ERP-платформы официально признали объектами КИИ, компании ожидают роста расходов на безопасность
Программные системы управления ресурсами предприятий (ERP) официально отнесены к объектам критической информационной инфраструктуры. Это закреплено распоряжением правительства №360‑р от 26.02.2026, документ объёмом 175 страниц формирует перечень типовых отраслевых объектов КИИ для различных секторов экономики. Для химической, металлургической, горнодобывающей, ракетно‑космической и оборонной промышленности в список включены ERP‑платформы, которые объединяют ключевые бизнес‑процессы — управление производством, финансами, логистикой и кадровыми данными. Фактически через эти системы проходят наиболее значимые управленческие контуры предприятий.
По данным «Коммерсанта», на предприятиях указанных отраслей по‑прежнему широко используются зарубежные решения, в первую очередь SAP и Oracle ERP. Поэтому включение ERP‑систем в перечень объектов КИИ может заметно изменить структуру расходов компаний, прежде всего за счёт затрат на защиту и соблюдение регуляторных требований. Генеральный директор НЦК ИСУ Кирилл Семион отмечает, что новые правила усложнят процедуру категорирования таких платформ: проекты внедрения и сопровождения станут более комплексными, а стоимость их защиты вырастет. Сам факт появления ERP в списке КИИ, по его мнению, показывает, что регуляторы рассматривают эти решения как потенциально уязвимое звено корпоративной инфраструктуры.
Заместитель директора компании «Инфостандарт» Георгий Шмонов подчеркивает, что распоряжение не вводит дополнительных требований к безопасности как таковых: базовые меры уже прописаны в нормативных документах ФСТЭК России. Он считает, что многие предприятия продолжат эксплуатировать зарубежные ERP‑системы и поддерживать их собственными силами, без участия вендоров, тем более что полноценные российские аналоги крупных корпоративных платформ пока не достигли уровня SAP и Oracle, и процесс замещения может затянуться.
Управляющий партнёр IPM Consulting Анастасия Владимирова напоминает, что законодательство о критической информационной инфраструктуре предусматривает серьёзную ответственность руководителей за нарушения требований безопасности. В случае инцидентов с ущербом свыше 1 млрд рублей или тяжёлыми последствиями возможны не только административные, но и уголовные меры. Отдельно установлены штрафы за процедурные нарушения: до 1,5 млн рублей за непредоставление сведений о категорировании объектов КИИ и до 250 тыс. рублей за эксплуатацию систем без лицензий регуляторов. На этом фоне компании вынуждены более тщательно выстраивать процессы защиты ERP‑систем и взаимодействия с контролирующими органами.