Распоряжением правительства РФ №360‑р ERP‑системы, аналогичные продуктам SAP и Oracle, официально включены в перечень объектов критической информационной инфраструктуры (КИИ) для ключевых отраслей промышленности. Это решение затрагивает химическую, металлургическую, горнодобывающую, ракетно‑космическую и оборонную промышленность и фактически приравнивает управление бизнес‑процессами к критически важным ИТ‑системам, за сбои в работе которых предусмотрены серьёзные санкции.
Для предприятий это означает необходимость категорировать свои ERP‑системы, усиливать их защиту по требованиям ФСТЭК и переводить критичные контуры управления с иностранных решений SAP и Oracle на российские аналоги. При этом рост затрат на безопасность и сопровождение будет кратным, а персональная ответственность руководителей за инциденты в ERP вырастет.
Что именно изменилось: распоряжение №360‑р и перечень КИИ
Правительство утвердило единый перечень из 397 типовых отраслевых объектов критической информационной инфраструктуры. В этот перечень прямо включены ERP‑системы (Enterprise Resource Planning) как ядро управления ключевыми бизнес‑процессами компании — от финансов и закупок до производства, логистики и кадрового учёта.
Для ряда отраслей ERP‑платформы теперь официально считаются объектами КИИ:
- химическая промышленность;
- металлургическая промышленность;
- горнодобывающая отрасль;
- ракетно‑космический комплекс;
- оборонная промышленность.
Фактически это закрепляет на федеральном уровне отраслевые перечни, которые начали формироваться с 2024 года, и переводит ERP из «просто бизнес‑системы» в разряд защищаемой инфраструктуры.
ERP как объект КИИ: новые обязанности для компаний
Включение ERP‑систем в перечень КИИ означает для предприятий не только рост требований к информационной безопасности, но и новые регуляторные обязанности.
Основные шаги, которые теперь обязаны выполнить организации из перечисленных отраслей:
- Провести категорирование ERP‑систем как объектов КИИ, включая анализ последствий возможных инцидентов.
- Усилить защиту ERP по требованиям ФСТЭК: средства защиты, сегментация сети, резервирование, управление доступом.
- Обеспечить наличие необходимых лицензий ФСТЭК/ФСБ у подрядчиков и внутренних служб, которые обслуживают ERP.
- Пересмотреть архитектуру ИТ‑ландшафта с учётом того, что ERP стала частью критической инфраструктуры.
Игнорирование этих требований ведёт к административной и, в тяжёлых случаях, уголовной ответственности должностных лиц.
Импортозамещение ERP: уход от SAP и Oracle
Во многих промышленных компаниях до сих пор эксплуатируются зарубежные ERP‑системы — в первую очередь SAP и Oracle. Теперь, когда ERP официально признаны объектами КИИ, использование иностранных решений в критичных контурах становится особенно рискованным: с точки зрения санкций, обновлений, поддержки и регуляторных требований.
Последние годы импортозамещение ERP в субъектах КИИ курирует Национальный центр компетенций по информационным системам управления (НЦК ИСУ). Там предлагают поэтапный подход:
- сначала — категорирование ERP и аудит текущей платформы, включая риски продолжения работы на SAP/Oracle;
- затем — миграция на отечественные ERP‑системы с сохранением ключевых бизнес‑процессов и минимальными простоями.
По оценкам экспертов, включение ERP в перечень КИИ ускорит переход на российское ПО тех компаний, которые откладывали этот шаг: находиться на западных продуктах в статусе объекта КИИ становится слишком рискованно и дорого.
Риски и ответственность: что грозит руководителям?
Статус объекта КИИ для ERP‑системы автоматически повышает уровень персональной ответственности руководства и ИТ‑блока. Законодательство предусматривает:
- штрафы за непредоставление сведений о категорировании объекта КИИ — до 1,5 млн руб.;
- штрафы за эксплуатацию ERP‑системы‑КИИ без лицензии ФСБ/ФСТЭК у исполнителей — до 200 тыс. руб.;
- уголовную ответственность по ст. 274.1 УК РФ при тяжких последствиях (ущерб более 1 млрд руб. или масштабный сбой), вплоть до лишения свободы до 6 лет.
Таким образом, вопросы категорирования, защиты и сопровождения ERP‑системы перестают быть чисто техническими: это зона непосредственной ответственности топ‑менеджмента и собственников.
Сколько это будет стоить бизнесу?
Эксперты сходятся во мнении, что включение ERP в перечень КИИ приведёт к заметному росту ИТ‑расходов.
Основные статьи затрат:
- внедрение и настройка дополнительных средств защиты информации;
- сегментация сети, резервирование серверов и каналов связи;
- аудит текущих решений и архитектуры;
- адаптация или замена ERP‑платформы, интеграция с другими системами;
- сопровождение и регулярные проверки соответствия требованиям ФСТЭК.
При этом основной бюджет уйдёт не на лицензии, а на интеграцию, аудит и сопровождение, особенно в крупных промышленных холдингах. По оценкам аналитиков, для таких компаний дополнительные расходы на горизонте 1–2 лет могут составить значимую долю ИТ‑бюджета, но в дальнейшем станут частью обязательной «регуляторной инфраструктуры», как это уже произошло с другими объектами КИИ.
Что делать промышленным предприятиям уже сейчас?
Компании, чьи ERP‑системы потенциально подпадают под объекты КИИ, могут начать подготовку ещё до формальных проверок:
- Провести инвентаризацию ERP‑ландшафта: какие системы используются (SAP, Oracle, 1С, отечественные ERP), где проходят критичные бизнес‑процессы.
- Инициировать предварительное категорирование ERP и оценку последствий возможных инцидентов.
- Провести аудит защищённости ERP и связанных систем на соответствие базовым требованиям ФСТЭК.
- Оценить сценарии миграции на российские ERP‑решения (в том числе на базе 1С) с разработкой поэтапного плана.
- Настроить процессы мониторинга, резервного копирования и управления изменениями с учётом статуса КИИ.
Такой подход позволит снизить риски штрафов и сбоев и подготовиться к новым требованиям без авральных проектов.
Автоматизируем Ваш бизнес? Закажите консультацию у команды ГК "Oxtron"