Ключевые изменения законодательства в 2024–2025 гг.
В 2024–2025 годах нормативная база по безопасности критической информационной инфраструктуры (КИИ) претерпела существенные изменения. В первую очередь, внесены поправки в базовый закон 187-ФЗ «О безопасности КИИ». Государственная Дума одобрила изменения, нацеленные на технологическую независимость и повышение защищённости КИИ. Новый Федеральный закон № 58-ФЗ от 07.04.2025 вступает в силу с 1 сентября 2025 года и значительно корректирует требования 187-ФЗ, усиливая независимость технологий и уровень защиты объектов КИИ. Например, из-под действия 187-ФЗ исключены индивидуальные предприниматели, зато прямо указано, что требования закона обязательны для всех государственных органов, учреждений, ГУП, государственных компаний и организаций с контрольным участием государства – вне зависимости от их формального статуса субъекта КИИ .
Поправки расширяют полномочия Правительства РФ: оно должно утвердить перечни типовых отраслевых объектов КИИ и отраслевые методики их категорирования. Это стандартизирует подход и решает давнюю проблему произвольного занижения категорий значимости. До выхода отраслевых методик по-прежнему применяется общий порядок категорирования по Постановлению Правительства № 127 от 08.02.2018. Существенно упрощена бюрократия: с 27 сентября 2024 года субъекты КИИ больше не обязаны составлять и направлять во ФСТЭК перечни своих объектов для категорирования. Ранее требовалось заранее подавать список всех потенциальных объектов, но теперь эта обязанность снята Постановлением Правительства № 1281 от 19.09.2024. Дело в том, что регуляторы отраслей совместно с ФСТЭК уже формируют типовые списки объектов КИИ по отраслям, которые используются как исходные данные для категорирования. Также из законодательства убрана 10-дневная процедура рассмотрения ФСТЭК сведений о присвоении категории и возможность их возврата за «необоснованную» категорию – предполагается, что благодаря новым отраслевым методикам таких ошибок больше не будет.
Отдельное направление изменений – импортозамещение и устойчивость работы КИИ. Ещё Указ Президента № 166 от 30.03.2022 запретил использовать иностранные средства защиты информации из «недружественных» стран, а с 1 января 2025 года вступил в силу запрет на использование иностранного программного обеспечения и аппаратно-программных комплексов на значимых объектах КИИ. Таким образом, все значимые системы должны были перейти на отечественный софт к началу 2025 года. Многие компании не успели уложиться в этот срок, но формально требование закона остаётся в силе. Более того, с 2024 года запрет расширен и на услуги: с 1 января 2025 года субъектам КИИ запрещено пользоваться сервисами и услугами кибербезопасности от компаний из недружественных стран. Ранее ограничения касались только средств защиты, теперь же под запретом оказались любые иностранные продукты и услуги ИБ для КИИ. Это серьёзно сказывается на работе с подрядчиками и требовании локализовать сервисы.
Изменения затронули и взаимодействие с ГосСОПКА (государственной системой обнаружения и предотвращения атак). Теперь законодательно закреплена обязанность информировать НКЦКИ не только о инцидентах, но и о попытках атак. По сути, то, что уже требовалось подзаконными актами, внесено в текст закона – ФСБ должна получать данные и о подготовительных фазах атак, чтобы работать на упреждение. Дополнительно, расширены возможности установки средств ГосСОПКА: ФСБ вправе размещать средства обнаружения атак не только на значимых объектах КИИ, но и на других ресурсах государственных органов, госкорпораций и подконтрольных государству юрлиц. Все эти органы, а также субъекты КИИ, владеющие значимыми объектами, теперь обязаны поддерживать непрерывное взаимодействие с ГосСОПКА (через аккредитованные центры мониторинга или напрямую).
Важно отметить общий вектор: все изменения 2024 года были направлены на ускорение построения реальной (не бумажной) кибербезопасности объектов КИИ. Поправки устранили две главные проблемы прежней модели – занижение категорий и затягивание сроков реализации мер защиты. Регуляторы ожидают, что теперь процесс обеспечения безопасности пойдёт динамичнее, а субъекты КИИ будут более ответственны в практической реализации требований.
