", в соответствии с законодательством Российской Федерации о деятельности кредитных организаций, решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от ___ N ___):

осуществляет контроль и мониторинг за соблюдением кредитными организациями реализации планов мероприятий кредитных организаций по переходу на преимущественное использование российского программного обеспечения, отечественных радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, согласованных Банком России в соответствии со статьей 575-1 Федерального закона от 10.07.2002 N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" (далее соответственно - планы мероприятий, Федеральный закон N 86-ФЗ), и осуществления закупок иностранного программного обеспечения, радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, а также закупок услуг, необходимых для их использования на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации (далее - закупки), в соответствии с заявками кредитных организаций на согласование закупок, согласованными Банком России в соответствии со статьей 575-1 Федерального закона N 86-ФЗ (далее - заявки на согласование закупок).

2. В целях мониторинга за соблюдением кредитными организациями планов мероприятий Банк России:

осуществляет сбор сведений об объектах информационной инфраструктуры кредитных организаций, применяемых в рамках технологических процессов, указанных в приложении к Положению Банка России от 12.01.2022 N 787-П "Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг" (далее - Положение Банка России N 787-П);

получает у федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации, информацию о категорировании кредитными организациями объектов критической информационной инфраструктуры;

осуществляет анализ рисков использования иностранного программного обеспечения, иностранной радиоэлектронной продукции и телекоммуникационного оборудования на значимых объектах критической информационной инфраструктуры (далее - анализ рисков);

рассматривает план мероприятий, разрабатываемый кредитной организацией, или изменения, предлагаемые кредитной организацией ко внесению в план мероприятий, и принимает решение о согласовании плана мероприятий (изменений в плане мероприятий) или формирует отказ в согласовании плана мероприятий (изменений в плане мероприятий) по результатам анализа рисков;

осуществляет сбор и анализ информации, подтверждающей обеспечение кредитными организациями перехода на преимущественное использование российского программного обеспечения, отечественных радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации в соответствии с согласованными Банком России планами мероприятий, указанной в приложении 1 к настоящему Указанию (далее - информация о реализации планов мероприятий), в том числе посредством направления запросов о предоставлении кредитными организациями запрашиваемой информации в указанные Банком России сроки посредством информационных ресурсов, размещенных на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" путем предоставления кредитным организациям доступа к личному кабинету, ведение которого осуществляется Банком России в установленном им порядке на основании статьи 731 Федерального закона N 86-ФЗ и рабочих встреч с уполномоченными представителями кредитных организаций;

анализирует сроки реализации кредитными организациями планов мероприятий на ежеквартальной основе и соответствие перечня объектов информационной инфраструктуры кредитной организации, применяемых в рамках технологических процессов, указанных в приложении к Положению Банка России N 787-П, перечню объектов информационной инфраструктуры, заявленному в плане мероприятий;

формирует заключение о выполнении плана мероприятий в установленные в плане сроки.

3. В целях контроля за соблюдением кредитными организациями реализации планов мероприятий Банк России:

запрашивает у кредитных организаций информацию о реализации планов мероприятий в соответствии со статьей 57 Федерального закона N 86-ФЗ;

анализирует информацию о реализации планов мероприятий, предоставляемую кредитными организациями;

проводит проверки кредитных организаций в соответствии со статьей 73 Федерального закона N 86-ФЗ;

в случае выявления нарушений кредитной организации требований о реализации планов мероприятий, предусмотренных статьей 575-1 Федерального закона N 86-ФЗ, составляет акт об обнаружении нарушения в деятельности кредитной организации;

на основании акта об обнаружении нарушения в деятельности кредитной организации применяет меры, в соответствии со статьей 74 Федерального закона N 86-ФЗ;

направляет запросы, рекомендации и требования (предписания) кредитным организациям в форме электронного документа путем размещения в личном кабинете кредитной организации, ведение которого осуществляется Банком России в установленном им порядке на основании статьи 731 Федерального закона N 86-ФЗ.

