С 1 сентября 2025 года в федеральном законодательстве по безопасности критической информационной инфраструктуры (КИИ) произошёл ряд принципиальных изменений, меняющих правовой статус объектов и обязанности субъектов. Основные новеллы закреплены в обновлённом 187‑ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (с учётом поправок 312‑ФЗ от 10.07.2023 и 58‑ФЗ от 07.04.2025) и Федеральном законе №325‑ФЗ от 31.07.2025.
- Законодательные и нормативные акты, находящиеся в стадии согласования
Проекты поправок к постановлению Правительства РФ №127 от 08.02.2018 (порядок категорирования и критерии значимости), проект единого перечня объектов КИИ и проекты приказов ФСТЭК России проходят проверку на соответствие внесённым изменениям и могут быть скорректированы. Практические детали (формы отчётности, отраслевые методики категорирования, окончательные списки объектов) пока остаются проектными, однако подготовку к их имплементации стоит начать заранее.
- Единый перечень объектов КИИ
Вводится проект единого перечня объектов КИИ с целью унификации практики отнесения объектов к КИИ и повышения прозрачности критериев. Ожидается, что окончательный перечень снизит разнотолкования при определении значимых объектов.
- Отраслевое категорирование и отказ от «универсального» шаблона
Поправки к правилам категорирования (в том числе пункт 5а постановления №127) предусматривают учёт отраслевых особенностей и разработку отраслевых методик (ООК) ФСТЭК России для энергетики, транспорта, банковской сферы и других отраслей. Это повышает точность категорирования, но делает процесс более ресурсоёмким.
- Повторное категорирование объектов
Обновлённый набор показателей категорирования приведёт к утрате актуальности прежних актов категорирования; в ряде случаев потребуется прохождение процедуры повторного категорирования.
- Изменённая форма представления сведений о результатах категорирования
Новые формы отчётности предполагают более детализированное обоснование выбранной категории, представление методик расчёта и подтверждающих документов, что повышает требования к документации и обоснованию решений.
- ИП и программное обеспечение
Индивидуальные предприниматели исключаются из числа субъектов КИИ, что снижает административную нагрузку на малые субъекты. Одновременно законодательство ужесточает требования к применяемому программному обеспечению, включая ориентацию на продукты из российского реестра.
- Ограничения иностранного участия
Закон №325‑ФЗ усиливает требования к отсутствию иностранного участия в субъектах КИИ и закрепляет ответственность за несоответствие этим требованиям, что влияет на структуру владения, корпоративные отношения и договорную базу.
Практические рекомендации к началу работ (приоритетные шаги)
- Провести инвентаризацию активов и систем. Составить обновлённый реестр информационных систем, инфраструктурных и программных компонентов с указанием функций, влияния на критичность и текущей категории.
- Оценить актуальность ранее проведённого категорирования. Проверить действующие акты категорирования на соответствие новым показателям; подготовить план повторного категорирования там, где это потребуется.
- Аудит программного обеспечения и лицензий. Выявить используемые ПО, оценить соответствие требованиям реестра российских программных продуктов и подготовить план замены либо легализации ПО при необходимости.
- Проверить структуру владения и иностранное участие. Проанализировать доли участия, договоры и корпоративные связи на предмет соответствия новым ограничениям; при необходимости разработать схемы приведения в соответствие.
- Подготовить документооборот и отчётност. Разработать шаблоны обоснований категории, методик расчёта и комплектов подтверждающих документов в соответствии с ожидаемыми требованиями ФСТЭК.
- Составить план ресурсов и бюджета. Оценить требуемые людские, технические и финансовые ресурсы для повторного категорирования, внедрения отра
- Установить взаимодействие с регулятором и профильными экспертами. Организовать мониторинг публикаций ФСТЭК и других регуляторов, при необходимости привлечь профильных консультантов для корректной интерпретации проектных документов.
- Обучение и регламентация процессов. Обновить внутренние регламенты и провести обучение ответственных сотрудников по новым требованиям категорирования, отчётности и требованиям к ПО.
Новые нормы затрагивают финансовые, организационные и правовые аспекты деятельности государственных органов и коммерческих организаций с объектами КИИ. Переход к отраслевому подходу и ужесточение требований к ПО и структурам владения требуют заранее спланированных мероприятий и выделения ресурсов для их реализации. Рекомендуется начать подготовительные работы немедленно, учитывая продолжающуюся фазу согласования проектных нормативных документов.
У нас есть комплексная услуга "Изменение систем ИБ в соответствии с нормами законодательства РФ". Предоставим рекомендации по устранению любых несоответствий, а ещё разработаем методологию и внутренние нормативные документы в области ИБ.
