Проект Указания Банка России "О порядке осуществления Банком России контроля и мониторинга за соблюдением некредитными финансовыми организациями реализации планов мероприятий некредитных финансовых организаций по переходу на преимущественное использование российского программного обеспечения, отечественных радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации и осуществления закупок иностранного программного обеспечения, радиоэлектронной продукции и телекоммуникационного оборудования..."

1. Банк России на основании статей 764-3, 765, 769 Федерального закона от 10.07.2002 N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)", части 7 статьи 25 Федерального закона от 07.02.2011 N 7-ФЗ "О клиринге, клиринговой деятельности и центральном контрагенте", части 6 статьи 25 Федерального закона от 21.11.2011 N 325-ФЗ "Об организованных торгах", пункта 2 статьи 11 Федерального закона от 05.03.1999 N 46-ФЗ "О защите прав и законных интересов инвесторов на рынке ценных бумаг", пункта 2 статьи 61.1 Федерального закона от 29.11.2001 N 156-ФЗ "Об инвестиционных фондах", пункта 5 статьи 17 Федерального закона от 20.07.2020 N 211-ФЗ "О совершении финансовых сделок с использованием финансовой платформы", части 3 статьи 16 Федерального закона от 02.08.2019 N 259-ФЗ "О привлечении инвестиций с использованием инвестиционных платформ и о внесении изменений в отдельные законодательные акты Российской Федерации", пункта 3 статьи 34.1 Федерального закона от 07.05.1998 N 75-ФЗ "О негосударственных пенсионных фондах", пункта 4 статьи 32.5-1 Закона Российской Федерации от 27.11.1992 N 4015-1 "Об организации страхового дела в Российской Федерации", подпунктов "а", "б" пункта 7.1 части 4 статьи 14 Федерального закона от 02.07.2010 N 151-ФЗ "О микрофинансовой деятельности и микрофинансовых организациях" и в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от _ N _):

осуществляет контроль и мониторинг за соблюдением некредитными финансовыми организациями реализации планов мероприятий некредитных финансовых организаций по переходу на преимущественное использование российского программного обеспечения, отечественных радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, согласованных Банком России в соответствии с частью первой статьи 764-3 Федерального закона от 10.07.2002 N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" (далее соответственно - планы мероприятий, Федеральный закон N 86-ФЗ) и осуществления закупок иностранного программного обеспечения, радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, а также закупок услуг, необходимых для их использования на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации (далее - закупки), в соответствии с заявками некредитных финансовых организаций на согласование закупок, согласованными Банком России в соответствии со статьей 764-3 Федерального закона N 86-ФЗ (далее - заявки на согласование закупок).

2. В целях мониторинга за соблюдением некредитными финансовыми организациями планов мероприятий Банк России:

осуществляет сбор сведений об объектах информационной инфраструктуры некредитных финансовых организаций, применяемых в рамках технологических процессов, указанных в приложении к Положению Банка России от 15.11.2021 N 779-П "Об установлении обязательных для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 761 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)", в целях обеспечения непрерывности оказания финансовых услуг (за исключением банковских услуг)" (далее - Положение Банка России N 779-П);

получает у федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации, информацию о категорировании некредитными финансовыми организациями объектов критической информационной инфраструктуры;

осуществляет анализ рисков использования иностранного программного обеспечения, иностранной радиоэлектронной продукции и телекоммуникационного оборудования на значимых объектах критической информационной инфраструктуры (далее - анализ рисков);

рассматривает план мероприятий, разрабатываемый некредитной финансовой организацией, или изменения, предлагаемые некредитной финансовой организацией ко внесению в план мероприятий, и принимает решение о согласовании плана мероприятий (изменений в план мероприятий) или формирует отказ в согласовании плана мероприятий (изменений в план мероприятий) по результатам анализа рисков;

осуществляет сбор и анализ информации, подтверждающей обеспечение некредитными финансовыми организациями перехода на преимущественное использование российского программного обеспечения, отечественных радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации в соответствии с согласованными Банком России планами мероприятий, указанной в приложении 1 к настоящему Указанию (далее - информация о реализации планов мероприятий), в том числе посредством направления запросов о предоставлении некредитными финансовыми организациями запрашиваемой информации в указанные Банком России сроки посредством информационных ресурсов, размещенных на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет", путем предоставления некредитным финансовым организациям доступа к личному кабинету, ведение которого осуществляется Банком России в установленном им порядке на основании статьи 769 Федерального закона N 86-ФЗ и рабочих встреч с уполномоченными представителями некредитных финансовых организаций;

анализирует сроки реализации некредитными финансовыми организациями планов мероприятий на ежеквартальной основе и соответствие перечня объектов информационной инфраструктуры некредитной финансовой организации, применяемых в рамках технологических процессов, указанных в приложении к Положению Банка России N 779-П, перечню объектов информационной инфраструктуры, заявленному в плане мероприятий;

формирует заключение о выполнении плана мероприятий в установленные в плане сроки.

