8 февраля 2024 г.

Руководители РАЭК (Сергей Гребенников), АПКИТ (Николай Комлев) и АРПП «Отечественный софт» (Ренат Лашин) направили в адрес Председателя Комитета Госдумы по финансовому рынку Анатолия Аксакова письмо к рассмотрению во втором чтении проекта ФЗ № 404786-8 «О внесении изменений в отдельные законодательные акты Российской Федерации» в части совершенствования правовых основ для аутсорсинга информационных технологий и использования облачных услуг финансовыми организациями.

Ниже текст письма.

В настоящее время в Государственной Думе проходит подготовку к рассмотрению во втором чтении проект Федерального закона № 404786–8 «О внесении изменений в отдельные законодательные акты Российской Федерации (в части совершенствования правовых основ для аутсорсинга информационных технологий и использования облачных услуг финансовыми организациями)» (далее — законопроект).

Законопроект вводит отраслевое регулирование применения на финансовом рынке информационных технологий в форме аутсорсинга и (или) облачных сервисов, а также наделяет Банк России полномочиями по установлению обязательных требований, как к порядку привлечения поставщиков услуг по предоставлению ИТ-сервисов в указанных формах, так и непосредственно к их информационным системам.

Ассоциация электронных коммуникаций (РАЭК), АРПП «Отечественный̆ софт» и Ассоциация предприятий компьютерных и информационных технологий (АПКИТ) выявили, что у представителей регулируемых отношений имеется ряд серьезных замечаний при общей поддержке идеи законопроекта.

Представители ИТ-отрасли поддерживают необходимость регулирования сферы в целом, разделяют замечания, высказанные в отзыве Комитета Государственной Думы по финансовому рынку, однако просят обратить пристальное внимание на необходимость доработки используемых в нём определений с целью конкретизации предмета регулирования создаваемый в рамках данного законопроекта новый понятийный аппарат является источником правовой неопределенности, которая может стать серьезным фактором риска, как для любых форм взаимодействия компаний финансового рынка и отрасли информационных технологий, так и оказать негативное влияние непосредственно на сами финансовые компании и ИТ-сферу.

В связи с изложенным полагаем необходимым отметить следующие потенциальные риски, которые вызовет правоприменение текущей редакция законопроекта:

  1. Необходимость получения лицензии ФСТЭК России всеми ИТ-провайдерам вне зависимости от факта передачи им банковской тайны. Законопроект не вводит четких требований кто, зачем и когда должен получить лицензию (что по сути является формированием барьерной среды для развития ИТ-сектора в РФ).
  2. Банкротство многих небольших действующих ИТ-компаний и остановка большинства ИТ-проектов в кредитных организациях. Потребуется время на то, чтобы ИТ-провайдер получил лицензию, настроил все производственные процессы в соответствии с требованиями, которые будут введены к провайдерам. Текст проекта при этом не конкретизирует на данном этапе ни требования, ни сроки. Необходимо отметить, что получение лицензии процесс длительный (несколько месяцев) и дорогостоящий (выполнение требований для получения лицензии ФСТЭК на техническую защиту конфиденциальной информации (ТЗКИ) стоит порядка 1,5 −2 млн руб.), а нарушение требований о лицензировании влечет приостановление деятельности на срок до 90 суток, а также конфискацию произведенного продукта и средств производства. При этом согласно требованию о лицензировании в штат компании необходимо оформить примерно трех квалифицированных сотрудников информационной безопасности, а в настоящий момент на рынке наблюдается дефицит такого рода специалистов и их найм для каждой компании потребует существенных дополнительных расходов. Данные требования суммарно приведут к существенному росту издержек компании малого и среднего звена (порядка 15 млн. рублейна юрлицо в год) и росту регуляторной нагрузки, поскольку необходимо будет периодически проходить проверку выполнения лицензионных требований, что в итоге существенно подорвет конкуренцию на рынке в пользу больших игроков.
  3. Рост волатильности на рынке труда среди ИТ-кадров. ИТ-компании будут экстренно перестраивать производственные процессы, уточнять формат взаимодействия с клиентами, что поставит на паузу текущие проекты. При подобной нестабильности многие специалисты снова захотят уехать за рубеж в поисках стабильных проектов.
  4. Рост издержек заказчиков ИТ-услуг и программных решений. Провайдеры будут вынуждены поднимать цены, чтобы компенсировать свои расходы на перестройку производственных процессов. Возможный рост составит от 5% до 10% от стоимости контракта.
  5. Риск утечек «больших данных», в том числе утечек персональных данных, и перекладывания полной ответственности на любого ИТ-провайдера, а также оборота «больших данных» вне рамок общего регулирования.

Уверены, что для нивелирования данных рисков при введении нового регулирования крайне важно точно сформулировать регулируемые отношения, а также достичь баланса, обеспечивающего корреспондирующие права, обязанности и возможности, как для независимых отечественных разработчиков программного обеспечения и программного-аппаратных комплексов, так и компаний, зависимых в той или иной форме, от банков (входящих в банковские группы) и иных участников финансового рынка.

С учетом изложенного просим предоставить возможность для очного обсуждения проблематики с участниками ИТ-отрасли и включить представителей РАЭК, АРПП «Отечественный софт» и АПКИТ в работу по подготовке текста законопроекта к рассмотрению во втором чтении.

Источник: Ассоциации РАЭК, АПКИТ и АРПП «Отечественный софт»