То, что требования будут ужесточаться, Минцифры анонсировало давно. Что же должно измениться согласно законопроекту:
обязательная совместимость ПО с двумя ОС из реестра, которые соответствуют "дополнительным требованиям" (тут ничего нового, это обещали сделать давно)
Допущение: ПО может быть совместимо только с одной ОС при условии, что такое ПО используется исключительно в составе ПАК. При этом заявление о включении такого ПАК в реестр должно быть подано не позднее 6 месяцев с даты регистрации в реестре ПО, в противном случае ПО будет исключено из реестра (примечание: здесь у меня пока вопросы к формулировкам, т.к. до сих пор заявитель по ПО и заявитель по ПАК, включающему соответствующее ПО, могли быть разными лицами).
появляется перечень дополнительных требований к ПО, разработанному госкорпорациями;
уточняются сроки рассмотрения заявления после его регистрации;
явно обозначена ежегодная проверка сведений реестра;
при подаче заявки нужно подтверждать доходы от ПО по лицензионным договорам либо в рамках иной льготной ИТ-деятельности (ограниченяи по суммам не установлены, т.е. может быть в том числе 0).
Отдельно сформулирован перечень дополнительных требований к ПО, включенному в реестр отечественного и участвующего в государственных и муниципальных закупках. В частности:
ПО должно быть совместимо минимум с одним российским процессором ( с 01.01.2028 не менее, чем с двумя);
Соблюдение условий лицензионных соглашений на открытое ПО, использованное при разработке;
Обновления ПО допустимы только при разрешении со стороны пользователя. Для обновления не должны использоваться технические и программные средства, расположенные за пределами РФ;
Правообладатель собственными силами или с привлечением третьих лиц должен осуществлять разработку, модификацию, модернизацию ПО, обеспечивающую реализацию новых функциональных характеристик;
Наличие у правообладателя технической поддержки пользователей на всей территории РФ;
Наличие у правообладателя средств разработки, комплекта конструкторской, программной, эксплуатационной и технологической документации на русском языке;
Правообладатель должен публиковать информацию об обновлениях ПО, а также описание публичных API на официальном сайте в сети «Интернет»;
Наличие у правообладателя сервиса автоматизированной системы учета и отслеживания ошибок и уязвимостей, выявляемых на всех этапах жизненного цикла, в том числе, в процессе эксплуатации ПО;
Наличие у правообладателя инфраструктуры обучения пользователей навыкам эксплуатации и настройки программного обеспечения;
Отсутствие неустраненных уязвимостей в программном обеспечении в течение 30 дней с момента их опубликования в банке данных угроз безопасности.
Помимо общих установлены также дополнительные специальные требования к следующим видам ПО:
системному ПО;
офисному ПО;
промышленному ПО.
Очевидно, что ужесточение требований отвечает взятому курсу на технологический суверенитет. Насколько готовы будут ИТ-компании к изменениям и какова судьба уже включенного в реестр ПО, покажет время. Наблюдаем...