3. В целях контроля за соблюдением некредитными финансовыми организациями планов мероприятий Банк России:

запрашивает у некредитных финансовых организаций информацию о реализации планов мероприятий;

анализирует информацию о реализации планов мероприятий, предоставляемую некредитными финансовыми организациями;

проводит проверки некредитных финансовых организаций в соответствии со статьей 765 Федерального закона N 86-ФЗ;

в случае выявления нарушений некредитной финансовой организацией требований о реализации планов мероприятий, предусмотренных статьей 764-3 Федерального закона N 86-ФЗ, составляет акт об обнаружении нарушения в деятельности некредитной финансовой организации;

на основании акта об обнаружении нарушения в деятельности некредитной финансовой организации применяет меры в соответствии со статьей 765 Федерального закона N 86-ФЗ, частью 7 статьи 25 Федерального закона от 07.02.2011 N 7-ФЗ "О клиринге, клиринговой деятельности и центральном контрагенте" (далее - Федеральный закон N 7-ФЗ), частью 6 статьи 25 Федерального закона от 21.11.2011 N 325-ФЗ "Об организованных торгах" (далее - Федеральный закон N 325-ФЗ), пунктом 2 статьи 11 Федерального закона от 05.03.1999 N 46-ФЗ "О защите прав и законных интересов инвесторов на рынке ценных бумаг" (далее - Федеральный закон N 46-ФЗ), пунктом 2 статьи 61.1 Федерального закона от 29.11.2001 N 156-ФЗ "Об инвестиционных фондах" (далее - Федеральный закон N 156-ФЗ), пунктом 5 статьи 17 Федерального закона от 20.07.2020 N 211-ФЗ "О совершении финансовых сделок с использованием финансовой платформы" (далее - Федеральный закон N 211-ФЗ), частью 3 статьи 16 Федерального закона от 02.08.2019 N 259-ФЗ "О привлечении инвестиций с использованием инвестиционных платформ и о внесении изменений в отдельные законодательные акты Российской Федерации" (далее - Федеральный закон N 259-ФЗ), пунктом 3 статьи 34.1 Федерального закона от 07.05.1998 N 75-ФЗ "О негосударственных пенсионных фондах" (далее - Федеральный закон N 75-ФЗ), пунктом 4 статьи 32.5-1 Закона Российской Федерации от 27.11.1992 N 4015-1 "Об организации страхового дела в Российской Федерации" (далее - Закон Российской Федерации N 4015-1), подпунктами "а", "б" пункта 7.1 части 4 статьи 14 Федерального закона от 02.07.2010 N 151-ФЗ "О микрофинансовой деятельности и микрофинансовых организациях" (далее - Федеральный закона N 151-ФЗ);

направляет запросы, рекомендации и требования (предписания) некредитным финансовым организациям в форме электронного документа путем размещения в личном кабинете некредитной финансовой организации, ведение которого осуществляется Банком России в установленном им порядке на основании статьи 769 Федерального закона N 86-ФЗ.

4. В целях мониторинга за соблюдением некредитными финансовыми организациями осуществления закупок Банк России:

рассматривает заявки на согласование закупок на предмет соответствия плану мероприятий, а также на предмет наличия (отсутствия) рисков использования иностранного программного обеспечения, иностранной радиоэлектронной продукции и телекоммуникационного оборудования на значимых объектах критической информационной инфраструктуры (далее - риски);

в ходе анализа заявки на согласование закупок на предмет наличия (отсутствия) рисков учитывает следующие данные:

страна - производитель программного обеспечения;

возможность закупки объекта информационной инфраструктуры;

возможность осуществления технической поддержки объекта информационной инфраструктуры;

возможность автономной работы объекта информационной инфраструктуры;

возможность осуществления обновлений объекта информационной инфраструктуры;

запасы объекта информационной инфраструктуры;

возможность осуществления устранения уязвимостей в объекте информационной инфраструктуры;

наличие известного канала удаленного управления;

значимость объекта критической информационной инфраструктуры;

в случае соответствия заявки на согласование закупок плану мероприятий и отсутствия рисков согласовывает заявку на согласование закупок;

в случае несоответствия заявки на согласование закупок плану мероприятий и (или) наличия рисков вправе отказывать в согласовании заявки на согласование закупок;

ведет учет согласованных и отклоненных заявок на согласование закупок.

