Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры» действует с 2017 года. Однако долгое время компании могли сами определять, какие системы подпадают под КИИ, а регуляторы не имели формализованных инструментов для проверки. Ситуация кардинально изменилась в 2025–2026 годах. В этой статье эксперты рынка прокомментировали для Кибер Медиа, как именно эволюционировало регулирование безопасности КИИ.
Содержание
Указ Президента № 250 запретил использование на значимых объектах КИИ средств защиты из недружественных стран. Срок его исполнения наступил 1 января 2025 года, и регуляторы перестали делать поблажки.
Второй фактор — изменение характера угроз. Количество целевых атак на объекты КИИ растет, а злоумышленники научились использовать уязвимости в цепочках поставок. Это заставило государство распространить требования на подрядчиков и поставщиков.
Наконец, к настоящему времени ФСТЭК России накопила практику правоприменения. Учитывая, что основная часть нарушений связана с несоответствием фактического состава объектов сведениям в реестре, регулятор пришел к выводу, что необходимо формализовать ориентиры.
Алена Лукашева
Заместитель руководителя департамента консалтинга и аудита iTPROTECT
2025 год был насыщен изменениями, и 2026 обещает быть не менее динамичным: обновляются правила категорирования и состав отчетности по объектам КИИ, актуализируется подзаконная база по ГосСОПКА, а также выходят методические документы, которые задают единый подход регулятора к оценке состояния защиты. Толчком к изменениям стали поправки в 187-ФЗ в апреле 2025 года: через них усиливается роль Правительства РФ в установлении и актуализации подзаконных правил в контуре КИИ.
Татьяна С.
Специалист по информационной безопасности ПК «РАД КОП»
Самые важные изменения: исключение из состава субъектов КИИ индивидуальных предпринимателей; расширение полномочий Правительства РФ и отраслевых регуляторов (в частности, установление перечней типовых отраслевых объектов КИИ и определение отраслевых особенностей категорирования); уточнение процедуры категорирования (включение в процесс категорирования перечней типовых объектов и отраслевых особенностей); уточнение перечня сведений, вносимых в реестр ЗО КИИ (теперь добавляется необходимость указывать наименование, доменное имя и сетевой адрес); включение вопросов технологической независимости; уточнение полномочий НКЦКИ.
В 2025 году принят пакет поправок (ФЗ № 58, ФЗ № 325), которые кардинально пересматривают подход к КИИ: от рамочного регулирования — к детальным, отраслевым требованиям с четкими сроками и персональной ответственностью.
Самое значимое нововведение — переход от индивидуальной оценки к типовым отраслевым перечням объектов КИИ. 26 февраля 2026 года Правительство РФ утвердило соответствующий перечень. Документ фиксирует базовый набор цифровых систем, которые по своей природе потенциально критичны: автоматизированные системы управления технологическими процессами, отраслевые государственные информационные системы, централизованные учетные и диспетчерские платформы, системы, обеспечивающие непрерывность публично значимых услуг.
Алена Игнатьева
Руководитель направления консалтинга и аудита информационной безопасности STEP LOGIC
С одной стороны, изменения в Постановление Правительства № 127, недавно вступившие в силу, и Распоряжение Правительства № 360-р упрощают процедуру категорирования: субъектам теперь нет необходимости классифицировать свои процессы. Достаточно проанализировать имеющиеся системы на предмет возможного отнесения к одной из сфер деятельности, перечисленных в 187-ФЗ, и сверить с перечнем типовых отраслевых объектов. С другой стороны, тем организациям, которые ранее пытались обойти требования закона путем манипуляций с определениями теперь придется в оперативном режиме выстраивать систему защиты с учетом требований ФСТЭК и ФСБ к значимым объектам, т.к. если система может быть отнесена к типовому объекту, то организация не может актом комиссии закрепить, что в ее инфраструктуре отсутствуют объекты КИИ.
Теперь у компаний сужается пространство для интерпретаций. Если система соответствует типовой модели из перечня, она точно попадает под регулирование. Универсальный подход ушел в прошлое — для каждой сферы (энергетика, транспорт, финансы, здравоохранение и др.) утверждены свои методики категорирования. Всем субъектам КИИ необходимо пересмотреть категории значимости в соответствии с новыми правилами.
