Импортозамещение ПО в России перешло из фазы рекомендаций в фазу обязательных требований с конкретными сроками и штрафами. Но между нормативными дедлайнами и реальной готовностью бизнеса — пропасть: 7% выполнили, остальные — в процессе или не начинали. В этом гайде мы собрали полную хронологию регуляторных сроков 2024–2028, разобрали, что обязательно прямо сейчас, что отложено, и какие штрафы грозят за неисполнение.
Хронология регуляторных дедлайнов: полная карта
| Дата | Документ | Что требует | Кого затрагивает | Статус |
|---|---|---|---|---|
| 01.01.2025 | Указ №166 | Запрет закупки иностранного ПО для госорганов и субъектов КИИ. Переход на российское ПО из реестра Минцифры | Госорганы, субъекты КИИ | Действует. Выполнили 7% |
| 01.01.2026 | Указ №250 | Полный запрет иностранных средств защиты информации (СЗИ) на объектах КИИ | Субъекты КИИ | Действует |
| 01.09.2024 | Распоряжение Минцифры | Запрет иностранных облачных сервисов для госорганов | Госорганы | Действует |
| 01.10.2025 | Приказ ФСТЭК №177 | Обновлённые требования к защите ГИС и КИИ: анализ уязвимостей, контроль supply chain | ГИС, КИИ, ФГУПы | Действует |
| 01.03.2026 | Приказ ФСТЭК №117 (расширен) | Распространение требований на организации, интегрированные с ГИС | Бизнес с ГИС-интеграцией | Действует |
| 01.09.2027 | Проект Минцифры | Запрет иностранных облаков для крупного бизнеса при наличии российских аналогов | Крупный и средний бизнес | Проект |
| 01.01.2028 | Проект Минцифры | Продление срока Указа №166 с введением оборотных штрафов за неисполнение | Субъекты КИИ | Обсуждение |
Указ №166: дедлайн прошёл, результат — 7%
Указ Президента №166 от 30 марта 2022 года установил запрет на закупку иностранного ПО для государственных информационных систем и объектов критической информационной инфраструктуры. Дедлайн полного перехода — 1 января 2025 года.
Реальность оказалась далека от плана. По данным TAdviser и отраслевых опросов:
- 7% субъектов КИИ выполнили требования к установленному сроку
- 1–2% организаций полностью завершили миграцию со всех иностранных решений
- 80% компаний, начавших миграцию, столкнулись с серьёзными сложностями
- 58% компаний остаются на SAP — миграция ERP занимает 18–36 месяцев
Три причины: 1) Отсутствие зрелых альтернатив в тяжёлых сегментах (ERP, CAD/PLM) — 21% организаций используют российский PLM при 59% на иностранном. 2) Стоимость миграции: ERP-проект обходится в десятки и сотни миллионов рублей. 3) Отсутствие санкций за невыполнение — до последнего времени штрафов не было, и бизнес ждал.
Что предлагает Минцифры: продление до 2028 + оборотные штрафы
Минцифры признаёт, что дедлайн 2025 года не сработал, и предлагает двухкомпонентное решение:
- Продление срока до 1 января 2028 года — дополнительные три года для завершения миграции
- Введение оборотных штрафов за неисполнение — по аналогии со штрафами за утечку персональных данных. Конкретные суммы на стадии обсуждения
Логика Минцифры: мягкий дедлайн без санкций не работает. Жёсткий дедлайн с оборотными штрафами — единственный механизм, который заставит крупный бизнес двигаться. Ожидаемый срок принятия — Q3–Q4 2026.
Указ №250: запрет иностранных СЗИ — уже действует
В отличие от Указа №166, Указ Президента №250 содержит прямой запрет с чёткими санкциями. С 1 января 2026 года использование иностранных средств защиты информации на объектах КИИ запрещено.
| Параметр | Значение |
|---|---|
| Дата вступления в силу | 01.01.2026 |
| Что запрещено | Иностранные СЗИ: антивирусы, NGFW, SIEM, DLP, EDR, криптозащита |
| Кого затрагивает | Субъекты КИИ: энергетика, финансы, здравоохранение, транспорт, связь, оборона |
| Штраф для юрлиц | До 500 000 ₽ (ст. 13.12 КоАП) |
| Штраф для должностных лиц | До 50 000 ₽ |
| Контролирующий орган | ФСТЭК России |
Указ №250 — наиболее жёсткий из действующих документов. Российский рынок СЗИ к 2026 году достаточно зрелый: UserGate (32% NGFW), Kaspersky, Positive Technologies, SearchInform закрывают основные потребности. Миграция СЗИ — самый реалистичный первый шаг для любой компании.
