Меня зовут Олег, я ведущий юрист в ispmanager. В этой заметке я освещу основные изменения, касающиеся хостинг-провайдеров. 26 июля 2023 года законодатель принял федеральный закон, вносящий перемены в деятельность хостинг-провайдеров, новостных агрегаторов и владельцев сайтов. Что делать и как подготовиться к новым требования, расскажу далее.
Прежде чем анализировать текст, посмотрим, что говорит о духе нового закона один из его авторов Антон Горелкин. По его словам, закон направлен на то, чтобы:
Упорядочить хаотичность на рынке хостинга и убрать с рынка реселлеров услуг зарубежных хостеров, чтобы устранить риск «иностранного» вмешательства и возможность кибератак извне.
Собрать информацию обо всех участниках рынка.
Оставить на рынке только добропорядочных хостеров.
Не совсем понятно, как этот закон справится с хаотичностью, но в целом остальные тезисы текст закона подтверждает и выполняет. Давайте перейдём непосредственно к тексту и разделим нововведения на части.
1. Очередной реестр
С 1 декабря 2023 оказывать услуги хостинга могут компании, включённые в соответствующий реестр Роскомнадзора, а чтобы в него попасть, необходимо подать уведомление в Роскомнадзор до 15 декабря 2023 года.
И вот здесь самое интересное: на 24 августа 2023 года ни в «Консультанте Плюс», ни в «Гаранте», ни на госпортале нет нормативной базы, регламентирующей содержание уведомления, а также ведение этого реестра, хотя по закону её должно дать нам Правительство РФ. На его сайте тоже тихо.
На момент написания заметки горячая линия Роскомнадзора сообщила, что уведомление составляется в свободной форме и направляется на электронную почту Роскомнадзора.
Моя рекомендация: пока нет нормативки, попробуйте направить это уведомление в свободной форме. На горячей линии меня заверили, что специалисты Роскомнадзора после получения свяжутся с заявителем и объяснят, чего в поданном документе не хватает. С другой стороны, пока нет чётких указаний сверху, Роскомнадзор может создать дополнительные требования, но, на мой взгляд, будет руководствоваться требованиями, которые изложены в пункте 5 статьи 1 анализируемого закона. О них далее.
2. Как залететь в реестр
Итак, на сегодня нам известны только следующие критерии, по которым компания может предоставлять услуги хостинга и быть включённой в реестр:
Нужно являться российским юридическим лицом, при этом доли (акции) не менее чем 50% в капитале должны принадлежать гражданам РФ (без иного гражданства) / государственным и муниципальным органам РФ / юридическим лицам, у которых меньше 50% иностранного участия.
Не иметь записи о недостоверности адреса местонахождения в ЕГРЮЛ. Не должно быть ситуации, когда налоговая пришла по юрадресу, а ни сотрудников, ни директора там нет.
При оказании услуг хостинга необходимо соответствовать требованиям по защите информации, которые установит Минцифры по согласованию с ФСБ. Соответствующего документа сейчас нет, но подозреваю, что там, как и в других приказах ФСБ и ФСТЭК в области защиты информации, будет много требований и они окажутся затратными. Именно это обстоятельство может способствовать уходу с рынка малых игроков.
Технические средства, с помощью которых оказываются услуги хостинга, находятся на территории РФ. Тут, думаю, всё понятно: сервер должен находиться где-нибудь в нашей стране.
Думаю, эти критерии и требования не исчерпывающие, и полагаю, что их будет больше после публикации официальных документов от Роскомнадзора и Правительства РФ. Но именно перечисленные несут в себе дух закона, о котором мы говорили в предисловии.
3. Как не вылететь из реестра
Закон направлен на то, чтобы на рынке оставались только добропорядочные хостеры. И теперь регламентировано, что должен делать “добропорядочный” хостер, чтобы не вылететь из реестра:
Соблюдать все требования, которые перечислены в предыдущем разделе.
