В России признали ERP-системы, аналогичные продуктам зарубежных SAP и Oracle, объектами критической информационной инфраструктуры (КИИ). Распоряжением правительства №360-р они были добавлены в единый перечень из 397 типовых отраслевых объектов КИИ. Они прямо включены в перечень объектов КИИ для химической, металлургической, горнодобывающей, ракетно-космической и оборонной промышленности, сообщил «Коммерсантъ».

Ресурс отметил, что решение правительства формализует принятые ранее отраслевые перечни (с 2024 года) и обязывает предприятия проводить категорирование ERP, усиливать их защиту по требованиям ФСТЭК, что влечёт за собой дополнительные расходы. Также включение в перечень стимулирует к переходу на отечественные аналоги вместо иностранных SAP или Oracle из-за возможных штрафов, производственных простоев и роста IT-затрат. Ранее было предложено создание национального аналога SAP, но она не нашла поддержки у бизнеса.

Импортозамещение ERP-систем, в том числе в субъектах КИИ, сейчас курирует Национальный центр компетенций по информационным системам управления (НЦК ИСУ). Он предлагает поэтапный подход, чтобы минимизировать риски: сначала провести категорирование объектов с обязательным аудитом текущих платформ (включая SAP и Oracle), а затем начать миграцию на отечественные аналоги с сохранением ключевых бизнес-процессов. НЦК ИСУ отметил, что вводимые правила в итоге затруднят категорирование ERP, приведут к усложнению проектов и росту затрат на них, а причисление ERP к КИИ означает, что регулятор видит риски защищённости самих этих решений.

Вместе с тем эксперты отметили, что явных требований к самим системам распоряжение правительства не добавляет, а существующие приказы ФСТЭК и других ведомств описывают лишь меры обеспечения защиты от различных угроз. Поэтому следует ожидать, что поддержка иностранных ERP-решений, которая всё ещё осуществляется без участия западных вендоров, сохранится. Как ожидается, из-за перевода в объекты КИИ затраты компаний вырастут из-за внедрения дополнительных средств защиты, сегментации сети, резервирования и пересмотра архитектуры, но основная сумма пойдёт не на лицензии, а на интеграцию, аудит и сопровождение.

