ERP-платформы официально признали объектами КИИ, компании ожидают роста расходов на безопасность
Изображение: İsmail Enes Ayhan (unsplash)
Программные системы управления ресурсами предприятий теперь отнесены к объектам критической информационной инфраструктуры. Решение закреплено распоряжением правительства №360-р, утверждённым 26.02.2026 и опубликованным на следующий день. Документ объёмом 175 страниц содержит перечень типовых отраслевых объектов КИИ для различных сфер экономики.
В список для химической, металлургической, горнодобывающей, ракетно-космической и оборонной промышленности попали ERP-платформы. Эти программные комплексы объединяют основные бизнес-процессы предприятий, управляющие производством, финансами, логистикой и кадровыми данными. Фактически через такие системы проходят самые важные управленческие процессы компаний.
По данным издания «Коммерсантъ», на предприятиях этих отраслей до сих пор широко применяются зарубежные решения. Наиболее распространены платформы SAP и Oracle ERP. Именно поэтому включение ERP-систем в перечень объектов КИИ может серьёзно повлиять на структуру расходов компаний.
Генеральный директор НЦК ИСУ Кирилл Семион отмечает, что новые правила усложнят процедуру категорирования ERP-платформ. По его словам, проекты внедрения и сопровождения таких систем станут более сложными, а затраты на их защиту заметно увеличатся. Сам факт включения ERP-решений в список КИИ, по мнению Кирилла Семиона, показывает, что регуляторы рассматривают их как потенциально уязвимое звено корпоративной инфраструктуры.
Заместитель директора компании Инфостандарт Георгий Шмонов обращает внимание, что новое распоряжение не вводит дополнительных требований к защите. Основные меры безопасности уже описаны в нормативных документах ФСТЭК России. По мнению Георгия Шмонова, многие предприятия продолжат использовать зарубежные ERP-системы и поддерживать их самостоятельно без участия производителей.
Ситуация может сохраняться длительное время. Полноценные российские аналоги крупных корпоративных платформ пока не достигли уровня продуктов SAP и Oracle.
Управляющий партнёр IPM Consulting Анастасия Владимирова напоминает, что законодательство о критической инфраструктуре предусматривает серьёзную ответственность. Руководители компаний могут столкнуться с административными и даже уголовными последствиями при нарушении требований безопасности. Например, если ущерб от инцидента превышает 1 млрд рублей или приводит к тяжёлым последствиям.
Отдельные штрафы предусмотрены и за процедурные нарушения. За непредоставление сведений о категорировании объектов КИИ возможен штраф до 1,5 млн рублей. Эксплуатация систем без лицензий регуляторов может привести к штрафу до 250 тыс. рублей.