Новые требования и практики для субъектов КИИ
Что должны делать владельцы объектов КИИ теперь? В целом обязанности остались прежними, но ужесточились отдельные положения и появились новые разъяснения. Субъекты КИИ по-прежнему обязаны провести категорирование всех объектов и уведомить ФСТЭК о присвоенных категориях значимости. Однако теперь для этого существуют отраслевые рекомендации и типовые перечни, что облегчает определение категории. Например, Минцифры России выпустило методические указания по категорированию объектов КИИ в сфере связи (№ АШ-7089вн от 04.04.2025) – это первый обязательный документ, устанавливающий порядок категорирования в телеком-отрасли. Похожие методички уже вышли для сферы науки (Минобрнауки, февраль 2025) и ожидаются для других отраслей. Если раньше министерства давали лишь рекомендательные письма, то теперь отраслевые методические указания становятся обязательными к исполнению. Субъекты КИИ должны сверить свои процессы категорирования с этими новыми требованиями и, при необходимости, провести повторное категорирование в соответствии с отраслевыми особенностями.
Разделение требований по категориям (I, II, III). Закон 187-ФЗ делит значимые объекты на три категории значимости, от которой зависит масштаб мер защиты. На практике для объектов I категории регуляторы предъявляют наибольшие требования: например, любые инциденты на таких объектах должны сообщаться в НКЦКИ в течение 3 часов (у остальных субъектов есть до 24 часов на уведомление). Также объекты I категории, как правило, подвергаются более частым проверкам и должны иметь максимально высокий уровень защиты (резервирование, постоянный мониторинг и пр.). Объекты II и III категории требуют реализации всех базовых мер безопасности, но масштаб и глубина этих мер могут быть несколько меньше. Однако всем значимым объектам КИИ, вне зависимости от категории, предписано подключиться к системе ГосСОПКА и обмениваться данными о инцидентах. Требования ФСТЭК и ФСБ (приказы № 235, № 239, № 368 и др.) едины для всех значимых объектов, различаясь лишь деталями реализации. Таким образом, владельцы КИИ категории I несут самую высокую нагрузку, но и для II–III категорий нужно соблюсти весь перечень организационных и технических мер.
Отдельное внимание – требованиям импортозамещения. Как отмечалось, в 2025 году значимые объекты должны работать на доверенном отечественном ПО. Правительство РФ получило обязанность установить порядок и сроки перехода на российское ПО и отечественные аппаратно-программные средства для объектов КИИ. Приняты подзаконные акты: Постановление № 1478 от 22.08.2022 регламентирует требования по импортозамещению ПО на значимых объектах, а Постановление № 1912 от 14.11.2023 – переход на доверенные аппаратно-программные комплексы (ДПАК). Согласно этим документам, в каждой отрасли определены ответственные органы за координацию перехода (например, Минэнерго – в энергетике, Минцифры – в сфере связи, Минфин – в банковской сфере и т.д). Они назначили к сентябрю 2024 г. ответственных заместителей и утвердили планы миграции на ДПАК, а полный переход должен завершиться до 1 января 2030 года. То есть импортозамещение – это не разовая акция 2025 года, а долгосрочная программа, но отдельные ключевые этапы уже наступили. В частности, предприятиям теперь запрещено привлекать иностранные компании для обеспечения кибербезопасности своих объектов. Также под запретом использование зарубежных облачных сервисов для критичных процессов (этот момент подчёркивал председатель правительства М.Мишустин, призывая госкомпании пользоваться услугами отечественных облачных провайдеров). Таким образом, владельцы КИИ в 2025 году вынуждены перестраивать ИТ-ландшафт: переходить на российское ПО, пересматривать контракты с подрядчиками, обеспечивать использование сертифицированных средств защиты. Регуляторы (ФСТЭК, Минцифры, ФСБ) выпустили множество разъясняющих материалов – от методических рекомендаций по замене ПО до FAQ по работе отечественных аналогов – чтобы облегчить бизнесу выполнение этих требований.