ФСТЭК: расширение периметра требований
ФСТЭК России последовательно расширяет круг организаций, обязанных выполнять требования к безопасной разработке и защите информации:
| Документ | Дата | Что изменилось |
|---|---|---|
| Приказ ФСТЭК №239 | Действует | Базовые требования к безопасности объектов КИИ |
| Приказ ФСТЭК №177 | С октября 2025 | Обязательный анализ уязвимостей в коде, контроль supply chain. Затрагивает ГИС, КИИ, ФГУПы |
| Приказ ФСТЭК №117 (расширен) | С марта 2026 | Распространение на организации, интегрированные с ГИС. Драйвер для WAF-сегмента |
| ГОСТ Р 56939 | Действует | Национальный стандарт безопасной разработки ПО (РБПО) |
Ключевой тренд: ФСТЭК расширяет периметр от прямых субъектов КИИ на всех, кто интегрирован с государственными системами. Если ваш продукт взаимодействует с ГИС (даже как подрядчик) — вы в периметре требований.
Запрет иностранных облаков: дедлайн 2027
Минцифры последовательно ограничивает использование иностранных облаков:
- Сентябрь 2024: запрет для государственных органов (действует)
- Апрель 2024: Роскомнадзор заблокировал сайт AWS
- Май 2025: Минцифры анонсировало ограничение для бизнеса
- 1 сентября 2027 (проект): полный запрет для крупного и среднего бизнеса при наличии российских аналогов
Если ваша компания использует AWS, Azure или GCP для продакшен-нагрузок — начинать миграцию нужно сейчас. Типичный срок переезда enterprise-инфраструктуры: 6–18 месяцев. Российские альтернативы: Yandex Cloud, Cloud.ru, Selectel, VK Cloud. Стратегия: Kubernetes + open-source-стек для портативности между провайдерами.
Матрица приоритетов: что заменять в первую очередь
Не все категории ПО одинаково срочны. Приоритет определяется пересечением двух факторов: регуляторного давления и зрелости российских альтернатив.
| Приоритет | Категория | Дедлайн | Российские альтернативы | Время миграции |
|---|---|---|---|---|
| 1 — Критический | Средства защиты информации (NGFW, SIEM, DLP, антивирус) | 01.01.2026 (действует) | UserGate, Kaspersky, PT, SearchInform | 3–6 мес. |
| 2 — Высокий | Операционные системы | 01.01.2025 / 2028 | Astra Linux (76%), РЕД ОС, ALT Linux | 3–12 мес. |
| 3 — Высокий | Офисные пакеты | 01.01.2025 / 2028 | МойОфис, Р7-Офис | 1–3 мес. |
| 4 — Средний | Виртуализация | По плану КИИ | zVirt (Orion soft), Basis, Р-Виртуализация | 3–6 мес. |
| 5 — Средний | Облачная инфраструктура | 01.09.2027 (проект) | Yandex Cloud, Cloud.ru, Selectel | 6–18 мес. |
| 6 — Низкий (сложный) | CRM | По плану КИИ | Битрикс24 (49%), amoCRM | 1–6 мес. |
| 7 — Низкий (сложный) | ERP | 2028 (предполагаемый) | 1С (80% рынка) | 18–36 мес. |
| 8 — Критически сложный | CAD/PLM | 2028 (предполагаемый) | АСКОН, Топ Системы (21% adoption) | 12–24 мес. |
Штрафы и санкции: текущие и планируемые
| Нарушение | Основание | Штраф | Статус |
|---|---|---|---|
| Иностранные СЗИ на КИИ | Указ №250, ст. 13.12 КоАП | До 500 000 ₽ (юрлицо), до 50 000 ₽ (должностное лицо) | Действует |
| Невыполнение Указа №166 | Проект Минцифры | Оборотные штрафы (сумма обсуждается) | Обсуждение |
| Непредоставление отчётности о переходе на доверенные ПАК | ФЗ-187 (ред. 09.2025) | Предписание ФСТЭК | Действует |
| Нарушение требований к защите ГИС | Приказ ФСТЭК №117 | Предписание ФСТЭК, приостановка эксплуатации | Действует |
До сих пор штраф 500 000 ₽ для крупной компании был несопоставим со стоимостью миграции (десятки миллионов рублей). Оборотные штрафы меняют экономику: при обороте 10 млрд ₽ даже 0,1% — это 10 млн ₽. Именно поэтому Минцифры рассматривает их как единственный действенный механизм.
Практический план миграции для CTO
На основе анализа регуляторных дедлайнов и зрелости российских альтернатив — рекомендуемая последовательность действий:
Q1–Q2 2026: срочные меры
- Аудит СЗИ. Если на объектах КИИ остались иностранные средства защиты — мигрировать немедленно. Дедлайн прошёл (01.01.2026), штрафы действуют.