Лабынцева Наталья
Ведущий консультант по информационной безопасности, «КИТ» (Киберинтеллектуальная Трансформация)
В соответствии с п. 21 Правил, субъекты КИИ обязаны периодически проводить повторное категорирование, а также в случаях изменения показателей критериев значимости. Получается, что в связи с ноябрьскими изменениями все субъекты КИИ обязаны инициировать пересмотр категорий в соответствии с новыми показателями. Если при пересмотре у каких-то объектов КИИ изменилась категория (как в большую, так и в меньшую степень), то актуальные сведения о них необходимо направить в ФСТЭК России; если категория осталась та же, отправлять сведения не требуется. При этом напомним, что установлена отдельная обязанность по поддержанию сведений об объектах КИИ в актуальном состоянии: необходимо своевременно информировать ФСТЭК России об изменениях в составе, о субъекте КИИ, об эксплуатантах и т.д.
На значимых объектах КИИ теперь обязательно использование ПО из реестра отечественного ПО, а программно-аппаратные средства должны принадлежать российским лицам или организациям, находящимся под контролем граждан РФ.
1 января 2025 года истек срок исполнения Указа Президента № 250 о запрете средств защиты из недружественных стран. С этого момента за нарушения возбуждаются административные дела. 1 марта 2026 года вступил в силу ФЗ № 325, вводящий национальный контроль над КИИ. Иностранные решения более не могут использоваться на значимых объектах. К 2030 году организации должны завершить переход на доверенные ПАК для объектов с непрерывными технологическими процессами.
Алена Игнатьева
Руководитель направления консалтинга и аудита информационной безопасности STEP LOGIC
Конкретные сроки по переходу формируют отраслевые регуляторы, крайний срок – 2031 год. Если говорить про средства защиты информации, то они уже (с 1 января 2026 года) должны быть российского производства. Если есть иностранное ПО, которое невозможно заменить на отечественное, то надо быть готовым к тому, чтобы максимально жестко изолировать его на сетевом уровне и прорабатывать компенсирующие меры, в том числе для защиты от угроз, связанных с внутренними нарушителями и неосторожными действиями пользователей. И, конечно, параллельно искать альтернативные пути решения (поиск новых вендоров или заказная разработка, перестроение бизнес-процессов).
При этом рынок сталкивается с объективными ограничениями: не во всех сегментах есть зрелые российские аналоги. Особенно остро проблема стоит в аппаратном обеспечении, промышленных контроллерах, системах виртуализации. Государство признает эти сложности, предусмотрев исключения для высокорисковых объектов, но требуя при этом детального документального обоснования.
Тимофей Поляков
Руководитель управления развития системной интеграции, аудита и консалтинга BI.ZONE
Чтобы снизить риски, рекомендуем организациям провести аудит информационных ресурсов на соответствие отраслевым требованиям, а также выстроить взаимодействие с ГосСОПКА, оценить долю используемого иностранного ПО с планированием перехода на отечественные решения (при наличии такой возможности).
Изменения 2025–2026 годов окончательно снимают иллюзию, что КИИ касается только госкорпораций и крупного бизнеса. На подрядчиков, имеющих доступ к ИТ-инфраструктуре значимых объектов, будут распространяться требования 187-ФЗ. Типовые нарушения, по данным регулятора, включают отсутствие контроля за действиями таких подрядчиков.
Алена Игнатьева
Руководитель направления консалтинга и аудита информационной безопасности STEP LOGIC
На публичных мероприятиях представители ФСТЭК неоднократно заявляли, что одним из самых распространенных нарушений является несвоевременная подача актуальных сведений об объектах КИИ. И это критичное нарушение, т.к., если сведения об изменении состава объектов КИИ не предоставляются своевременно, снижается качество и оперативность данных об уязвимостях и потенциальных атаках, скорость реагирования и общий уровень защищенности информационной инфраструктуры РФ. В текущих условиях количество систем, которые бы были полностью изолированы от иных сетей, ничтожно мало. Нужно помнить и отчетливо осознавать, что атака на отдельные системы может привести к эффекту домино. Банк России в своей отраслевой методике категорирования пошел еще дальше и требует от поднадзорных ежегодного пересмотра перечня объектов и присвоенных категорий значимости, а также вводит ежеквартальную отчетность с целью поддержания актуальной информации об объектах финансовой сферы.
Субъектом КИИ может быть не только организация, непосредственно работающая в заявленных отраслях, но и компании, обеспечивающие взаимодействие систем-объектов КИИ, а также подрядчики, эксплуатирующие клиентские части таких систем. Это касается и операторов инфраструктуры, например небольших ЦОДов, на мощностях которых размещаются объекты КИИ — они теперь обязаны выстраивать защиту по тем же принципам, что и другие субъекты КИИ.