Ответственность за нарушения: штрафы и уголовные риски
Ценой несоблюдения требований станут серьёзные штрафы и даже уголовное наказание. Законодатель в 2025 году усилил ответственность: внесены поправки в КоАП РФ (ст. 13.12) и УК РФ, ужесточающие санкции за нарушения в сфере защиты информации. Например, с 23 мая 2025 года максимальные административные штрафы за нарушение правил защиты информации увеличены до 50 тыс. руб. для должностных лиц и до 100 тыс. руб. для организаций (ранее не превышали 15 тыс.). Эти санкции применимы, в том числе, за невыполнение требований 187-ФЗ и подзаконных актов в области КИИ. ФСТЭК активно использует право привлечения к ответственности: по итогам проверок в 2024 году регулятор выявил более 500 нарушений и возбудил свыше 150 административных дел. По словам представителей ФСТЭК, значительная часть субъектов КИИ имеет недостаточный уровень защищённости, и штрафные меры призваны стимулировать исправление ситуации. Так, на Инфофоруме-2025 сообщалось, что минимально допустимый уровень кибербезопасности обеспечен лишь у ~13% обследованных организаций – «очень низкий показатель», свидетельствующий о недостаточном исполнении закона. Остальных нарушителей ждут предписания и наказания вплоть до приостановки деятельности (в случае грубых нарушений регулятор может через суд добиваться временного запрета эксплуатации опасного объекта).
Уголовная ответственность – ещё более серьёзный фактор риска для руководства. В Уголовном кодексе РФ есть специальная статья 274.1, устанавливающая наказание за неправомерное воздействие на критическую инфраструктуру. Под эту норму подпадает как намеренный вредоносный саботаж, так и грубая небрежность, приведшая к тяжким последствиям. Максимальное наказание за нарушение правил эксплуатации объекта КИИ, повлёкшее ущерб, составляет до 6 лет лишения свободы. Если же нарушение привело к тяжким последствиям (например, техногенная авария, угрожающая жизни людей), санкция повышается до 10 лет лишения свободы. На практике это означает, что руководители предприятий рискуют оказаться под уголовной ответственностью, если по их вине произошёл серьёзный инцидент. Причём отвечать приходётся не только за умышленные действия, но и за бездействие – например, за игнорирование требований обновить критически важное ПО или антивирусные базыl. В отраслевых обзорах отмечается, что нарушителей может ждать штраф до 500 000 руб. и уголовное преследование, если в результате инцидента пострадали людиl. И хотя на 2025 год громких прецедентов посадки директоров КИИ-компаний ещё не было, сама возможность таких дел – мощный стимул соблюдать требования. Следует помнить, что контролирующие органы (ФСТЭК, прокуратура, Следственный комитет) тщательно расследуют крупные аварии и утечки на объектах КИИ. Если выявляется, что компания пренебрегла обязанностями (не внедрила нужные средства защиты, не уведомила о атаке и т.д.), дела могут передаваться в правоохранительные органы. Таким образом, сегодня личная ответственность руководства за кибербезопасность критичных систем как никогда высока.
Новые тенденции в регулировании и мнения экспертов отрасли
Регуляторы смещают акцент на практическую защищённость. ФСТЭК и другие органы открыто заявляют, что формальное соблюдение недостаточно – важна фактическая безопасность. В конце 2024 года ФСТЭК разработала методику оценки уровня технической защиты значимых объектов КИИ. Эта методика вводит интегральный показатель защищённости и минимально допустимое значение, с учётом типовых актуальных угроз. По сути, сформирован инструмент для мониторинга эффективности мер безопасности на объектах КИИ. ФСТЭК планирует использовать его при надзоре, а компаниям рекомендовано самим измерять свой уровень защиты каждые 6 месяцев. В ноябре 2024-го ФСТЭК сообщила тревожную статистику: лишь 11% из ~100 проверенных субъектов КИИ соответствуют минимально допустимому уровню, выявлено более 500 нарушений. Это означает, что при проверках особое внимание уделяется реализации технических мер (наличию актуальных средств защиты, системе мониторинга, резервированию, реагированию на инциденты и т.д.), а не только наличию документов. Проверяющие теперь акцентируют «узкие места» – к примеру, отсутствие сегментации сети, устаревшие неподдерживаемые версии ПО, не настроенные средства защиты или неотреагированные инциденты. Отдельно контролируется выполнение новых требований: использование только отечественного ПО, подключение к ГосСОПКА, информирование о атаках в установленные сроки.