4. В целях мониторинга за соблюдением кредитными организациями осуществления закупок Банк России:

рассматривает заявки на согласование закупок на предмет соответствия плану мероприятий, а также на предмет наличия (отсутствия) рисков использования иностранного программного обеспечения, иностранной радиоэлектронной продукции и телекоммуникационного оборудования на значимых объектах критической информационной инфраструктуры (далее - риски);

в ходе анализа заявки на согласование закупок на предмет наличия (отсутствия) рисков учитывает следующие данные:

страна - производитель программного обеспечения;

возможность закупки объекта информационной инфраструктуры;

возможность осуществления технической поддержки объекта информационной инфраструктуры;

возможность автономной работы объекта информационной инфраструктуры;

возможность осуществления обновлений объекта информационной инфраструктуры;

запасы объекта информационной инфраструктуры;

возможность осуществления устранения уязвимостей в объекте информационной инфраструктуры;

наличие известного канала удаленного управления;

значимость объекта информационной инфраструктуры;

в случае соответствия заявки на согласование закупок плану мероприятий и отсутствия рисков согласовывает заявку на согласование закупок;

в случае несоответствия заявки на согласование закупок плану мероприятий и (или) наличия рисков вправе отказать в согласовании заявки на согласование закупок;

ведет учет согласованных и отклоненных заявок на согласование закупок.

5. В целях контроля за соблюдением кредитными организациями осуществления закупок Банк России:

запрашивает документы и информацию, подтверждающие осуществление кредитными организациями закупок в соответствии с согласованными Банком России заявками на согласование закупок, указанные в приложении 2 к настоящему Указанию (далее - информация об осуществлении закупок), в соответствии со статьей 57 Федерального закона N 86-ФЗ;

анализирует информацию об осуществлении закупок, предоставляемую кредитными организациями;

проводит проверки кредитных организаций в соответствии со статьей 73 Федерального закона N 86-ФЗ;

в случае выявления нарушений кредитной организации требований об осуществлении закупок, предусмотренных статьей 575-1 Федерального закона N 86-ФЗ, Банк России составляет акт об обнаружении нарушения в деятельности кредитной организации;

на основании акта об обнаружении нарушения в деятельности кредитной организации применяет меры в соответствии со статьей 74 Федерального закона N 86-ФЗ;

направляет запросы, рекомендации и требования (предписания) кредитным организациям в форме электронного документа путем размещения в личном кабинете кредитной организации, ведение которого осуществляется Банком России в установленном им порядке на основании статьи 731 Федерального закона N 86-ФЗ.

6. Настоящее Указание подлежит официальному опубликованию и вступает в силу по истечении 10 дней после дня его официального опубликования.

Приложение 1
к Указанию Банка России
от _________ N _________
"О порядке осуществления Банком России
контроля и мониторинга за соблюдением
кредитными организациями реализации планов
мероприятий кредитных организаций по
переходу на преимущественное использование
российского программного обеспечения,
отечественных радиоэлектронной продукции и

телекоммуникационного оборудования, в том
числе в составе программно-аппаратных
комплексов, на принадлежащих им значимых
объектах критической информационной
инфраструктуры Российской Федерации и
осуществления закупок иностранного
программного обеспечения, радиоэлектронной
продукции и телекоммуникационного
оборудования, в том числе в составе
программно-аппаратных комплексов, а также
закупок услуг, необходимых для их
использования на таких объектах"

Перечень информации, запрашиваемой Банком России, подтверждающей обеспечение кредитными организациями перехода на преимущественное использование российского программного обеспечения, отечественных радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации в соответствии с согласованными Банком России планами мероприятий

1. Сведения об объектах информационной инфраструктуры кредитных организаций, применяемых в рамках технологических процессов, указанных в приложении к Положению Банка России N 787-П, на которых используются и (или) планируются к использованию российское программное обеспечение, отечественные радиоэлектронная продукция и телекоммуникационное оборудование, в том числе в составе программно-аппаратных комплексов.

2. Сведения о программном обеспечении, радиоэлектронной продукции и телекоммуникационном оборудовании, в том числе в составе программно-аппаратных комплексов, используемых на принадлежащих кредитным организациям значимых объектах критической информационной инфраструктуры Российской Федерации.

3. Сведения о российском программном обеспечении, отечественных радиоэлектронной продукции и телекоммуникационном оборудовании, в том числе в составе программно-аппаратных комплексов, на преимущественное использование которых осуществлен и (или) планируется осуществить переход в соответствии с планом мероприятий.

4. Перечень фактических мероприятий, реализуемых и (или) планируемых к реализации кредитными организациями для обеспечения преимущественного использования российского программного обеспечения, отечественных радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации.

5. Сведения о фактических расходах кредитной организации на программное обеспечение, радиоэлектронную продукцию и телекоммуникационное оборудование, в том числе в составе программно-аппаратных комплексов, а также на услуги, необходимые для их использования, на принадлежащих кредитным организациям значимых объектах критической информационной инфраструктуры Российской Федерации.

6. Информация о фактических сроках и статусах выполнения пунктов плана мероприятий.

