I. Эволюция нормативной базы: от фрагментации к системности

1.1. Поправки к Федеральному закону №187-ФЗ (вступили в силу 1 сентября 2025 г.)

Федеральный закон №58-ФЗ, внесший изменения в базовый закон «О безопасности критической информационной инфраструктуры Российской Федерации», содержит два принципиальных нововведения:
Исключение индивидуальных предпринимателей из субъектов КИИ. Данная норма формализовала практику, сложившуюся в ходе правоприменения: ИП, осуществлявшие деятельность в сферах транспорта, энергетики или финансов, ранее попадали под действие закона формально, однако реальная значимость их объектов для национальной безопасности оставалась дискуссионной. Теперь статус субъекта КИИ приобретает исключительно юридическое лицо, что упрощает администрирование и фокусирует ресурсы регулятора на системно значимых акторах.
Мандат на использование российского программного обеспечения. Статья 10.1 в редакции 2025 года устанавливает прямой запрет на применение иностранного ПО в значимых объектах КИИ при наличии аналогов в Едином реестре российского программного обеспечения. Исключения допускаются лишь при технической невозможности замены, подлежащей документальному подтверждению. Это положение трансформирует рыночную конъюнктуру: отечественные разработчики получают преференции, а импортозависимые организации сталкиваются с необходимостью ускоренной миграции.

1.2. Постановление Правительства РФ №1762 от 7 ноября 2025 г.

Вступившее в силу 15–18 ноября 2025 года постановление радикально пересмотрело методологию категорирования объектов КИИ. Ключевые трансформации:
Переход к отраслевой типологии. Вместо универсальных критериев значимости, применявшихся ранее, введена система «типовых отраслевых объектов КИИ» (ТОО КИИ). Каждая отрасль (транспорт, финансовый сектор, оборонно-промышленный комплекс, топливно-энергетический комплекс и др.) получила специфические показатели значимости, учитывающие специфику производственных процессов и рисков.
Динамическая модель идентификации. Субъекты КИИ обязаны не только категорировать существующие объекты, но и выявлять «новые» объекты — информационные системы или автоматизированные системы управления, ранее не попадавшие под действие режима КИИ, но отвечающие обновленным критериям. Это требование создает институт проактивной compliance-функции: организации должны вести непрерывный мониторинг изменений в IT-ландшафте.
Институционализация обратной связи. Введена обязанность субъектов КИИ предлагать дополнения в отраслевые перечни типовых объектов, а мониторинговым органам — оперативно информировать ФСТЭК о выявленных нарушениях. Данный механизм призван обеспечить адаптивность регулирования к технологическим инновациям.

1.3. Федеральный закон №325-ФЗ от 31 июля 2025 г.

Закон ввел структурные ограничения на иностранное участие в капитале субъектов КИИ. Хотя текстовка нормы допускает различные интерпретации (прямые запреты vs. процедуры согласования), практика применения указывает на ужесточение контроля за корпоративной структурой операторов значимых объектов. Для организаций с международным участием это означает необходимость реструктуризации капитала или получения индивидуальных разрешений, что увеличивает транзакционные издержки и юридические риски.

---

II. Новая парадигма защищенности: от аттестации к непрерывному мониторингу

2.1. Приказ ФСТЭК №117 от 11 апреля 2025 г. (действует с 1 марта 2026 г.)

Заменивший Приказ №17, действовавший с 2013 года, документ вводит количественную оценку защищенности (КЗИ) — методологию, коренным образом изменяющую подход к сертификации объектов КИИ.
Шестнадцать критериев оценки. Вместо бинарной модели «соответствует/не соответствует» требованиям безопасности, КЗИ предполагает измерение уровня защищенности по шкале, учитывающей:

• Управление доступом и идентификацию
  
• Защиту границ информационных систем
  
• Обнаружение вторжений и антивирусную защиту
  
• Защиту каналов связи
  
• Резервирование и восстановление после сбоев
  
• Управление инцидентами и др.
  

Непрерывный мониторинг уязвимостей. Отказ от периодической аттестации (раз в 3–6 лет) в пользу постоянного сканирования, анализа угроз и оперативного устранения уязвимостей. Субъекты КИИ должны внедрить системы управления уязвимостями (Vulnerability Management), интегрированные с национальной системой управления инцидентами кибербезопасности.
Риск-ориентированный подход. Категория значимости объекта определяет целевой уровень КЗИ: объекты первой категории должны демонстрировать максимальные показатели по всем критериям, тогда как для объектов второй категории допустимы компромиссные решения с обоснованием рисков.

