1С Продажа и Услуги
Ключевой вывод: С 1 сентября 2025 года в России действуют обновленные правила работы с критической информационной инфраструктурой. Категорирование объектов КИИ стало обязательным для государственных органов и компаний в 13 ключевых отраслях экономики, включая здравоохранение, транспорт, энергетику и финансовый сектор.
Что такое критическая информационная инфраструктура (КИИ) в 2026 году
Критическая информационная инфраструктура (КИИ) — это совокупность информационных систем, телекоммуникационных сетей и автоматизированных систем управления, которые обеспечивают работу ключевых сфер жизнедеятельности государства и общества. Нарушение работы объектов КИИ может привести к серьезным социальным, экономическим или техногенным последствиям для страны.
Регулирование безопасности критической информационной инфраструктуры в России осуществляется на основе Федерального закона от 26.07.2017 № 187-ФЗ. Этот нормативный акт вступил в силу 1 января 2018 года и с тех пор претерпел множество изменений, направленных на усиление технологической независимости и повышение киберустойчивости критически важных объектов.
Кто попадает под действие закона о КИИ. Полный список субъектов
Субъектами критической информационной инфраструктуры признаются государственные органы, государственные учреждения, российские юридические лица и индивидуальные предприниматели, которым на праве собственности, аренды или ином законном основании принадлежат информационные системы, автоматизированные системы управления или телекоммуникационные сети, функционирующие в следующих сферах:
Здравоохранение — медицинские информационные системы государственных и частных клиник, системы управления медицинским оборудованием, базы данных пациентов, электронные медицинские карты, телемедицинские платформы.
Наука — информационные системы научных организаций и университетов, которые обрабатывают данные исследований, управляют научным оборудованием или обеспечивают функционирование критически важных научных процессов.
Транспорт — системы управления движением поездов, диспетчерские системы аэропортов, системы продажи билетов и бронирования, автоматизированные системы управления транспортными потоками, логистические платформы.
Связь — операторы связи, провайдеры интернет-услуг, дата-центры, облачные сервисы, системы управления телекоммуникационными сетями.
Энергетика — электростанции, системы диспетчеризации энергосетей, автоматизированные системы управления технологическими процессами генерации и передачи электроэнергии, системы учета энергоресурсов.
Банковская сфера и финансовый рынок — автоматизированные банковские системы, платежные системы, биржевые торговые платформы, системы дистанционного банковского обслуживания, процессинговые центры.
Топливно-энергетический комплекс — системы управления добычей, переработкой и транспортировкой нефти и газа, нефтепроводы и газопроводы, нефтеперерабатывающие заводы.
Атомная энергетика — автоматизированные системы управления атомными электростанциями, системы радиационного контроля, информационные системы предприятий атомной отрасли.
Оборонная промышленность — информационные системы предприятий оборонно-промышленного комплекса, автоматизированные системы управления производством военной техники.
Ракетно-космическая промышленность — системы управления космическими аппаратами, наземные комплексы управления, автоматизированные системы ракетно-космических предприятий.
Горнодобывающая промышленность — автоматизированные системы управления горнодобывающими предприятиями, системы мониторинга безопасности горных работ, диспетчерские системы шахт и карьеров.
Металлургическая промышленность — автоматизированные системы управления металлургическими комбинатами, системы управления доменными и сталеплавильными процессами.
Химическая промышленность — автоматизированные системы управления химическими производствами, системы контроля опасных технологических процессов, информационные системы химических предприятий.
Кроме того, под действие закона попадают российские компании и индивидуальные предприниматели, которые обеспечивают взаимодействие информационных систем в перечисленных отраслях — интеграторы, системные администраторы и поставщики ИТ-услуг для критически важных объектов.
Ключевые изменения в законодательстве о КИИ в 2025-2026 году
С 1 сентября 2025 года вступили в силу масштабные поправки в 187-ФЗ, внесенные Федеральным законом от 07.04.2025 № 58-ФЗ. Эти изменения кардинально меняют подход к обеспечению безопасности критической информационной инфраструктуры и создают новые требования для субъектов КИИ.
Расширение полномочий Правительства РФ и отраслевых регуляторов
Правительство Российской Федерации получило право устанавливать перечни типовых отраслевых объектов критической информационной инфраструктуры и определять отраслевые особенности категорирования для различных сфер деятельности. Это означает, что для каждой отрасли могут быть разработаны специфические требования, учитывающие особенности технологических процессов и используемых информационных систем.
