Ограничения на иностранное программное обеспечение в России устроены сложнее, чем формула «покупать нельзя, использовать можно». Правило зависит от того, кто заказчик и на каком объекте работает ПО: для большинства госзаказчиков закупочный запрет действительно не отменяет использование уже приобретённых лицензий, но для значимых объектов критической информационной инфраструктуры (КИИ) с 2025 года ограничена и сама эксплуатация.
Что именно запрещено, а что пока разрешено
Закупочный запрет действует давно: государственные и многие подконтрольные организации не могут приобретать иностранное программное обеспечение, если есть отечественный аналог в реестре Минцифры (реестр российского ПО ведётся по Постановлению Правительства РФ от 16.11.2015 №1236). Действующие бессрочные лицензии и оплаченные ранее подписки для таких организаций обычно можно продолжать использовать. Но это правило касается закупок в целом, а не всех типов объектов без исключения.
Отдельное и более строгое требование введено для значимых объектов критической информационной инфраструктуры: с 1 января 2025 года на таких объектах, принадлежащих органам власти и госзаказчикам, действует запрет не только на закупку, но и на использование иностранного ПО. Правовая основа — Указ Президента №166 от 30.03.2022 в редакции Указа №214 от 07.04.2025. Это не тотальный запрет любого иностранного ПО для всех госорганов, а требование именно к значимым объектам КИИ: организации, работающие с такими объектами, не могут ссылаться на «действующую лицензию» как основание продолжать эксплуатацию.
Частный сектор без госучастия формально может покупать иностранное ПО, но сталкивается с платёжными и санкционными рисками и с прекращением обновлений со стороны вендора. Разумная практика для коммерческих компаний заключается в том, чтобы заранее планировать замену с учётом требований информационной безопасности, даже если формального запрета на закупку для них нет.
| Категория заказчика/объекта | Закупка нового ПО | Использование ранее купленного |
|---|---|---|
| Госорганы, госзаказчики (не значимые КИИ) | Запрещена при наличии отечественного аналога в реестре | Как правило, допустимо до конца срока лицензии |
| Значимые объекты КИИ, принадлежащие органам власти | Запрещена | Запрещена с 01.01.2025 (Указ №166 в ред. №214) |
| Частный сектор без госучастия | Формально не запрещена | Разрешено, риски: прекращение поддержки, санкционные ограничения |
Как связаны переход на отечественное ПО и сертификация оборудования
Миграция ПО почти всегда затрагивает и аппаратную часть: серверы, сетевое оборудование, промышленные контроллеры. Для такого оборудования действуют технические регламенты ЕАЭС: ТР ТС 004/2011 «О безопасности низковольтного оборудования» и ТР ТС 020/2011 «Электромагнитная совместимость технических средств». Если новое отечественное ПО управляет сетевым оборудованием (ТН ВЭД 8517), контроллерами (ТН ВЭД 9032) или взаимодействует с кабельной инфраструктурой (ТН ВЭД 8544), для этого оборудования нужно отдельно проверять требования сертификации. Замена программной части не отменяет обязательную оценку соответствия аппаратной.
Для помещений с серверным и телекоммуникационным оборудованием дополнительно применимы требования пожарной безопасности по ГОСТ 12.1.004-91 «Пожарная безопасность. Общие требования». Официального единого срока и стоимости сертификации для всех схем не существует: они зависят от количества применимых регламентов и объёма испытаний для конкретного оборудования.
Пошаговый план миграции
Первый шаг — это инвентаризация и лицензионный аудит: собрать реестр используемого ПО, ключей, сроков подписок, проверить право на офлайн-активацию и перенос лицензии. Второй шаг — это юридическая проверка условий EULA и договоров: ограничения на реэкспорт, санкционные оговорки, изменение территории обслуживания. Третий шаг — это определить, относится ли объект к значимой КИИ: если да, то использование иностранного ПО там уже ограничено с 2025 года, и план миграции нужно строить с учётом более сжатых сроков, а не рассчитывать на «использование до конца лицензии».
Дальше — пилот отечественного решения на непроизводственном контуре, при необходимости сертификация связанного оборудования по применимым техническим регламентам, и только затем поэтапный ввод в эксплуатацию с обучением персонала.
Частые ошибки при планировании перехода
Самая распространённая ошибка — это считать правило «использовать пока можно» универсальным для всех объектов, включая значимую КИИ, где с 2025 года это уже не так. Вторая ошибка — недооценка того, что замена ПО может повлечь необходимость нового подтверждения соответствия для связанного оборудования, если меняется состав аппаратуры. Третья ошибка — попытка обойти истёкшие активации несанкционированными способами: это нарушает условия лицензии и создаёт дополнительные риски безопасности, а не решает проблему перехода.
Как определить, относится ли объект к значимой КИИ
Категорирование объектов критической информационной инфраструктуры проводится по правилам, установленным отдельным постановлением Правительства, и относит объект к одной из трёх категорий значимости в зависимости от возможных последствий компьютерного инцидента: для здоровья и жизни людей, для экономики, для обороны и безопасности государства. Значимость объекта — это не субъективная оценка организации, а формальный статус, присваиваемый по результатам категорирования и вносимый в реестр значимых объектов КИИ. Именно этот формальный статус, а не отраслевая принадлежность организации сама по себе, определяет, распространяется ли на объект требование Указа №166 в редакции №214.
Организациям, эксплуатирующим потенциальные объекты КИИ, стоит заранее уточнить свой статус категорирования, а не дожидаться проверки регулятора — это напрямую влияет на сроки, в которые нужно завершить переход с иностранного ПО.
Как получить консультацию
Специалисты «Реестр Гарант» помогают разобраться, распространяется ли на конкретный объект требование к значимой КИИ, определить применимые технические регламенты для оборудования при миграции и организовать сертификацию. Чтобы уточнить требования для вашей ситуации, оставьте заявку на сайте центра сертификации.
Главное коротко
- Для большинства госзаказчиков закупочный запрет на иностранное ПО не отменяет использование уже приобретённых лицензий.
- Для значимых объектов КИИ с 1 января 2025 года запрещена не только закупка, но и использование иностранного ПО (Указ №166 в редакции №214).
- Это не тотальный запрет для всех госорганов — требование касается именно значимых объектов КИИ.
- Замена ПО может потребовать нового подтверждения соответствия для связанного оборудования по ТР ТС 004/2011 и ТР ТС 020/2011.
- Частный сектор без госучастия формально может покупать иностранное ПО, но сталкивается с рисками прекращения поддержки.
Вопросы и ответы
Короткие ответы на вопросы, которые чаще всего возникают при подготовке документов и подаче заявки.
Можно ли продолжать использовать иностранное ПО, купленное до запрета?
Зависит от объекта. Для большинства госзаказчиков продолжать использование, как правило, можно до конца срока лицензии. Для значимых объектов критической информационной инфраструктуры с 1 января 2025 года использование иностранного ПО запрещено вне зависимости от того, когда оно было приобретено.
Распространяется ли запрет на всех госорганов без исключения?
Нет. Требование Указа №166 в редакции №214 касается именно значимых объектов КИИ, принадлежащих органам власти и госзаказчикам. Общего запрета на любое использование иностранного ПО в госсекторе в целом такое требование не устанавливает.
Нужна ли новая сертификация оборудования при замене ПО?
Если состав аппаратуры при миграции меняется, может потребоваться новое подтверждение соответствия по применимым техническим регламентам ЕАЭС. Замена программной части сама по себе не освобождает от этой обязанности.