2.2. Ожидаемое обновление Приказа №239

Планируемое на I квартал 2026 года изменение Приказа ФСТЭК №239 (утверждающего требования к защите значимых объектов КИИ) синхронизируется с Приказом №117. Ожидается:

• Детализация мер защиты для облачных инфраструктур
  
• Уточнение требований к криптографической защите информации
  
• Регламентация использования технологий искусственного интеллекта в системах обнаружения угроз
  

---

III. Отраслевая спецификация: перечни типовых объектов

Постановление Правительства РФ №4 от 16 января 2026 года утвердило отраслевые перечни ТОО КИИ, завершив переход от универсальной модели к дифференцированному регулированию. Примеры типовых объектов:

Отрасль	Примеры ТОО КИИ	Специфические показатели значимости
Транспорт	Системы управления воздушным движением, диспетчеризация железнодорожного транспорта, автоматизированные системы портов	Количество перевозимых пассажиров/грузов в сутки, критичность маршрута
Финансовый сектор	Системы межбанковских переводов, клиринговые системы, депозитарии	Объем обрабатываемых транзакций, системная значимость участника
ОПК	Системы управления производством вооружений, защищенные каналы связи оборонных предприятий	Уровень грифа секретности, критичность для обороноспособности
ТЭК	Системы диспетчеризации электросетей, управление нефтепроводами	Мощность генерирующих мощностей, объем транспортируемых ресурсов

---

IV. Сравнительный анализ: трансформация требований

Аспект регулирования	До обновлений (2024–2025)	После обновлений (2025–2026)	Стратегические импликации
Субъектный состав	Юридические лица и индивидуальные предприниматели	Исключительно юридические лица	Снижение административной нагрузки на малый бизнес, фокус на системных акторах
Категорирование	Универсальные критерии значимости для всех отраслей	Типовые отраслевые объекты с учетом специфики производства	Необходимость привлечения отраслевых экспертов, пересмотр классификации активов
Программное обеспечение	Допустимо использование любого ПО, соответствующего требованиям безопасности	Обязательное применение ПО из реестра российского софта (с исключениями)	Ускоренная миграция, аудит лицензий, риски функциональных ограничений
Оценка защищенности	Периодическая аттестация (раз в 3–6 лет)	Непрерывный мониторинг КЗИ по 16 критериям	Инвестиции в SOC (Security Operations Center), автоматизация сканирования
Корпоративное управление	Ограниченный контроль за структурой собственности	Ограничения на иностранное участие, усиленная отчетность	Реструктуризация капитала, due diligence контрагентов
Взаимодействие с регулятором	Эпизодическая отчетность по инцидентам	Проактивное выявление объектов, предложения в перечни, оперативное информирование о нарушениях	Формирование функции compliance, юридизация IT-процессов

---

V. Оценка последствий и рисков

5.1. Операциональные вызовы для субъектов КИИ

Инвентаризация и перекатегорирование. Отсутствие переходного периода для Постановления №1762 (вступление в силу в ноябре 2025 года) создало «compression effect»: организации должны были одновременно провести аудит IT-активов, пересмотреть категории объектов согласно отраслевым критериям и подготовить документацию для ФСТЭК в сжатые сроки. Для крупных холдингов с распределенной инфраструктурой это означало задействование значительных ресурсов — от сотен человеко-часов до привлечения внешних консультантов.
Миграция на отечественное ПО. Требование использования российского софта столкнулось с объективными ограничениями: отсутствие функциональных аналогов для специализированных систем (SCADA, СУБД высокой доступности), проблемы совместимости, необходимость переобучения персонала. Риски простоев в критически важных системах заставляли организации искать баланс между формальным compliance и операционной непрерывностью.
Количественная оценка защищенности. Внедрение КЗИ требует не только технических средств (сканеры уязвимостей, SIEM-системы), но и методологической перестройки: формирование метрик, baseline-ов, процедур регулярного пересмотра. Для многих организаций это означает трансформацию подхода к информационной безопасности из «бумажной» аттестации в операционную функцию с измеримыми KPI.