Государственные органы и Центральный банк РФ наделены полномочиями формировать перечни типовых объектов КИИ, включающие наименования типов информационных систем, выполняемых функций и видов деятельности. В 2024-2025 годах были утверждены перечни типовых объектов для сферы связи, химической промышленности, металлургии, горнодобывающего сектора, оборонно-промышленного комплекса и здравоохранения.
Усиление требований к программному обеспечению и оборудованию
Правительство РФ теперь устанавливает требования к программному обеспечению, программно-аппаратным комплексам и оборудованию, используемым на значимых объектах критической информационной инфраструктуры. Определены сроки и порядок перехода на российское программное обеспечение и отечественное оборудование, а также процедура согласования использования зарубежных аналогов в исключительных случаях.
Для организаций финансовой сферы требования к программно-аппаратным средствам устанавливаются совместно с Центральным банком Российской Федерации, что обеспечивает учет специфики финансовых технологий и банковских систем при обеспечении информационной безопасности.
Упрощение процедуры категорирования объектов КИИ
Одно из важнейших нововведений — изменение процедуры категорирования. Ранее субъекты КИИ должны были в течение календарного года после утверждения перечня объектов во ФСТЭК провести категорирование. Новый порядок упрощает этот процесс: теперь после определения объектов критической информационной инфраструктуры, участвующих в критических процессах, субъекты КИИ сразу приступают к оценке масштаба возможных последствий инцидентов в соответствии с перечнем показателей критериев значимости, минуя этап составления и согласования отдельного перечня объектов со ФСТЭК России.
Внедрение электронного взаимодействия с регуляторами
Закреплена возможность электронного взаимодействия между субъектами критической инфраструктуры и регулирующими органами. В будущем появится возможность предоставления уведомлений, актов категорирования и других документов в электронном виде через специализированные информационные системы и сервисы Это значительно ускоряет административные процедуры и снижает бюрократическую нагрузку на организации.
Процедура категорирования объектов КИИ. Пошаговая инструкция
Категорирование объектов критической информационной инфраструктуры — это процесс присвоения информационной системе одной из трех категорий значимости либо признание того, что система не является значимым объектом КИИ. От присвоенной категории зависит набор обязательных мер по обеспечению безопасности объекта.
Шаг 1. Создание комиссии по категорированию
Руководитель субъекта критической информационной инфраструктуры приказом создает комиссию по категорированию объектов КИИ. Состав комиссии определяется в соответствии с пунктом 11 Правил категорирования, утвержденных Постановлением Правительства РФ от 08.02.2018 № 127. В состав комиссии должны входить руководители ключевых подразделений организации, специалисты по информационной безопасности, представители технических служб и юридической службы.
Шаг 2. Выявление критических процессов организации
Комиссия проводит комплексный анализ всех управленческих, технологических, производственных, финансово-экономических и иных процессов в рамках выполнения функций или осуществления видов деятельности организации. Из всего множества процессов выделяются критические — те, нарушение или прекращение которых может привести к негативным социальным, политическим, экономическим, экологическим последствиям или создать угрозу безопасности государства и граждан.
Шаг 3. Определение объектов КИИ, обеспечивающих критические процессы
После выявления критических процессов комиссия определяет информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, которые обрабатывают информацию, необходимую для обеспечения критических процессов, либо осуществляют управление, контроль или мониторинг этих процессов. Именно эти системы являются объектами критической информационной инфраструктуры, подлежащими категорированию.
Шаг 4. Оценка масштаба возможных последствий
Для каждого выявленного объекта КИИ комиссия проводит оценку масштаба возможных последствий в случае возникновения компьютерных инцидентов. Оценка проводится по показателям критериев значимости, установленным Постановлением Правительства РФ № 127. Критерии включают оценку социальных, политических, экономических, экологических последствий, а также последствий для обороны страны и безопасности государства.
Шаг 5. Присвоение категории значимости
На основе результатов оценки объекту КИИ присваивается одна из трех категорий значимости:
Первая категория — объекты, нарушение работы которых может привести к наиболее серьезным последствиям для государства и общества
Вторая категория — объекты со средним уровнем критичности последствий
Третья категория — объекты с наименее критичными последствиями инцидентов
Если объект не соответствует критериям значимости и показателям их значений, ему не присваивается ни одна из категорий, и он не признается значимым объектом критической информационной инфраструктуры.