Что особенно проверяют инспекторы: во-первых, правильность категорирования (актуальность перечня объектов и соответствие категории реальному масштабу ущерба). С 2024 года ФСТЭК требует поддерживать сведения о категориях в актуальном состоянии – если появляются новые системы или меняются условия, акты категорирования должны своевременно обновляться. Во-вторых, наличие утверждённой системы защиты (приказ о создании системы обеспечения безопасности КИИ, назначение ответственных, планы мероприятий). Отсутствие необходимых локальных документов или органов управления безопасностью (например, комиссии по категорированию, плана реагирования на инциденты) рассматривается как нарушение организационных требований. В-третьих, подключение и взаимодействие с НКЦКИ: проверяется, заключено ли соглашение с центром ГосСОПКА либо используется аккредитованный SOC, как ведётся обмен информацией. Регуляторы подчёркивают, что взаимодействие должно быть непрерывным, в режиме реального времени – простой формальной регистрации недостаточно. Также инспекторы интересуются выполнением предписаний по импортозамещению: могут затребовать списки используемого ПО на значимых объектах, наличие планов замены иностранного софта, факты закупки лицензий российских продуктов и т.п. Наконец, контролируется устранение ранее выявленных недостатков – ФСТЭК отслеживает, чтобы по результатам прошлых проверок субъекты устранили уязвимости.
Мнения отраслевых экспертов. Игроки рынка в целом поддерживают курс на повышение реальной безопасности, хотя и отмечают связанные сложности. По данным опроса SOC-Форума 2024 (ГК «Ростелеком-Солар»), до 50% успешных взломов в 2024 г. начинались с атак через подрядчиков. Это подчеркнуло проблему: компании могут соблюдать все требования внутри, но оставлять уязвимости у контрагентов. Эксперты рекомендуют в 2025 году уделять особое внимание безопасности цепочек поставок и внешних подключений. Также, по словам специалистов Solar, самым «больным местом» КИИ остаётся человеческий фактор – методы социальной инженерии неизменно срабатывают даже против продвинутых систем защиты. Многие инциденты начинаются с компрометации учётных данных сотрудников. В этой связи растёт интерес к обучению персонала и к решениям по мониторингу аномалий (UEBA, SOC-as-a-Service и др.), которые готовы предлагать ведущие вендоры.