7. Информация о планируемой и фактической доле использования кредитной организацией российского программного обеспечения, отечественных радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, на принадлежащих ей значимых объектах критической информационной инфраструктуры Российской Федерации в общем объеме используемого программного обеспечения, радиоэлектронной продукции и телекоммуникационного оборудования на таких объектах.

8. Иная необходимая информация, подтверждающая фактическое выполнение кредитной организацией планов мероприятий или необходимость их изменения.

Приложение 2
к Указанию Банка России
от _________ N _________
"О порядке осуществления Банком России
контроля и мониторинга за соблюдением
кредитными организациями реализации планов
мероприятий кредитных организаций по
переходу на преимущественное использование
российского программного обеспечения,
отечественных радиоэлектронной продукции и

телекоммуникационного оборудования, в том
числе в составе программно-аппаратных
комплексов, на принадлежащих им значимых
объектах критической информационной
инфраструктуры Российской Федерации и
осуществления закупок иностранного
программного обеспечения, радиоэлектронной
продукции и телекоммуникационного
оборудования, в том числе в составе
программно-аппаратных комплексов, а также
закупок услуг, необходимых для их
использования на таких объектах"

Перечень информации, запрашиваемой Банком России, подтверждающей осуществление кредитными организациями закупок в соответствии с согласованными Банком России заявками на согласование закупок

1. Фактические сведения о закупках, содержащихся в заявке на согласование закупки, и их сроках.

2. Сведения о закупаемом и (или) закупленном кредитными организациями иностранном программном обеспечении, радиоэлектронной продукции и телекоммуникационном оборудовании, в том числе в составе программно-аппаратных комплексов, а также о закупаемых и (или) закупленных услугах, необходимых для их использования на принадлежащих кредитным организациям значимых объектах критической информационной инфраструктуры Российской Федерации, указанных в согласованном Банком России плане мероприятий.

3. Сведения о поставщиках и стоимости закупаемого и (или) закупленного кредитными организациями иностранного программного обеспечения, радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, а также закупаемых и (или) закупленных услугах, необходимых для их использования на принадлежащих кредитными организациям значимых объектах критической информационной инфраструктуры Российской Федерации.

4. Иная необходимая информация, подтверждающая фактическое осуществление закупок кредитной организацией.

Пояснительная записка
к проекту указания Банка России "О порядке осуществления Банком России контроля и мониторинга за соблюдением кредитными организациями реализации планов мероприятий кредитных организаций по переходу на преимущественное использование российского программного обеспечения, отечественных радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации и осуществления закупок иностранного программного обеспечения, радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, а также закупок услуг, необходимых для их использования на таких объектах" (далее - Проект указания)

Проект указания разработан Банком России в рамках реализации норм части третьей статьи 575-1 Федерального закона от 10.07.2002 N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" в редакции Федерального закона от 13.06.2023 N 243-ФЗ "О внесении изменений в Федеральный закон "О Центральном банке Российской Федерации (Банке России)" (далее - Федеральный закон N 86-ФЗ) в целях установления порядка осуществления Банком России контроля и мониторинга за соблюдением кредитными организациями реализации планов мероприятий кредитных организаций по переходу на преимущественное использование российского программного обеспечения, отечественных радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации (далее - планы мероприятий) и осуществления закупок иностранного программного обеспечения, радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, а также закупок услуг, необходимых для их использования на таких объектах (далее - закупки).

Проект указания устанавливает порядок контроля и мониторинга за соблюдением кредитными организациями реализации планов мероприятий и осуществления закупок.

Проектом указания определен перечень информации, запрашиваемый Банком России для последующего анализа с целью осуществления функций Банка России по мониторингу и контролю за соблюдением кредитными организациями реализации планов мероприятий и осуществления закупок.

Определен перечень данных, обрабатываемых Банком России в рамках процедуры анализа заявки на согласование Банком России закупок кредитными организациями иностранного программного обеспечения, радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, а также закупок услуг, необходимых для их использования на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, на предмет наличия (отсутствия) рисков использования иностранного программного обеспечения, радиоэлектронной продукции и телекоммуникационного оборудования на значимых объектах критической информационной инфраструктуры.

Требования проекта указания распространяются на кредитные организации, являющиеся владельцами значимых объектов критической информационной инфраструктуры.

Издание Указания не повлияет на операционную деятельность и не потребует доработки автоматизированных систем поднадзорных организаций.

Замечания и предложения принимаются до 27.09.2023 и направляются на следующие адреса электронной почты: chernodedai@cbr.ru, karaulovda@cbr.ru SokrutER@cbr.ru.