С 1 сентября 2025 года вступили в силу ключевые поправки в Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры», внесённые Федеральным законом № 58-ФЗ от 07.04.2025. Эти изменения кардинально пересматривают подходы к защите критически важных систем в России. Мы разберём, что именно изменилось, почему это произошло и как организациям адаптироваться к новым требованиям.
Контекст: зачем были внесены поправки
Главная цель поправок — укрепить технологическую независимость страны и создать чёткую, централизованную систему управления безопасностью критической информационной инфраструктуры (КИИ).
После 2022 года стало очевидно: значительная часть программного обеспечения и оборудования, используемого в ключевых отраслях — энергетике, транспорте, финансах, связи — была иностранного производства. При введении санкций доступ к обновлениям, лицензиям и технической поддержке оказался под угрозой. Это ставило под риск работу систем, от которых зависит жизнь миллионов людей.
При этом ФЗ № 187-ФЗ, принятый в 2017 году, задавал лишь общие рамки. Многие аспекты — от перечня объектов до сроков перехода на отечественные решения — оставались неурегулированными. Правительство не имело достаточных полномочий для оперативного реагирования.
Новые поправки передали Правительству РФ ключевые функции:
- утверждать перечни типовых объектов КИИ по отраслям;
- устанавливать сроки и порядок перехода на российское ПО и ПАК;
- организовывать мониторинг исполнения требований.
Таким образом, система перешла от «рекомендательного подхода» к жёсткому, централизованному управлению.
Важно: Для субъектов КИИ это означает усиление требований к документации, более тесное взаимодействие с ГосСОПКА и ФСБ, а также расширение ответственности за соблюдение норм.
Если ваша организация обрабатывает персональные данные — вы обязаны применять средства криптозащиты в соответствии с требованиями ст. 19 ФЗ № 152-ФЗ.
Получите бесплатную консультацию эксперта по информационной безопасности.
Что конкретно изменилось с 1 сентября 2025 года
Индивидуальные предприниматели исключены из перечня субъектов КИИ
Ранее субъектами КИИ могли быть как юридические лица, так и индивидуальные предприниматели, если у них находились объекты, соответствующие критериям значимости.
С 1 сентября 2025 года ИП больше не признаются субъектами КИИ в рамках ФЗ № 187-ФЗ.
Однако это не освобождает их от обязанностей по защите информации.
ИП по-прежнему обязаны соблюдать:
- ФЗ № 152-ФЗ «О персональных данных» — при обработке ПДн;
- ФЗ № 149-ФЗ «Об информации, информационных технологиях и о защите информации» — при использовании ИТ-систем;
- требования поставщиков КИИ — если они выступают в роли контрагентов.
Важно: ИП, работающие в сфере связи или обрабатывающие значимые данные, могут оставаться в зоне внимания ФСТЭК и ГосСОПКА, особенно в части уведомления об инцидентах.
Новый перечень субъектов КИИ — чёткие критерии
Ранее субъектами КИИ считались органы власти, юрлица и ИП, если у них были объекты в сфере энергетики, транспорта, связи и т.д. — формулировка была широкой и вызывала споры.
С 1 сентября 2025 года перечень субъектов КИИ строго определён:
- Федеральные органы государственной власти и органы власти субъектов РФ;
- Государственные и муниципальные учреждения (больницы, школы, МФЦ, библиотеки и т.п.);
- Государственные и муниципальные унитарные предприятия (ГУПы, МУПы);
- Хозяйственные общества, в которых государство обладает контрольным пакетом акций или иной формой решающего влияния;
- Любые юридические лица, у которых имеются объекты КИИ (даже если это частная компания).
Важно: Даже если вы — частная организация, но ваша система обслуживает, например, транспортную сеть или банк — вы субъект КИИ.
Обязательное использование российского ПО и ПАК
С 1 сентября 2025 года субъекты КИИ, эксплуатирующие значимые объекты, обязаны:
- Использовать программы для ЭВМ и базы данных, включённые в Единый реестр российского ПО;
- Применять средства защиты информации (СрЗИ) и программно-аппаратные комплексы (ПАК), соответствующие требованиям, утверждённым Правительством РФ.
Исключение:
Если ПО или ПАК уже используются в государственных или муниципальных информационных системах (ГИС, МИС, ЕГРН и др.), их можно продолжать применять — но только до момента, пока не будет установлен срок перехода на отечественные аналоги.
Все организации обязаны разработать и реализовать план постепенного перехода на российские решения.
Расширение полномочий Правительства РФ
С 1 сентября 2025 года Правительство РФ получило прямые полномочия по регулированию требований к ПО и ПАК, используемым на объектах КИИ.
Эти требования утверждены постановлением Правительства от 22.08.2022 № 1478.
Теперь Правительство может:
- Утверждать перечни типовых объектов КИИ по отраслям;
- Определять отраслевые особенности категорирования;
- Устанавливать сроки и порядок перехода на российское ПО;
- Контролировать выполнение требований через мониторинг.
Это означает: все решения по КИИ теперь принимаются на уровне Правительства, а не на уровне ведомств.