Вендоры и интеграторы отмечают и экономические риски новых требований. Переход на отечественное ПО и оборудование – затратный процесс. Например, компания «Код Безопасности» в конце 2024 года провела пресс-встречу, на которой обсуждалось, что реальный уровень импортозамещения на объектах КИИ к осени 2024 не превышает 30–40%. Многие предприятия объективно не успевают заменить всё иностранное ПО к сроку. Эксперты прогнозируют, что регуляторы в 2025 году займут взвешенную позицию: вряд ли будут сразу останавливать работу объектов или массово привлекать к уголовной ответственности за невыполненное импортозамещение. Скорее, могут последовать крупные оборотные штрафы, которые негативно скажутся на финансах компаний, и дадут сигнал о неотвратимости требований. В то же время звучат призывы к госорганам поддержать отрасль: например, рассмотреть субсидирование критических отечественных программных продуктов, дать рассрочку на внедрение сложных решений и т.д. Некоторые инициативы уже анонсированы – Минцифры разрабатывает механизм мониторинга перехода на отечестенное ПО, планируются новые постановления правительства с уточнением требований к используемому софту на объектах КИИ. Также премьер-министром обозначена задача увеличить долю использования облачных сервисов отечественных провайдеров госкомпаниями – что косвенно скажется и на КИИ, ведь облачные технологии могут позволить более гибко и быстро внедрять обновлённые средства защиты. Аналитики считают, что в 2025–2026 гг. нас ждёт переход от точечных мер к комплексной модернизации: предприятия будут не только выполнять минимальные требования, но и пересматривать архитектуру своих ИТ/ИБ-систем, внедрять отечественные аналоги, активно привлекать коммерческие SOC и экспертизу внешних команд. Вендоры (Solar, Positive Technologies, «Код Безопасности» и др.) готовы помогать в этом – они уже предлагают решения для мониторинга КИИ, сервисы по адаптации импортных форматов данных к российским и т.д. Главное, как отмечают специалисты, – соблюсти баланс между строгостью норм и реальными возможностями бизнеса. Пока что рынок привыкает к новым правилам игры: ужесточение контроля неизбежно приведёт к росту качества защиты, но потребует и значительных усилий со стороны владельцев КИИ.
С чего начать аудит и подготовку к проверке
Учитывая всё вышесказанное, владельцам и операторам объектов КИИ в 2025 году рекомендуется провести самостоятельный аудит соответствия, не дожидаясь визита инспекторов. Практические шаги могут быть следующими:
Проверка актуальности категорирования. Убедитесь, что все ваши информационные системы правильно отнесены к объектам КИИ или исключены из них. Пересмотрите акт(ы) категорирования: возможно, за последнее время добавились новые объекты или изменились критичные процессы – акты должны быть актуализированы. Если в вашей отрасли появились методические указания (Минцифры, Минэнерго и т.д.), сравните свои категории с типовыми сценариями из этих документов. В случае несоответствий – оформите перерасчёт категории значимости. Проверьте, что сведения о всех значимых объектах были направлены во ФСТЭК (центральный аппарат) в установленной форме и в предусмотренные сроки. Отдельно убедитесь, что назначена комиссия по категорированию (приказом по организации) и все решения комиссии задокументированы. Категорирование – основа исполнения 187-ФЗ, и инспекторы начинают проверку именно с этих актов.
Аудит соответствия требованиям. Проведите инвентаризацию мер защиты на каждом значимом объекте. Сверьтесь со списком мер из приказа ФСТЭК № 239: реализованы ли предусмотренные организационные и технические меры безопасности (системы обнаружения вторжений, резервное копирование, контроль целостности, ограничения доступа и пр.)? Далее, оцените эффективность мер – здесь пригодится упомянутая методика ФСТЭК. Вы можете самостоятельно вычислить показатель защищённости по методике 2023 года rcngroup.ru, чтобы понять, дотягиваете ли до минимально допустимого уровня. Проверьте наличие сертифицированных средств защиты там, где это требуется (например, шифрование каналов связи должно выполняться сертифицированными крипто-средствами и т.п.). Уделите внимание системе мониторинга и реагирования: налажен ли сбор и корреляция событий ИБ, кто анализирует Alerts инцидентов, заключено ли соглашение с центром ГосСОПКА или выбран уполномоченный провайдер SOC. Если у вас несколько значимых объектов, проверьте, по всем ли ведётся непрерывный мониторинг безопасности. Этот внутренний аудит позволит выявить пробелы – их стоит устранить до прихода регуляторов.