Соблюдать требования к вычислительной мощности технических средств, а также осуществлять взаимодействие с органами, которые ведут оперативно-розыскные мероприятия (МВД, ФСБ, таможня и т. д.) и принимать меры, чтобы эти мероприятия не были раскрыты третьим лицам. Порядок этого взаимодействия и требований к мощности установит правительство РФ. Да, документа тоже нет.
Участвовать в учениях. Далее цитата из закона: «…в целях приобретения практических навыков по обеспечению устойчивого, безопасного и целостного функционирования на территории Российской Федерации информационно-телекоммуникационной сети “Интернет”». Подробнее об этих «учениях» читайте в постановлении.
Далее идёт ряд технических требований, комментирование которых за рамками моей компетенции:
Соблюдать требования по устойчивому функционированию средств связи, обеспечивающих взаимодействие со средствами связи других операторов связи.
Использовать точки обмена трафиком, сведения о которых содержатся в реестре точек обмена трафиком.
Использовать технические и программные средства (в том числе средства связи), функционирующие в соответствии с требованиями, а также национальную систему доменных имён.
Оказывать услуги хостинга только лицу, прошедшему идентификацию (аутентификацию) в соответствии с порядком, который установит правительство РФ. Такого документа тоже нет. Я предполагаю, что будут использоваться способы, которые вводит этот же закон для владельцев сайтов: через госуслуги, через российскую электронную почту, через номер телефона с помощью оператора связи.
В случае несоблюдения вышеперечисленных обязательств Роскомнадзор направляет требование об устранении нарушений. Их необходимо будет устранить в течение 10 рабочих дней, в противном случае вы можете “вылететь” из реестра. Закон не указывает на безусловное исключение, он указывает, что это «является основанием для исключения», то есть вероятность, что вас не исключат из реестра за единичное нарушение и его неустранение.
Если компании нет в реестре, а она оказывает услуги хостинга, с 1 февраля 2024 года это будет запрещено, однако сейчас прямой статьи, предусматривающей наказание за это, КоАП РФ не предусмотрено.
4. Как же теперь быть?
На мой взгляд, стоит уже сейчас подготовиться к нововведениям и сделать необходимый минимум. Благо время для этого есть. Мои рекомендации:
Изучить, насколько ваша компания соответствует требованиям, которые я перечислил в разделе 3 этой статьи. Именно они, на мой взгляд, будут руководящими для выживания вашего бизнеса.
Провести аудит ваших технических и программных средств на соответствие требованиям, которые должно установить Минцифры по согласованию с ФСБ.
Уже сейчас можно провести аудит на соответствие техническим требованиям из Приказа Минкомсвязи России от 09.10.2019 № 579 и Приказ Минкомсвязи России от 16.09.2019 № 510.
Дождаться документа о требуемой вычислительной мощности ваших технических средств. Предположу, что они должны быть такие, чтобы правоохранительные органы имели возможность установить средства мониторинга в своих оперативных целях и “доставать” данные в течение какого-то периода, по аналогии с требованиями к операторам связи и мессенджерам.
Ввести в бизнес-процесс меры по идентификации клиентов. На мой взгляд, однозначно одними из способов будут указаны портал «Госуслуги» и номер телефона при содействии оператора связи. Пока непонятно, будет ли это относиться к текущим клиентам, но по аналогии с новыми требованиями к регистрации на сайтах это не должно их задеть.
Факультативно, при наличии такой возможности, выделить сотрудника, который будет отвечать за взаимодействие с правоохранительными органами, участие в учениях, перед Роскомнадзором — за устранение возможных нарушений. Сотрудник должен владеть нормативной базой, которая будет внедрена для регулирования деятельности хостинг-провайдеров.
Послесловие
Да, можно сказать, что деятельность хостинг-провайдеров подвели к регуляторной гильотине, но будем надеяться, что первое время действия закона, контролирующие органы помогут участникам рынка с соблюдением новых требований.
Учитывая, что государство использует рискориентированный подход, большие компании будут первыми в проверочном списке. Это значит, что малый и средний бизнес, которого много в этой сфере, сможет учиться на ошибках больших братьев.