Уточнения в механизмах категорирования объектов КИИ
ФЗ № 58-ФЗ внес уточнения в процедуру категорирования, сужая круг субъектов, обязанных её проводить (ИП исключены), и перераспределяя полномочия между органами власти.
Правила категорирования определены постановлением Правительства от 08.02.2018 № 12. ФСТЭК и другие регуляторы обязаны действовать строго в рамках этих правил.
Также введены новые требования:
- Актуализация категории — не реже одного раза в 5 лет, а для особо значимых объектов — чаще, при изменении параметров или появлении новых угроз;
- Электронный документооборот — уведомления, акты категорирования и согласования теперь подаются через специализированные электронные сервисы.
На практике это значит:
1. Категорирование — обязательно, если объект потенциально может быть признан значимым.
2. Раньше многие «категорировали по шаблону» — теперь нужно обосновать, почему система не подпадает под КИИ.
3. Если назначение системы изменилось (например, с внутреннего сервера на публичный сервис), категорию обязательно пересматривают.
4. Если ФСТЭК/ФСБ обновили методики оценки угроз — пересмотр категории обязателен.
Для бизнеса:
Те, кто работал «на грани», теперь могут избежать категорирования — если чётко докажут, что их система не критична.
Но документальное обоснование — обязательно.
Получить бесплатную консультацию по новым правилам КИИ.
Уточнены полномочия ФСБ
Ранее ФСБ отвечала за выявление угроз и координацию при инцидентах — но без чётких полномочий.
ФЗ № 58-ФЗ расширил её роль:
- ФСБ теперь руководит действиями по предотвращению, выявлению и ликвидации последствий кибератак на КИИ — все субъекты обязаны подчиняться её указаниям;
- ФСБ получает право запрашивать и обрабатывать данные о состоянии защиты КИИ — субъекты обязаны предоставлять информацию в ГосСОПКА;
- ФСБ утверждает требования к отдельным видам технических средств защиты информации — включая ПО и оборудование;
- ФСБ координирует взаимодействие между ФСТЭК, Роскомнадзором, Минцифры и другими ведомствами при инцидентах.
Важно:
- Субъекты КИИ обязаны самостоятельно проводить оценку безопасности и готовить отчёты о ПО, ПАК, состоянии систем и инцидентах.
- ФСТЭК проводит контрольные проверки на соответствие требованиям.
- ФСБ имеет право проводить внеплановые инспекции, особенно при серьёзных инцидентах.
Что делать компаниям уже сейчас
Для компаний, которые являются субъектами КИИ, изменения с 1 сентября 2025 года означают, что откладывать подготовку больше нельзя. Мы подготовили рекомендации, которые помогут снизить риски и действовать в рамках правового поля:
1. Проведите инвентаризацию
Зафиксируйте все объекты КИИ: серверы, сети, базы данных, системы автоматизации, контрольные узлы.
Составьте список используемого ПО и ПАК. Отметьте, какие из них внесены в Единый реестр российского ПО и соответствуют требованиям ФСТЭК.
2. Проверьте и актуализируйте категорирование
Если категорирование проводилось ранее — пересмотрите его с учётом новых угроз и изменений в назначении систем.
Подготовьте документы: акты категорирования, модели угроз, отчёты о состоянии защиты.
3. Перейдите на российское ПО и ПАК
Определите приоритетные системы для замены: критические серверы, базы данных, СКЗИ.
Разработайте план перехода с учётом сроков, установленных Правительством.
Обучите сотрудников работе с новыми решениями.
4. Внедрите систему мониторинга и реагирования
Настройте журналы событий, средства обнаружения атак, SIEM-систему.
При отсутствии внутреннего SOC — закажите аутсорсинг у компании с лицензией ФСТЭК.
Пропишите процедуры оперативного уведомления ФСБ об инцидентах.
5. Проверьте соответствие средств защиты
Убедитесь, что все СрЗИ и ПАК соответствуют требованиям, утверждённым Правительством и ФСБ.
6. Настройте взаимодействие с ФСТЭК и ФСБ
Установите контакты, назначьте ответственных за отчёты и инциденты.
Подготовьте каналы связи для оперативного обмена информацией.
7. Документируйте все процессы
Все процедуры — от оценки угроз до реагирования на инциденты — должны быть оформлены в приказах, регламентах и инструкциях.
Обязательно подготовьте план восстановления после атаки.
8. Обучите персонал
Особенно — ИТ-специалистов и сотрудников подразделений информационной безопасности.
Без знания требований — соблюдение невозможно.
Последствия несоблюдения
Если при проверке будут выявлены нарушения:
- Штраф до 500 000 рублей — по ст. 13.12.1 КоАП РФ;
- Блокировка систем — при угрозе безопасности;
- Уголовная ответственность — по ст. 274.1 УК РФ — до 10 лет лишения свободы, если нарушение привело к катастрофе.
Если вы не уверены, что ваша организация соблюдает ФЗ № 152-ФЗ, стоит провести аудит и при необходимости обратиться за помощью к юристам.