Анализ документации и процессов. Соберите и проверьте комплект документов по безопасности КИИ. Это включает: политику информационной безопасности, положение (стандарт) по обеспечению безопасности значимых объектов КИИ, модель угроз для каждого значимого объекта, план мероприятий по обеспечению безопасности, приказы о создании системы безопасности КИИ и назначении ответственных лиц (например, ответственного за взаимодействие с НКЦКИ, комиссию по ИБ), инструкции для персонала (порядок действий при инциденте, правила администрирования систем и т.д.). Документация должна отражать последние изменения законодательства. К примеру, убедитесь, что в планах реагирования на инциденты прописана необходимость уведомлять НКЦКИ в течение 3 часов для значимых объектовb-152.ru и 24 часов для остальных случаев – в соответствии с приказами ФСБ. Проверьте журналы и отчёты: журнал учета инцидентов, отчеты о проведённых учениях или аттестации систем (если проводилась). Особое внимание – договорам с подрядчиками: в них должны быть пункты о соблюдении требований по безопасности КИИ и конфиденциальности. После запрета на иностранные сервисы убедитесь, что все контракторы по кибербезопасности – из дружественных стран или российские; при необходимости внесите изменения или найдите новых исполнителей. Регулятор на проверке может запросить договоры и проверять наличие в них требований по 187-ФЗ.
Оценка подрядчиков и внешних каналов. Как показала практика 2024 года, слабым звеном часто становятся подрядчики и партнеры. Проведите оценку своих контрагентов, у которых есть доступ к вашим критичным системам или данным. Удостоверьтесь, что они соблюдают требования безопасности не менее строгие, чем вы. Если вы пользуетесь аутсорсинговыми сервисами (SOC, мониторинг, ИБ-аудит и т.д.), проверьте: у провайдера есть лицензии ФСТЭК/ФСБ, он включён в перечень центров ГосСОПКА (если это услуги по мониторингу), у него нет в цепочке субподрядчиков из недружественных стран. Что касается сетевых каналов и удалённых подключений: сделайте ревизию всех внешних соединений к значимым системам. Закрыты ли неиспользуемые удалённые доступы? Применяется ли отечественный VPN или межсетевой экран на границе сегмента КИИ? Если какие-то каналы связи проходят через иностранные облака или сервисы, найдите им замену (например, переход на отечественные дата-центры или МСЭ). Цель – минимизировать внешние уязвимости и пути обхода вашей защиты. В дополнение, проведите учебную атаку (или аудит с привлечением внешних экспертов) на свой периметр КИИ, чтобы выявить слабые места до того, как это сделают злоумышленники. Результаты такого теста помогут обосновать бюджет на дополнительные меры защиты.
Подготовка к проверке. Наконец, организуйте внутреннюю репетицию инспекторской проверки. Сформируйте папку (или электронный реестр) со всеми необходимыми документами и отчетами, чтобы они были под рукой. Назначьте ответственных сотрудников, которые будут показывать систему безопасности проверяющим и отвечать на вопросы. Имеет смысл заранее пройтись по чек-листу: формальное соответствие (приказы, планы, журналы) и фактическое (что реально действует на объекте). Проверьте, умеет ли персонал действовать по инструкциям – например, знает ли дежурный администратор, кого уведомлять при инциденте, как связаться с НКЦКИ, где хранятся резервные копии и т.д. Часто инспекторы не только смотрят бумаги, но и беседуют с ответственными за безопасность – важно, чтобы сотрудники были подготовлены и давали уверенные, корректные ответы. Если в недавнем прошлом у вас уже были проверки ФСТЭК или НКЦКИ и выдавались предписания, убедитесь в полном устранении всех пунктов и готовьте доказательства этого.
Выполнение перечисленных шагов поможет значительно снизить риски штрафов и инцидентов. 2025 год ставит перед владельцами КИИ непростые задачи, но при системном подходе их можно решать планомерно. Если же на каком-то этапе требуется помощь или экспертиза – компания «Киберпериметр» готова подключиться к работе. Наши специалисты могут провести аудит соответствия, разработать необходимые документы, внедрить средства защиты и обеспечить сопровождение при взаимодействии с регуляторами. Это позволит вам соблюсти новые требования с минимальными потерями для основного бизнеса и уверенно чувствовать себя перед лицом усиливающегося контроля государства. Мы поможем выстроить эффективную защиту периметра КИИ – таким образом, вы выполните требования закона и одновременно снизите реальные киберриски, обеспечив стабильную работу своей критической инфраструктуры.