5.2. Позитивные эффекты

Унификация и предсказуемость. Отраслевые подходы снижают разночтения в правоприменении, позволяют субъектам КИИ ориентироваться на отраслевые best practices. Финансовые организации, ранее сталкивавшиеся с «двойным регулированием» (требования ЦБ РФ и ФСТЭК), получают синхронизированные стандарты.
Технологический суверенитет. Миграция на отечественное ПО, несмотря на краткосрочные издержки, создает предпосылки для развития национальной IT-индустрии, снижает зависимость от геополитических рисков (санкции, ограничение доступа к обновлениям западного ПО).
Повышение реальной защищенности. Переход от статичной аттестации к непрерывному мониторингу теоретически повышает устойчивость к современным киберугрозам, требующим оперативной реакции (ransomware, supply chain attacks, zero-day уязвимости).

5.3. Системные риски

Методологическая неопределенность. На момент вступления в силу ключевых документов (Постановление №1762, Приказ №117) проекты отраслевых перечней и методик расчета КЗИ находились в стадии доработки. Это создавало риски неправильной классификации объектов, недостаточной защищенности или, напротив, избыточных затрат на необязательные меры.
Кадровый дефицит. Одновременная трансформация всего сектора КИИ привела к резкому росту спроса на специалистов по информационной безопасности, аудиторам, compliance-менеджерам. Дефицит кадров угрожает срывом сроков внедрения и ростом стоимости услуг консультантов.
Фрагментация рынка ПО. Требование использования реестрового ПО в условиях ограниченного предложения может привести к монополизации отдельных сегментов, снижению качества поддержки и отсутствию конкуренции.

---

VI. Стратегические рекомендации для субъектов КИИ

6.1. Немедленные меры (1-2 квартал 2026)

1. Комплексный аудит IT-активов. Провести инвентаризацию всех информационных систем, АСУ ТП и средств связи с привлечением отраслевых экспертов для идентификации ТОО КИИ согласно новым перечням.
   
2. Перекатегорирование объектов. Пересмотреть присвоенные категории значимости с учетом обновленных показателей, подготовить обоснования для ФСТЭК.
   
3. План миграции ПО. Разработать дорожную карту перехода на российское программное обеспечение с приоритизацией критичных систем, оценкой рисков и запросами исключений для технически невозможных к замене компонентов.
   
4. Анализ корпоративной структуры. Провести due diligence собственников и контрагентов на предмет соответствия требованиям ФЗ №325-ФЗ, инициировать реструктуризацию при необходимости.
   

6.2. Среднесрочная адаптация (2026 год)

1. Внедрение системы КЗИ. Развернуть инфраструктуру непрерывного мониторинга защищенности, интегрировать с существующими средствами безопасности, обучить персонал методологии оценки.
   
2. Подготовка к обновлению Приказа №239. Синхронизировать планы защиты информации с ожидаемыми требованиями к облачным инфраструктурам и ИИ-технологиям.
   
3. Развитие compliance-функции. Сформировать подразделение или назначить ответственных за проактивное выявление объектов КИИ, взаимодействие с регулятором, управление инцидентами.
   

6.3. Управление рисками

• Юридическое сопровождение. Привлечение специализированных юридических фирм для снижения рисков штрафов (до 500 000 руб. за нарушения требований к защите КИИ) и административной ответственности должностных лиц.
  
• Сценарное планирование. Разработать планы реагирования на сбои в процессе миграции ПО, включая процедуры отката и обеспечения непрерывности бизнеса.
  
• Взаимодействие с отраслевыми ассоциациями. Участие в формировании методических рекомендаций, обмен опытом с пилотными организациями, лоббирование разумных сроков адаптации.
  

---

Заключение

Законодательные обновления конца 2025 — начала 2026 года формируют новую архитектуру регулирования критической информационной инфраструктуры России, характеризующуюся тремя ключевыми трендами: отраслевая дифференциация, технологический суверенитет и операционализация безопасности.
Для субъектов КИИ этот период представляет собой одновременно вызов и возможность: вызов — в виде значительных трансформационных издержек, необходимости перестройки процессов и инвестиций в compliance; возможность — в формировании устойчивой, технологически независимой и реально защищенной инфраструктуры, адекватной современным киберугрозам и геополитическим реалиям.
Успешная адаптация требует системного подхода, сочетающего техническую подготовку, юридическую экспертизу и стратегическое планирование. Организации, способные оперативно интегрировать новые требования в свои операционные модели, получат конкурентное преимущество в виде повышенной устойчивости и предсказуемости взаимодействия с регулятором.