Никита Фотин
Ведущий инженер группы систем защиты АСУ ТП компании «Газинфорсервис»
Основное техническое требование — именно обеспечение непрерывного взаимодействия, способы реализации подключения приведены на сайте НКЦКИ и потребуют наличие сертифицированного средства для организации шлюза обмена информацией. Штрафы за неисполнение любых требований, предъявляемых к субъектам КИИ, те же, в соответствии с законодательством РФ.
Новые правила информирования об инцидентах заметно сократили сроки уведомления об инцидентах:
Таким образом, информировать теперь нужно даже при подозрении на фишинг, а не только при серьезных инцидентах.
Тимофей Поляков
Руководитель управления развития системной интеграции, аудита и консалтинга BI.ZONE
Изменения направлены на уточнение функций ГосСОПКА и расширение обмена информацией, включая сведения о компьютерных атаках. Однако кардинально порядок информирования о компьютерных инцидентах не меняется. Субъекты КИИ по-прежнему обязаны незамедлительно уведомлять о них ФСБ России. Кроме того, субъекты КИИ должны организовать процессы мониторинга и реагирования на инциденты, внедрить средства обнаружения атак, назначить ответственных лиц и обеспечить взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ). За неисполнение этих требований предусмотрена административная ответственность для должностных и юридических лиц.
Юлия Петухова
Старший аналитик Аналитического Центра ИТ-компании УЦСБ
Отметим, что для субъектов КИИ без значимых объектов КИИ неактуальны требования по обязательному подключению к технической инфраструктуре НКЦКИ, однако остается обязанность по информированию о компьютерных инцидентах и атаках с использованием электронной почты и почтовой связи.
Приказ ФСТЭК № 117 утвердил новые требования к защите информации, вступившие в силу с 1 марта 2026 года. Меры защиты больше не выбираются по «жесткой» таблице в зависимости от класса системы, а подбираются и верифицируются под конкретную архитектуру и актуальные угрозы. Для значимых объектов КИИ обязательна актуальная модель угроз. При этом ФСТЭК уже включила в банк данных угрозы, связанные с контейнеризацией, что требует пересмотра существующих моделей. Появились требования для строгой аутентификации: для привилегированного доступа требуется многофакторная аутентификация (MFA).
Наконец, изменилась и ответственность за обеспечение кибербезопасности. Указ Президента № 250 прямо устанавливает: персональная ответственность за обеспечение ИБ возлагается на руководителя организации. Статья 13.12.1 КоАП определяет административную ответственность за несоблюдение требований к системам безопасности ЗОКИИ (штраф для должностных лиц 10–50 тыс. руб., для юрлиц — 50–100 тыс. руб.) и нарушение порядка информирования об инцидентах (штраф для юрлиц до 500 тыс. руб.). За нарушение правил эксплуатации КИИ с использованием служебного положения предусмотрена и уголовная ответственность (ст. 274.1 УК РФ): от 3 до 8 лет лишения свободы, а при наличии тяжких последствий — от 5 до 10 лет лишения свободы.
Новое регулирование касается практически всех организаций — с госсектором так или иначе взаимодействуют практически все участники рынка.
Для субъектов КИИ (госорганов, корпораций, операторов инфраструктуры) ближайшие действия связаны с оценкой и выполнением изменившихся требований. Необходимо провести рекатегорирование с учетом типовых отраслевых перечней, пересмотреть категории значимости всех объектов. ФСТЭК добавила в банк данных новые угрозы (контейнеризация, облачные среды), поэтому предыдущие модели угроз считаются устаревшими — нужно актуализировать.
В части импортозамещения следует провести инвентаризацию средств защиты и заменить те, что подпадают под запрет Указа № 250, до наступления административной ответственности. Для субъектов КИИ также станет обязательным взаимодействие с НКЦКИ в технической части — не по телефону или факсу, а через полноценное подключение.
Лабынцева Наталья
Ведущий консультант по информационной безопасности, «КИТ» (Киберинтеллектуальная Трансформация)
Под непрерывным взаимодействием с ГосСОПКА подразумевается подключение к технической инфраструктуре НКЦКИ и использование личного кабинета в системе НКЦКИ. Отметим, что обязанности по непрерывному взаимодействию установлены для субъектов КИИ, эксплуатирующих значимые объекты КИИ. Порядок осуществления непрерывного взаимодействия утвержден Приказом ФСБ России от 25.12.2025 № 548.
