Le président de la Fédération de Russie, Vladimir Poutine, a signé, le 1er mai 2022, le décret n° 250 « Sur des mesures supplémentaires pour assurer la sécurité de l’information de la Fédération de Russie ».
Ces mesures s’appliquent à certaines entités publiques et privées, y compris les entreprises stratégiques, les sociétés par actions et les entités juridiques impliquées dans l’infrastructure d’information critique.
Il impose notamment à ces organisations :
- attribuer le pouvoir d’assurer la sécurité de l’information au chef de l’organisation pour la détection, la prévention et la correction des cyberattaques ;
- créer une structure qui exécute les fonctions de sécurité de l’information ;
- si nécessaire, associer des organisations tierces à la mise en œuvre des mesures de sécurité de l’information, ces organisations étant dûment autorisées ou accréditées ;
- veiller à ce que le Service fédéral de sécurité (FSB) ait un accès sans entrave (y compris à distance) à ses ressources d’information à des fins de surveillance ;
- assurer la mise en œuvre rapide des mesures techniques et organisationnelles, telles que déterminées par le FSB et FSTEC (ndlr, le Service fédéral de contrôle technique et des exportations est une agence militaire de la Fédération de Russie qui octroie des licences pour l’exportation d’armes et d’articles technologiques à double usage, également responsable de la sécurité de l’information militaire russe).
À cet égard, le décret définit des priorités supplémentaires pour le gouvernement de la Fédération de Russie et le FSB afin d’édicter d’autres règles et procédures, telles qu’un cadre qui obligerait les organisations à évaluer le niveau de sécurité de leurs systèmes d’information par l’intermédiaire de fournisseurs de services agréés d’ici le 1er juillet 2022.