- Инвентаризация ПО. Составить полный реестр иностранного ПО с классификацией по категориям и критичности.
- Отчётность по КИИ. Обеспечить взаимодействие с ГосСОПКА — новые требования ФЗ-187 обязывают сообщать не только об инцидентах, но и об атаках.
Q3–Q4 2026: плановая миграция
- ОС и офисные пакеты. Astra Linux + МойОфис — зрелые решения, миграция занимает 3–12 месяцев. Начать с пилота на одном подразделении.
- Виртуализация. Замена VMware на zVirt, Basis или Р-Виртуализация. 78% организаций уже выбрали альтернативу.
- План миграции облаков. Если используете AWS/Azure — составить roadmap перехода на Yandex Cloud, Cloud.ru или Selectel. Запас до 09.2027.
2027–2028: тяжёлые системы
- ERP. Миграция с SAP на 1С — проект на 18–36 месяцев. Начинать планирование сейчас, если ещё не начали.
- CAD/PLM. Самый сложный сегмент. АСКОН и Топ Системы — лидеры, но функциональный gap сохраняется. Рассмотреть поэтапную миграцию.
Рекомендации
- Не ждите оборотных штрафов. Регуляторное давление только усиливается. Начало миграции в 2026 году даёт запас времени; начало в 2028 — экстренный режим.
- Приоритизируйте по регуляторному риску. СЗИ (дедлайн прошёл) → ОС и офис → виртуализация → облака → ERP/CAD. Не пытайтесь мигрировать всё одновременно.
- Проверьте периметр ФСТЭК. Приказы №177 и №117 расширили круг организаций. Если ваш продукт интегрирован с ГИС — вы в периметре, даже если не субъект КИИ.
- Закладывайте бюджет на интеграцию. Стоимость лицензий — 50–70% от общей стоимости проекта. Интеграция, обучение и адаптация процессов — остальные 30–50%.
- Используйте поэтапный подход. Пилот → одно подразделение → масштабирование. Не пытайтесь заменить SAP за квартал — это проект на 2–3 года.
FAQ о дедлайнах импортозамещения ПО
Когда запрещено использовать иностранное ПО на объектах КИИ?
Указ Президента №166 установил дедлайн 1 января 2025 года, но по факту его выполнили только 7% субъектов КИИ. Минцифры обсуждает продление до 1 января 2028 года с введением оборотных штрафов за неисполнение.
Какие штрафы за нарушение требований импортозамещения?
По Указу №250 (запрет иностранных СЗИ на КИИ с 01.01.2026): до 500 000 ₽ для юрлиц, до 50 000 ₽ для должностных лиц (ст. 13.12 КоАП). Минцифры предлагает ввести оборотные штрафы за невыполнение Указа №166.
Когда запретят иностранные облака для бизнеса?
Минцифры предлагает запрет для крупного и среднего бизнеса с 1 сентября 2027 года — при наличии российских аналогов. Для госорганов запрет действует с сентября 2024 года. AWS уже заблокирован Роскомнадзором.
Какие категории ПО нужно заменить в первую очередь?
Средства защиты информации (Указ 250, дедлайн уже наступил), операционные системы и офисные пакеты (Указ 166). ERP-системы (SAP, Oracle) — самый сложный сегмент, миграция занимает 18–36 месяцев.
Что делать компании, которая не успевает перейти на российское ПО?
Провести аудит текущего стека, приоритизировать по регуляторному риску (СЗИ → ОС → офис → ERP), составить план миграции с промежуточными этапами. Для КИИ — взаимодействовать с ФСТЭК по индивидуальному плану перехода.
Регуляторные дедлайны импортозамещения ПО — не абстрактная угроза, а действующие требования с конкретными штрафами. Указ №250 (СЗИ) уже в силе. Указ №166 (всё ПО) формально просрочен, но Минцифры готовит продление до 2028 с оборотными штрафами. Запрет иностранных облаков — на горизонте 2027. Для CTO ключевой вопрос — не «переходить ли», а «в каком порядке и с каким бюджетом». Компании, начавшие миграцию в 2024–2025 году, получили преимущество в 2–3 года. Тем, кто не начал — осталось 1–2 года до неизбежного.
- Динамика регуляторики. Законопроекты об оборотных штрафах и запрете облаков — на стадии обсуждения. Конкретные сроки и суммы могут измениться.
- Оценки compliance. Доля 7% (Указ 166) — по данным TAdviser и отраслевых опросов, не официальная статистика ФСТЭК.
- Стоимость миграции. Приведённые сроки — типичные диапазоны; конкретные проекты могут выходить за эти рамки.
Исследование подготовлено редакцией it-institute.ru на основе анализа нормативных актов и открытых источников. Дата подготовки: март 2026.