Новые правила работы с КИИ с 1 сентября 2025 года

Главная идея поправок — усилить технологическую независимость (импортозамещение) и гибкость отраслевой политики по КИИ, а также обеспечить безопасность критической информационной инфраструктуры. 

После 2022 года Россия оказалась в ситуации, когда значительная часть используемого софта и оборудования была импортного происхождения. В условиях санкций доступ к обновлениям, лицензиям и сервисам оказался под угрозой. Критическая инфраструктура — энергетика, транспорт, финансы, связь и другие сферы — зависела от чужих технологий. Жизненно важные системы могли быть остановлены в любой момент. 

Также стоит учитывать, что ФЗ № 187-ФЗ изначально вводил систему категорирования и обязанности субъектов КИИ, но многие вопросы оставались расплывчатыми. Правительство не имело полного инструментария, чтобы регулировать требования по отраслям. Поправки передали Правительству право:

• утверждать перечни типовых объектов КИИ;

• устанавливать сроки и порядок перехода на отечественное ПО;

• вести мониторинг исполнения.

Таким образом, акцент сместился от «общей рамки» к централизованному управлению безопасностью КИИ.

Важно! Для субъектов КИИ изменения означают ужесточение требований к документам, усиление взаимодействия с ГосСОПКА и ФСБ, и ряд других нюансов, о которых мы расскажем подробнее. 

До поправок в ФЗ № 187-ФЗ субъектами КИИ могли быть и юрлица, и индивидуальные предприниматели, если у них имелись объекты, подпадающие под критерии значимости.

С 1 сентября 2025 года ИП больше не считаются субъектами КИИ. То есть формально они не попадают под действие ФЗ №187-ФЗ, но обязанности по защите данных все равно остаются. Исключение из КИИ не освобождает ИП от выполнения требований других законов:

• ФЗ от 27.07.2006 №152-ФЗ «О персональных данных» (если обрабатывают ПДн физлиц).

• ФЗ от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

Важно! ИП, имеющие объекты в сфере связи или обработки значимых данных, могут частично подпадать под определенные правила ФСТЭК и ГосСОПКА, особенно в части уведомлений об инцидентах.

Категорирование КИИ — получить бесплатные консультации экспертов

Подробнее

В старой редакции ФЗ № 187-ФЗ субъектами КИИ до 1 сентября признавались органы государственной власти, юридические лица и ИП, если у них в собственности или на праве аренды есть объекты КИИ: например, в сфере энергетики, транспорта, связи, финансов и т.д.

Формулировка была довольно широкой, а на практике вызывала вопросы: попадет ли под это, например, муниципальное учреждение, унитарное предприятие или компания, где государство владеет пакетом акций?

С 1 сентября формулировка стала более уточненной. Теперь субъектами КИИ прямо названы:

• Федеральные органы государственной власти и органы субъектов РФ.

• Государственные и муниципальные учреждения (например, больницы, школы, МФЦ).

• Государственные и муниципальные унитарные предприятия (ГУПы, МУПы).

• Хозяйственные общества с госучастием, где государству принадлежит контрольный пакет или иная форма решающего влияния.

• Обычные юридические лица, если у них есть объекты КИИ.

С 1 сентября 2025 года субъекты КИИ, у которых есть значимые объекты, обязаны:

• Использовать программы для ЭВМ и базы данных, которые внесены в единый реестр российского ПО.

• Применять средства защиты объектов критической информационной инфраструктуры и информации (СрЗИ), а также программно-аппаратные комплексы (ПАК), которые соответствуют установленным Правительством требованиям.

Есть исключение: если уже используется ПО/ПАК, которые официально применяются в государственных и муниципальных информационных системах (ГИС, МИС, ЕГРН и т. п.), — их можно продолжать использовать. Но все равно организации должны постепенно переходить на российское ПО. 

С 1 сентября 2025 года Правительство получило полномочия определять требования к ПО и программно-аппаратным комплексам критической информационной инфраструктуры, используемым на объектах КИИ. Требования утверждены постановлением Правительства от 22.08.2022 №1478. Также Правительство установило сроки и порядок перехода на такое ПО и ПАК. 

Что еще теперь может делать Правительство:

• Устанавливать перечни типовых отраслевых объектов КИИ.

• Определять отраслевые особенности категорирования объектов. 

• Регулировать порядок мониторинга перехода на российское ПО. 

ФЗ № 58-ФЗ внес в ФЗ № 187-ФЗ уточнения, которые сужают круг субъектов, обязанных проводить категорирование (например, исключили ИП), перераспределяют полномочия между органами власти. Правила категорирования определило Правительство в постановлении от 08.02.2018 №12, а ФСТЭК и профильные регуляторы должны действовать строго в рамках этих правил. 

Кроме того, введен более четкий порядок актуализации категории, то есть ее пересмотра при изменении параметров объекта или появлении новых угроз. Также закреплена возможность электронного взаимодействия — подача уведомлений, направлений актов категорирования, согласований в электронном виде через специализированные сервисы.

Что это значит на практике для владельцев и арендаторов объектов критической информационной инфраструктуры Российской Федерации:

1. Категорирование — обязательная процедура для тех объектов, которые потенциально могут быть признаны значимыми.

