С 1 сентября 2025 года вступили в силу важные поправки в Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (в редакции Федеральных законов № 312-ФЗ от 10.07.2023 и № 58-ФЗ от 07.04.2025), а также положения Федерального закона № 325-ФЗ от 31.07.2025. Эти изменения существенно корректируют статус объектов КИИ, обязанности субъектов и подходы к обеспечению безопасности.
Ключевые нововведения:
- Единый перечень объектов КИИ Вводится проект единого государственного перечня объектов КИИ. Цель — унифицировать подходы к отнесению объектов к категории КИИ, повысить прозрачность критериев и существенно снизить количество спорных ситуаций при определении значимости.
- Отраслевой подход к категорированию Отказ от универсального шаблона в пользу отраслевых методик категорирования (разрабатываются ФСТЭК России). Уже готовятся или находятся на согласовании специальные методики для ключевых отраслей: энергетика, транспорт, банковская сфера, связь, здравоохранение и др. Такой подход делает категорирование более точным, но одновременно более сложным и ресурсоёмким.
- Повторное категорирование большинства объектов Из-за обновлённых показателей и критериев значимости большинство ранее выданных актов категорирования теряют актуальность. В большинстве случаев потребуется пройти процедуру заново.
- Ужесточение требований к отчётности Новая форма представления сведений о результатах категорирования требует: • подробного обоснования выбранной категории, • описания применяемых методик расчёта, • предоставления комплекта подтверждающих документов.
- Исключение ИП и акцент на отечественное ПО Индивидуальные предприниматели больше не относятся к субъектам КИИ — это существенно снижает нагрузку на малый бизнес. При этом на значимых объектах КИИ обязательно использование программного обеспечения из Единого реестра российских программ.
- Ограничения иностранного участия Федеральный закон № 325-ФЗ значительно усиливает требования к отсутствию иностранного контроля/участия в субъектах КИИ. Вводится прямая ответственность за нарушение этих требований, что затрагивает структуру собственности, корпоративные отношения и договорную базу организаций.
Проекты изменений в Постановление Правительства № 127, отраслевые методики и окончательные формы отчётности всё ещё находятся в стадии согласования. Однако ждать окончательного утверждения — рискованная стратегия. Подготовку нужно начинать уже сегодня.
Рекомендуемый план первоочередных действий:
- Инвентаризация всех активов Создать/актуализировать реестр информационных систем, АСУ ТП, сетевого оборудования и ПО с указанием их функций и влияния на критичность процессов.
- Аудит текущего категорирования Проверить все имеющиеся акты категорирования на соответствие новым показателям. Сформировать план повторного категорирования по тем объектам, где это потребуется.
- Аудит программного обеспечения Составить полный список используемого ПО → провести сверку с реестром российского ПО → разработать план импортозамещения и/или легализации.
- Проверка структуры владения Проанализировать доли участия, бенефициаров, корпоративные связи и ключевые договоры на предмет иностранного влияния. При необходимости — подготовить план приведения в соответствие.
- Подготовка документации Разработать шаблоны обоснований категории, методик расчёта показателей и типовых пакетов подтверждающих документов в соответствии с новыми требованиями.
- Планирование ресурсов Оценить объём работ, необходимое количество специалистов, бюджет на повторное категорирование, закупку российского ПО и возможные консалтинговые услуги.
- Мониторинг и обучение Организовать постоянное отслеживание публикаций ФСТЭК, НКЦКИ и других регуляторов. Провести обучение ответственных сотрудников. При необходимости — привлечь специализированных консультантов.
Новые требования затрагивают одновременно финансовые, организационные, технические и правовые аспекты деятельности субъектов КИИ. Переход к отраслевому подходу, обязательное импортозамещение ПО и жёсткие ограничения по иностранному участию требуют серьёзной подготовки и выделения ресурсов.
Наиболее рациональная стратегия сейчас — начать системную работу уже в декабре 2025 – январе 2026 года, не дожидаясь окончательного утверждения всех подзаконных актов. Это позволит избежать аврала, штрафов и необходимости делать всё «в пожарном порядке» в 2026 году.
У нас есть комплексная услуга "Аудит ИТ-инфраструктуры". Это решение позволяет получить комплексную оценку состояния IT-системы, выявить потенциальные проблемы и риски, а также разработать стратегию оптимизации. Услуга актуальна для компаний, планирующих модернизацию IT-инфраструктуры. Свяжитесь с нами для консультации!