5. В целях контроля за соблюдением некредитными финансовыми организациями осуществления закупок Банк России:

запрашивает документы и информацию, подтверждающие осуществление некредитными финансовыми организациями закупок в соответствии с согласованными Банком России заявками на согласование закупок, указанные в приложении 2 к настоящему Указанию (далее - информация об осуществлении закупок);

анализирует информацию об осуществлении закупок, предоставляемую некредитными финансовыми организациями;

проводит проверки некредитных финансовых организаций в соответствии со статьей 765 Федерального закона N 86-ФЗ;

в случае выявления нарушений некредитной финансовой организацией требований об осуществлении закупок, предусмотренных статьей 764-3 Федерального закона N 86-ФЗ, составляет акт об обнаружении нарушения в деятельности некредитной финансовой организации;

на основании акта об обнаружении нарушения в деятельности некредитной финансовой организации применяет меры в соответствии со статьей 765 Федерального закона N 86-ФЗ, частью 7 статьи 25 Федерального закона N 7-ФЗ, частью 6 статьи 25 Федерального закона N 325-ФЗ, пунктом 2 статьи 11 Федерального закона N 46-ФЗ, пунктом 2 статьи 61.1 Федерального закона N 156-ФЗ, пунктом 5 статьи 17 Федерального закона N 211-ФЗ, частью 3 статьи 16 Федерального закона N 259-ФЗ, пунктом 3 статьи 34.1 Федерального закона N 75-ФЗ, пунктом 4 статьи 32.5-1 Закона Российской Федерации N 4015-1, подпунктами "а", "б" пункта 7.1 части 4 статьи 14 Федерального закона N 151-ФЗ;

направляет запросы, рекомендации и требования (предписания) некредитным финансовым организациям в форме электронного документа путем размещения в личном кабинете некредитной финансовой организации, ведение которого осуществляется Банком России в установленном им порядке на основании статьи 769 Федерального закона N 86-ФЗ.

6. Настоящее Указание подлежит официальному опубликованию и вступает в силу по истечении 10 дней после дня его официального опубликования.

Приложение 1
к Указанию Банка России
от ________ N ______
"О порядке осуществления Банком России
контроля и мониторинга за соблюдением
некредитными финансовыми организациями
реализации планов мероприятий некредитных
финансовых организаций по переходу на

преимущественное использование российского

программного обеспечения, отечественных
радиоэлектронной продукции и
телекоммуникационного оборудования, в том
числе в составе программно-аппаратных
комплексов, на принадлежащих им значимых
объектах критической информационной
инфраструктуры Российской Федерации и
осуществления закупок иностранного
программного обеспечения, радиоэлектронной
продукции и телекоммуникационного
оборудования, в том числе в составе
программно-аппаратных комплексов, а также
закупок услуг, необходимых для их
использования на таких объектах"

Перечень информации, запрашиваемой Банком России, подтверждающей обеспечение некредитными финансовыми организациями перехода на преимущественное использование российского программного обеспечения, отечественных радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации в соответствии с согласованными Банком России планами мероприятий

1. Сведения об объектах информационной инфраструктуры некредитных финансовых организаций, применяемых в рамках технологических процессов, указанных в приложении к Положению Банка России N 779-П, на которых используются и (или) планируются к использованию российское программное обеспечение, отечественные радиоэлектронная продукция и телекоммуникационное оборудование, в том числе в составе программно-аппаратных комплексов.

2. Сведения о программном обеспечении, радиоэлектронной продукции и телекоммуникационном оборудовании, в том числе в составе программно-аппаратных комплексов, используемых на принадлежащих некредитным финансовым организациям значимых объектах критической информационной инфраструктуры Российской Федерации.

3. Сведения о российском программном обеспечении, отечественных радиоэлектронной продукции и телекоммуникационном оборудовании, в том числе в составе программно-аппаратных комплексов, на преимущественное использование которых осуществлен и (или) планируется осуществить переход в соответствии с планом мероприятий.

4. Перечень фактических мероприятий, реализуемых и (или) планируемых к реализации некредитными финансовыми организациями для обеспечения преимущественного использования российского программного обеспечения, отечественных радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации.

5. Сведения о фактических расходах некредитной финансовой организации на программное обеспечение, радиоэлектронную продукцию и телекоммуникационное оборудование, в том числе в составе программно-аппаратных комплексов, а также на услуги, необходимые для их использования, на принадлежащих некредитным финансовым организациям значимых объектах критической информационной инфраструктуры Российской Федерации.

6. Информация о фактических сроках и статусах выполнения пунктов плана мероприятий.

7. Информация о планируемой и фактической доле использования некредитной финансовой организацией российского программного обеспечения, отечественных радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, на принадлежащих ей значимых объектах критической информационной инфраструктуры Российской Федерации в общем объеме используемого программного обеспечения, радиоэлектронной продукции и телекоммуникационного оборудования на таких объектах.