Раньше на практике часто получалось так: почти все организации, попадающие в «субъекты КИИ», должны были проводить категорирование, даже если реально их системы не критичны. Теперь закон говорит про категорирование более четко, но необходимо обосновать почему та или иная система может быть без категории значимости.

2. Актуализация категории раз в 5 лет или раньше (для особо значимых объектов), если:

• изменилось назначение объекта (например, раньше сервер обслуживал только внутреннюю бухгалтерию, а теперь — онлайн-сервис для тысяч клиентов), категория подлежит пересмотру;

• вышли новые методики оценки угроз от ФСТЭК/ФСБ — пересмотр обязателен, если технологии, указанные в угрозах безопасности информации, используются в системах.

Последствия для бизнеса заключаются в том, что теперь субъекты КИИ должны быть готовы к более строгому и регулярному контролю категории объектов. Тем, кто работает «на грани» КИИ, будет проще: процедуру категорирования можно не проводить, если сразу понятно, что объект не будет иметь категорию значимости.

До изменений ФЗ № 187-ФЗ закреплял за ФСБ функции по выявлению и предупреждению угроз безопасности в КИИ, организации взаимодействия субъектов КИИ при инцидентах, координации деятельности при отражении атак. Но формулировки были общие, а часть вопросов оставалась в серой зоне: кто конкретно отвечает за централизованный мониторинг, кто координирует расследования, кто вправе требовать техническую информацию о системах.

• Центральная роль в реагировании на инциденты. ФСБ прямо уполномочена руководить работами по предотвращению, выявлению и ликвидации последствий компьютерных атак на объекты КИИ. Это значит, что при серьезном инциденте именно ФСБ будет «главным штабом», а все субъекты обязаны подчиняться ее указаниям.

• Полномочия по мониторингу и сбору информации. ФСБ получает право запрашивать и обрабатывать данные о состоянии защиты критической информационной инфраструктуры. При этом субъекты должны отправлять сведения в ГосСОПКА. 

• Контроль за использованием средств защиты. ФСБ уполномочена утверждать требования к отдельным видам технических средств защиты информации, применяемых на объектах КИИ. То есть речь не только про организационные меры, но и про конкретное ПО и оборудование: что можно использовать, а что нет.

• Координация взаимодействия с другими регуляторами. ФСТЭК остается органом, определяющим методики, классификацию и категорирование с технической точки зрения, но ФСБ теперь закреплена как орган, который координирует на оперативном уровне: расследует, направляет ресурсы, подключает ведомства.

Важно! Субъекты должны самостоятельно проводить оценку безопасности критической информационной инфраструктуры и готовить отчетность: собирать сведения о ПО, ПАК, состоянии систем защиты, инцидентах. ФСТЭК проводит контрольные проверки на соответствие субъектов КИИ установленным требованиям, а ФСБ имеет право назначать специальные инспекции, оценивать угрозы, проводить проверки защиты, особенно при серьезных инцидентах.

Категорирование КИИ — получить бесплатные консультации экспертов

Подробнее

Для компаний, которые являются субъектами КИИ, изменения с 1 сентября 2025 года означают, что откладывать подготовку больше нельзя. Мы подготовили рекомендации, которые помогут снизить риски и действовать в рамках правового поля:

• Проведите инвентаризацию. Зафиксируйте все объекты КИИ: сети, базы данных, системы автоматизации, серверы, контрольные узлы. Составьте список ПО и ПАК и отметьте, что их этого уже есть в реестре российского ПО и соответствует требованиям ФСТЭК. 

• Проверьте категорию объектов. Проведите или актуализируйте категорирование с учетом возможных изменений назначения объектов и новых угроз. Подготовьте документы для регулятора: акты категорирования, модели угроз, отчеты о состоянии защиты, и т.д.

• Перейдите на российское ПО и ПАК. Определите приоритетные системы для перехода: критические серверные приложения, базы данных, сетевое оборудование. Разработайте план перехода с учетом сроков, установленных Правительством, обучите сотрудников работе с новым ПО.

• Внедрите постоянный мониторинг. Организуйте систему мониторинга и реагирования на инциденты, настройте журнал учета событий, средства обнаружения атак, SIEM-систему либо отдайте на аутсорс сторонней компании с отделом SOC и соответствующей лицензией, введите систему SOAR. Подготовьте процедуры оперативного информирования ФСБ об инцидентах. 

• Проверьте соответствие средств защиты. Оцените, отвечают ли они новым требованиям. 

• Наладьте взаимодействие с ФСТЭК и ФСБ. Установите контакты и каналы связи с госорганами, определите ответственных за информирование об инцидентах, подготовку отчетов и взаимодействие с инспекторами. 

• Документируйте процессы. Все внутренние процедуры должны быть отражены в приказах, регламентах, инструкциях. Также необходимо подготовить план восстановления после инцидентов.

• Обеспечьте обучение и подготовку персонала. Оно особенно важно для ИТ-специалистов и ИБ-подразделений.

Если вы не уверены, что ваша организация соблюдает ФЗ № 152-ФЗ, стоит провести аудит и при необходимости обратиться за помощью к юристам.

Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: 2W5zFGT64bS