Ключевой риск у подрядчиков и аутсорсеров в том, что передача функций не означает передачу ответственности. Поэтому таким компаниям нужно зафиксировать статус эксплуатирующей организации, отразив это в результатах категорирования. Требования кибербезопасности должны быть явно прописаны в договорах: с указанием зон ответственности, регламента при инцидентах, порядка обеспечения доступа и отзыва прав. Кроме того, нужно подготовиться к аудитам — субъект КИИ имеет право проверять, как подрядчик выполняет требования безопасности.
Малый и средний бизнес теперь впервые столкнется с требованиями по части КИИ. Если компания пользуется правом аренды информационной системой, которая является объектом КИИ, она обязана ее защищать. Если она оказывает услуги государственному органу и обрабатывает информацию ограниченного доступа, к ней применяются требования Приказа ФСТЭК № 117.
Отсюда рекомендация: провести инвентаризацию систем и договоров. Все компании, которые предоставляют ЦОДы для размещения объектов КИИ, эксплуатируют клиентские части таких систем или имеют к ним какое-либо иное отношения, должны исходить из того, что они субъект КИИ.
Алена Лукашева
Заместитель руководителя департамента консалтинга и аудита iTPROTECT
Внутренний аудит в этой части должен проверять не только наличие средств защиты информации, но и корректность настройки и эксплуатации. Нужен управляемый комплект организационно-распорядительной и технорабочей документации, подтверждающий настройки и фактическую работу мер, а также соблюдение установленной периодичности оценки. Если на момент аудита каких-то средств защиты или процессов нет, сильной позицией будет не объяснение причин, а оформленный план мероприятий с приоритетами, сроками и ответственными, который можно предъявить как доказательство управляемого устранения дефицитов.
Руководители компаний обязаны создать ИБ-подразделения или возложить соответствующие функции на уже существующий департамент. Нужно назначить заместителя по информационной безопасности, причем это должен быть сотрудник с профильным образованием или переподготовкой не менее 360 часов.
Делегирование оперативного управления не снимает ответственности с первого лица. Если инцидент квалифицирован как совершенный «с использованием служебного положения», минимальный срок по ст. 274.1 УК РФ — 3 года лишения свободы.
Никита Фотин
Ведущий инженер группы систем защиты АСУ ТП компании «Газинфорсервис»
К основным направлениям в организации в ближайшие годы я бы относил следующие:
0) При необходимости, повторное категорирование объектов КИИ и инвентаризация используемого ПО и оборудования;
1) миграция на отечественные продукты, эксплуатируемые в составе ОКИИ, что потребует составление плана по переходу, а также выделение соответствующих бюджетов;
2) оперативное создание постоянного подключения к ГосСОПКА, благо это требует минимальных вложений для организации;
3) техперевооружение или создание новой системы защиты информации с использованием именно сертифицированных программных продуктов, при этом поставляемых в составе доверенных ПАК.
Изменения 2025–2026 годов — это смена парадигмы регулирования КИИ. Государство переходит от рамочного закона к детальным, отраслевым требованиям с четкими сроками, формализованными перечнями и персональной ответственностью. Бизнесу придется действовать в новых жестких рамках.
Атаки на системы искусственного интеллекта смещаются с уровня кода на уровень данных.
Бурное внедрение нейросетей в бизнес-процессы породило не только новые возможности, но и специфические угрозы: от галлюцинаций и утечек обучающих выборок до жестких требований EU AI Act.
47% экспертов, представляющих руководство средних и крупных компаний, считают атаки с целью вымогательства главным риском своей информационной безопасности в 2025 году.
Корпоративные VPN перестают быть технической «данностью» и переходят в категорию регулируемых сетевых сервисов.
Вельц Сергей Владимирович - технический директор, соучредитель ООО "КБ ТехноСкор" специально для читателей Кибер Медиа рассказывает, как банку автоматизировать комплаенс-контроль, отказаться от рутины и превратить управление рисками из угадывания в точный расчет с помощью AI-агентов.
В 2026 году ландшафт цифровых коммуникаций претерпевает серьезные изменения: на фоне локальных сбоев связи, инфраструктурных ограничений и растущей потребности в автономности пользователи массово переходят на альтернативные способы общения.
Количество кибератак растет, а вместе с ними — и бюджеты на информационную безопасность.
Принцип security by obscurity знаком каждому, кто хоть немного погружен в кибербезопасность.
Категорирование объектов критической информационной инфраструктуры в 2026 году обрело новые контуры.
Современная атака может не оставить ни одного файла на диске — и при этом полностью скомпрометировать инфраструктуру.