8. Иная необходимая информация, подтверждающая фактическое выполнение некредитной финансовой организацией планов мероприятий или необходимость их изменения.

Приложение 2
к Указанию Банка России
от ________ N ______
"О порядке осуществления Банком России
контроля и мониторинга за соблюдением
некредитными финансовыми организациями
реализации планов мероприятий некредитных
финансовых организаций по переходу на

преимущественное использование российского

программного обеспечения, отечественных
радиоэлектронной продукции и
телекоммуникационного оборудования, в том
числе в составе программно-аппаратных
комплексов, на принадлежащих им значимых
объектах критической информационной
инфраструктуры Российской Федерации и
осуществления закупок иностранного
программного обеспечения, радиоэлектронной
продукции и телекоммуникационного
оборудования, в том числе в составе
программно-аппаратных комплексов, а также
закупок услуг, необходимых для их
использования на таких объектах"

Перечень информации, запрашиваемой Банком России, подтверждающей осуществление некредитными финансовыми организациями закупок в соответствии с согласованными Банком России заявками на согласование закупок

1. Фактические сведения о закупках, содержащихся в заявке на согласование закупки, и их сроках.

2. Сведения о закупаемом и (или) закупленном некредитными финансовыми организациями иностранном программном обеспечении, радиоэлектронной продукции и телекоммуникационном оборудовании, в том числе в составе программно-аппаратных комплексов, а также о закупаемых и (или) закупленных услугах, необходимых для их использования на принадлежащих некредитным финансовым организациям значимых объектах критической информационной инфраструктуры Российской Федерации, указанных в согласованном Банком России плане мероприятий.

3. Сведения о поставщиках и стоимости закупаемого и (или) закупленного некредитными финансовыми организациями иностранного программного обеспечения, радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, а также закупаемых и (или) закупленных услугах, необходимых для их использования на принадлежащих некредитным финансовым организациям значимых объектах критической информационной инфраструктуры Российской Федерации.

4. Иная необходимая информация, подтверждающая фактическое осуществление закупок некредитной финансовой организацией.

Пояснительная записка
к проекту указания Банка России "О порядке осуществления Банком России контроля и мониторинга за соблюдением некредитными финансовыми организациями реализации планов мероприятий некредитных финансовых организаций по переходу на преимущественное использование российского программного обеспечения, отечественных радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации и осуществления закупок иностранного программного обеспечения, радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, а также закупок услуг, необходимых для их использования на таких объектах" (далее - Проект указания)

Проект указания разработан Банком России в рамках реализации норм части третьей статьи 764-3 Федерального закона от 10.07.2002 N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" в редакции Федерального закона от 13.06.2023 N 243-ФЗ "О внесении изменений в Федеральный закон "О Центральном банке Российской Федерации (Банке России)" (далее - Федеральный закон N 86-ФЗ) в целях установления порядка осуществления Банком России контроля и мониторинга за соблюдением некредитными финансовыми организациями реализации планов мероприятий некредитных финансовых организаций по переходу на преимущественное использование российского программного обеспечения, отечественных радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, на принадлежащих им значимых объектах критической информационной инфраструктуры

Российской Федерации (далее - планы мероприятий) и осуществления закупок иностранного программного обеспечения, радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, а также закупок услуг, необходимых для их использования на таких объектах (далее - закупки).

Проект указания устанавливает порядок контроля и мониторинга за соблюдением некредитными финансовыми организациями реализации планов мероприятий и осуществления закупок.

Проектом указания определен перечень информации, запрашиваемый Банком России для последующего анализа с целью осуществления функций Банка России по мониторингу и контролю за соблюдением кредитными организациями реализации планов мероприятий и осуществления закупок.

Определен перечень данных, обрабатываемых Банком России в рамках процедуры анализа заявки на согласование Банком России закупок некредитными финансовыми организациями иностранного программного обеспечения, радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, а также закупок услуг, необходимых для их использования на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, на предмет наличия (отсутствия) рисков использования иностранного программного обеспечения, радиоэлектронной продукции и телекоммуникационного оборудования на значимых объектах критической информационной инфраструктуры.

Требования проекта указания распространяются на некредитные финансовые организации, являющиеся владельцами значимых объектов критической информационной инфраструктуры.

Издание Указания не повлияет на операционную деятельность и не потребует доработки автоматизированных систем поднадзорных организаций.

Замечания и предложения принимаются до 27.09.2023 и направляются на следующие адреса электронной почты: chernodedai@cbr.ru, karaulovda@cbr.ru SokrutER@cbr.ru.