1. Изменения в Федеральном законе №187-ФЗ
Вступили в силу 1 сентября 2025 года (Федеральный закон №58-ФЗ от 7 апреля 2025 г.):- Исключение ИП из субъектов КИИ — статус приобретают исключительно юридические лица и государственные органы, осуществляющие деятельность в установленных сферах и владеющие объектами КИИ. Это упрощает администрирование и фокусирует ресурсы регулятора на системно значимых акторах.
- Расширение круга обязанных лиц — отдельные обязанности (информирование об инцидентах, установка средств обнаружения, взаимодействие с ГосСОПКА) распространяются также на российские юридические лица под контролем РФ или субъектов РФ, не являющиеся субъектами КИИ. Это потенциально касается всех лиц, в отношении которых применяется 44-ФЗ и 223-ФЗ, а также активов под управлением Росимущества.
- Обязанность использования российского ПО — на значимых объектах КИИ запрещено применение иностранного ПО при наличии аналогов в Едином реестре российского программного обеспечения. Исключения допускаются лишь при технической невозможности замены с документальным подтверждением.
- С 1 марта 2026 года появился альтернативный вариант: использование ПО, включённого в перечень российских программ, разработанных и используемых для собственных нужд российскими юридическими лицами. Для включения требуется доказать принадлежность прав российскому правообладателю.
2. Постановления Правительства РФ: отраслевая типология объектов КИИ
Распоряжение Правительства РФ от 26 февраля 2026 года №360-р утвердило перечень типовых отраслевых объектов КИИ — около 400 позиций, охватывающих здравоохранение, науку, транспорт, связь, энергетику, банковскую сферу, ТЭК, атомную энергию и др. В перечень вошли, в частности, ERP-системы.Постепенно публикуются отраслевые особенности категорирования:
- Атомная энергия — Постановление Правительства РФ от 16.01.2026 № 4
- Банковская сфера и финансовый рынок — Постановление от 06.02.2026 № 92 (субъекты КИИ обязаны с 2027 года ежегодно, не позднее 10-го рабочего дня года, направлять информацию об актуальном перечне значимых объектов и решение о пересмотре категорий)
- Сфера науки — Постановление от 07.03.2026
- Недвижимость — проект постановления об отраслевых особенностях категорирования в сфере госрегистрации прав (общественное обсуждение завершено 17.02.2026)
3. Приказ ФСТЭК №117: новая парадигма защищённости
Действует с 1 марта 2026 года. Заменил устаревший Приказ №17 (2013 г.) и перевёл защиту на риск-ориентированную модель.Ключевые нововведения:
| Аспект | Суть изменения |
|---|---|
| Количественная оценка защищённости (КЗИ) |
Вместо бинарной модели «соответствует/не соответствует» — измерение по шкале по 16 критериям (управление доступом, защита границ, обнаружение вторжений, резервирование и др.). Расчёт не реже 1 раза в 6 месяцев. |
| Показатель зрелости (ПЗИ) |
Оценка достаточности и эффективности проведения мероприятий — не реже 1 раза в 2 года. |
| Непрерывный мониторинг |
Отказ от периодической аттестации (раз в 3–6 лет) в пользу постоянного сканирования, анализа угроз и оперативного устранения уязвимостей. |
| Жёсткие сроки устранения уязвимостей |
Критические — до 24 часов, высокие — до 7 календарных дней. Сканирование активов — не реже 1 раза в месяц. |
| Процессный подход |
Замкнутый цикл: планирование → реализация → оценка → совершенствование (модель PDCA). |
| Расширение круга регулируемых |
Под действие попадают не только владельцы ГИС, но и организации, взаимодействующие с ними (подрядчики, интеграторы). |
| Требования к кадрам |
Не менее 30% сотрудников ИБ-подразделения — с профильным образованием или переподготовкой; руководитель ИБ — не ниже заместителя руководителя. |
| Защита привилегированного доступа |
Запрет объединения ролей системного администрирования, разработки и администрирования безопасности в одной учётной записи; обязательная регистрация действий. |
Переходный период: аттестаты соответствия, выданные по Приказу №17, сохраняют действие, но при модернизации систем требуется приведение мер защиты в соответствие с новым приказом.
4. Сроки перехода на российское ПО (2026–2036)
Минцифры подготовило проект постановления с дифференцированными сроками:| Сценарий | Предельный срок |
|---|---|
| Общий случай | 1 января 2028 года |
| Особо значимый проект до 1 января 2026 г. или контракт на разработку российского ПО до 1 сентября 2027 г. | 1 января 2031 года |
| Особо значимые проекты в 2026–2027 гг. | 1 января 2036 года |
| Новые типовые объекты КИИ (созданные после 1 января 2027 г.) | 5 лет со дня вступления в силу изменения перечня |
Федеральные министерства, Банк России, госкорпорации «Роскосмос» и «Росатом» обязаны до 1 сентября 2026 года утвердить отраслевые планы перехода и назначить ответственных лиц (не ниже заместителя руководителя).
5. Усиление ответственности
Уголовная ответственность (Федеральный закон принят Госдумой 25 марта 2026 г., одобрен Советом Федерации 1 апреля 2026 г.):- В ст. 274.1 УК РФ («Неправомерное воздействие на КИИ») уточнены общественно опасные последствия: уничтожение, блокирование, модификация и копирование компьютерной информации, содержащейся в КИИ.
- Добавлено примечание об основаниях освобождения от уголовной ответственности за нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации КИИ при условии сохранения доказательств и активного сотрудничества со следствием.
| Субъект | Штраф |
|---|---|
| Граждане | 5 000 – 10 000 ₽ |
| Должностные лица | 10 000 – 50 000 ₽ |
| Юридические лица | 100 000 – 500 000 ₽ |
6. ГосСОПКА и взаимодействие субъектов КИИ
С 1 сентября 2025 года субъекты КИИ обязаны:- Непрерывно взаимодействовать с ГосСОПКА
- Устанавливать средства обнаружения компьютерных атак и инцидентов (включая поиск признаков атак)
- Информировать уполномоченный орган об инцидентах
- Приказ ФСБ №539 (23.12.2025) — порядок получения информации о средствах и способах проведения компьютерных атак
- Приказ ФСБ №548 (25.12.2025) — порядок непрерывного взаимодействия с ГосСОПКА
7. Ожидаемые изменения в 2026–2027
- Обновление Приказа ФСТЭК №239 (I квартал 2026 г.): детализация мер защиты для облачных инфраструктур, уточнение требований к криптографической защите, регламентация использования ИИ в системах обнаружения угроз.
- Пересмотр порядка определения класса защищённости (ожидается с сентября 2026 г.): возможный возврат к модели с четырьмя классами, где 4-й класс — для негосударственных информационных систем с упрощениями.
- Продолжение публикации отраслевых особенностей категорирования для оставшихся отраслей.