Если у вас возникли вопросы по этапам категорирования КИИ, свяжитесь с нами для консультации. Специалисты по информационной безопасности ответят на ваши вопросы
Шаг 6. Направление сведений во ФСТЭК России
Субъект КИИ направляет во ФСТЭК России сведения о результатах категорирования в форме, утвержденной Приказом ФСТЭК от 22.12.2017 № 236. ФСТЭК России проверяет соблюдение порядка категорирования с учетом перечней типовых отраслевых объектов и отраслевых особенностей категорирования в течение 30 дней со дня получения сведений.
Требования к защите значимых объектов КИИ
После присвоения объекту категории значимости субъект критической информационной инфраструктуры обязан выполнить комплекс мер по обеспечению безопасности. Требования к защите установлены Приказом ФСТЭК России от 25.12.2017 № 239 и зависят от присвоенной категории значимости.
Создание системы безопасности объекта КИИ
Для каждого значимого объекта критической информационной инфраструктуры должна быть создана система безопасности, включающая организационные и технические меры защиты. Система безопасности проектируется на основе модели угроз безопасности информации, которая разрабатывается с учетом специфики объекта, используемых информационных технологий и актуальных киберугроз. Подробнее
Применение сертифицированных средств защиты информации
На значимых объектах критической информационной инфраструктуры обязательно применение средств защиты информации, имеющих сертификат соответствия требованиям ФСТЭК России или ФСБ России. Используемые средства должны обеспечивать защиту от актуальных угроз информационной безопасности, включая несанкционированный доступ, компьютерные атаки, вредоносное программное обеспечение.
Подключение к государственной системе обнаружения компьютерных атак
Субъекты КИИ, владеющие значимыми объектами, обязаны обеспечить подключение к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Подключение осуществляется через Национальный координационный центр по компьютерным инцидентам (НКЦКИ). Это позволяет получать оперативную информацию об актуальных киберугрозах и координировать действия по реагированию на инциденты.
Информирование о компьютерных инцидентах
Субъекты критической информационной инфраструктуры обязаны незамедлительно информировать уполномоченные органы о компьютерных инцидентах, произошедших на значимых объектах КИИ. Порядок и сроки информирования установлены нормативными документами ФСТЭК России. Своевременное информирование позволяет оперативно реагировать на инциденты и предотвращать их распространение на другие объекты критической инфраструктуры.
Ответственность за нарушение требований
Несоблюдение требований законодательства о безопасности критической информационной инфраструктуры влечет административную ответственность по статье 19.7.15 КоАП РФ. Размеры штрафов зависят от характера нарушения и категории нарушителя.
За нарушение порядка категорирования объектов КИИ или требований по обеспечению безопасности значимых объектов предусмотрены следующие санкции:
Для должностных лиц — штраф от 10 000 до 50 000 рублей
Для юридических лиц — штраф от 50 000 до 100 000 рублей
За несвоевременное информирование органов государственной власти о компьютерных инцидентах, произошедших на значимых объектах КИИ, или непредоставление информации о мерах по ликвидации последствий компьютерных атак предусмотрены более серьезные штрафы, уже до 500 000 рублей.
Кроме административной ответственности, за неправомерное воздействие на критическую информационную инфраструктуру предусмотрена уголовная ответственность по статье 274.1 УК РФ. Максимальное наказание по этой статье может достигать до 10 лет лишения, если действия повлекли тяжкие последствия.
Практические рекомендации для субъектов КИИ
Проведите самооценку: попадаете ли вы под действие 187-ФЗ
Первый шаг для любой организации — определить, является ли она субъектом критической информационной инфраструктуры. Проанализируйте устав организации, регистрационные документы, лицензии и фактически осуществляемые виды деятельности. Если организация функционирует в одной из 13 критических сфер, перечисленных в законе, и владеет информационными системами, автоматизированными системами управления или телекоммуникационными сетями, она с высокой вероятностью является субъектом КИИ.
Начните подготовку к категорированию
Процесс категорирования объектов критической информационной инфраструктуры требует тщательной подготовки и может занять несколько месяцев. Не откладывайте эту работу: сформируйте комиссию по категорированию, проведите инвентаризацию всех информационных систем организации, выявите критические бизнес-процессы. Чем раньше начнете подготовку, тем больше времени будет на качественное выполнение всех этапов.
Получите консультации специалистов
Законодательство о критической информационной инфраструктуре сложное и постоянно меняется. Ошибки в категорировании могут привести к штрафам, необходимости повторного прохождения процедуры и дополнительным затратам. Рекомендуется привлечь специалистов по информационной безопасности с опытом работы в области КИИ для консультационной поддержки или полного сопровождения процесса категорирования.
