ERP-системы признали КИИ: новые правила для промышленности и логистики

Правительство России официально включило ERP-системы в перечень объектов критической информационной инфраструктуры (КИИ). Решение затрагивает тяжелую промышленность, металлургию и оборонный сектор, обязывая компании провести аудит ИТ-ландшафта и усилить защиту управленческих платформ. Теперь сбои в планировании ресурсов приравниваются к угрозе национальной безопасности, что влечет за собой риск уголовной ответственности для руководства.

Согласно распоряжению правительства №360-р, в перечень типовых объектов КИИ вошли системы управления ресурсами предприятия (ERP). Новые правила распространяются на химическую, металлургическую, горнодобывающую, ракетно-космическую и оборонную отрасли. Ранее управление закупками и логистикой рассматривалось как внутренний бизнес-процесс, однако теперь стабильность работы таких платформ, как SAP и Oracle, или их российских аналогов становится вопросом государственного значения.

Генеральный директор НЦК ИСУ Кирилл Семион отмечает, что признание ERP объектом КИИ подтверждает наличие серьезных рисков в защищенности этих решений. Для металлургии и химии это критично: управленческий софт здесь глубоко интегрирован с производством и финансами. Как пояснил технический директор MD Audit Юрий Тюрин, компаниям придется вкладываться не столько в покупку лицензий, сколько в аудит, сегментацию сетей и пересмотр архитектуры ИТ-систем.

Последствия для бизнеса и ответственность

Переход на отечественный софт станет неизбежным для тех, кто откладывал импортозамещение. Однако эксперты указывают на нехватку зрелых решений для крупнейших заказчиков. Заместитель директора компании «Инфостандарт» Георгий Шмонов полагает, что поддержка зарубежных систем собственными силами продолжится, так как российское ПО не всегда способно закрыть задачи гигантов индустрии. Схожего мнения придерживаются в Сбербанке: Герман Греф ранее заявлял, что банк предпочел не искать прямую замену SAP, а «разрезать» его функции на мелкие эффективные компоненты.

За игнорирование новых требований в март 2026 года предусмотрены жесткие санкции:

• штрафы за отсутствие категорирования систем — до 1,5 млн рублей;
• штрафы за работу без лицензий ФСТЭК или ФСБ — до 200 тыс. рублей;
• уголовная ответственность по статье 274.1 УК РФ (до 6 лет лишения свободы) при возникновении тяжких последствий для инфраструктуры.

Для крупных предприятий рост расходов на кибербезопасность станет значимой долей ИТ-бюджета на горизонте ближайших двух лет. В долгосрочной перспективе эти траты станут обязательной частью содержания регуляторной инфраструктуры.