Специалисты по информационной безопасности проконсультируют вас по вопросам КИИ и подскажут, на что обратить внимание. Выбирайте сопровождение профессионалов!
Изучите отраслевые перечни типовых объектов КИИ
Если для вашей отрасли утвержден перечень типовых объектов критической информационной инфраструктуры, обязательно изучите его. Эти перечни содержат конкретные примеры информационных систем, которые в данной отрасли признаются объектами КИИ, и помогают правильно идентифицировать собственные объекты. В 2024-2025 годах перечни утверждены для связи, здравоохранения, металлургии, горнодобывающей и химической промышленности, оборонно-промышленного комплекса.
Планируйте импортозамещение программного обеспечения
Требования по переходу на российское программное обеспечение для значимых объектов КИИ постоянно ужесточаются. Хотя точные сроки импортозамещения будут определены отдельными документами Правительства РФ, рекомендуется уже сейчас начать аудит используемого ПО, изучить доступные российские альтернативы и планировать постепенный переход. Это позволит избежать спешки и сбоев в работе критически важных систем в будущем.
Часто задаваемые вопросы о категорировании КИИ
— Как узнать, является ли моя организация субъектом КИИ?
Проверьте, функционирует ли ваша организация в одной из 13 сфер, перечисленных в статье 2 пункте 8 187-ФЗ (здравоохранение, транспорт, энергетика, финансы и др.), и владеете ли вы информационными системами, АСУ или телекоммуникационными сетями в этих сферах. Если оба условия выполняются, вы субъект КИИ.
— В какие сроки нужно провести категорирование объектов КИИ?
С 2025 года после определения объектов КИИ, участвующих в критических процессах, необходимо сразу приступить к оценке масштаба возможных последствий и присвоению категории. Конкретные сроки зависят от отраслевых особенностей категорирования, если они утверждены для вашей сферы.
— Что будет, если не провести категорирование вовремя?
Непроведение категорирования или нарушение порядка категорирования влечет административную ответственность по статье 19.7.5-1 КоАП РФ. Штрафы для юридических лиц составляют от 50 000 до 100 000 рублей, для должностных лиц — от 10 000 до 50 000 рублей.
— Можно ли использовать иностранное ПО на объектах КИИ?
С 2025 года Правительство РФ устанавливает требования к программному обеспечению для значимых объектов КИИ и определяет сроки перехода на российское ПО. Использование зарубежного ПО возможно только в исключительных случаях с согласования уполномоченных органов, если российские аналоги отсутствуют или не обеспечивают необходимый функционал.
— Нужно ли пересматривать категорию объекта КИИ?
Да, категория должна пересматриваться при изменениях в структуре организации, инфраструктуре или критических бизнес-процессах, при изменении показателей критериев значимости в нормативных документах, а также по мотивированному решению ФСТЭК России по результатам проверки.
— Какие средства защиты обязательны для объектов КИИ?
На значимых объектах КИИ обязательно применение средств защиты информации. Конкретный набор средств защиты определяется на основе модели угроз безопасности информации и категории значимости объекта.
— Что такое ГосСОПКА и обязательно ли к ней подключаться?
ГосСОПКА — государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак. Подключение к ГосСОПКА через НКЦКИ обязательно для всех субъектов КИИ, владеющих значимыми объектами. Система обеспечивает обмен информацией об актуальных киберугрозах и координацию действий по реагированию на инциденты.
— Как долго действует присвоенная категория значимости?
Категория значимости действует до момента, когда потребуется ее пересмотр в связи с изменениями в объекте, критических процессах или нормативных требованиях. Рекомендуется проводить регулярную самооценку актуальности присвоенной категории не реже одного раза в год.
Заключение
Категорирование объектов критической информационной инфраструктуры — не формальная процедура, а важный инструмент обеспечения национальной безопасности и устойчивости критически важных систем к киберугрозам. Изменения в законодательстве, вступившие в силу в 2025 году, направлены на усиление защиты КИИ, ускорение импортозамещения в области информационных технологий и повышение координации между субъектами критической инфраструктуры и государственными органами.
Для организаций, попадающих под действие 187-ФЗ, важно не откладывать работы по категорированию и обеспечению безопасности объектов КИИ. Своевременное выполнение требований законодательства позволит избежать штрафов, обеспечить устойчивость критически важных бизнес-процессов к киберугрозам и внести вклад в общую систему защиты критической информационной инфраструктуры России.