Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры» (КИИ) — один из ключевых документов, определяющих кибербезопасность в России. Принятый в 2017 году, он постоянно меняется.
Рассказываем, как он изменился в 2025 году и что делать вашей компании.
О чем 187-ФЗ
Закон регулирует безопасность объектов, выход из строя которых может нанести ущерб здоровью, экологии, безопасности государства и экономике. Его цель — защита от компьютерных атак.
Эволюция закона: курс на импортозамещение
Изначальный закон устанавливал общие рамки. Однако ключевые изменения произошли позже:
- Указы № 166 и 887 (2022 г.) – ввели поэтапный запрет на иностранное ПО и программно-аппаратные комплексы (ПАК) для значимых объектов КИИ.
- Указ № 250 (2022 г.) – расширил сферу действия, затронув до 500 тысяч организаций — основу российской экономики.
- Федеральный закон № 58-ФЗ (апрель 2025 г.) – стал главным обновлением. Он окончательно закрепил обязанность всех субъектов КИИ (государственных и коммерческих) перейти на российское ПО. Закон вступил в силу 1 сентября 2025 года.
Ключевые запреты
- С 1 сентября 2025 года — обязанность всех субъектов КИИ (государственных и коммерческих) перейти на российское ПО
- С 1 января 2025 — полный запрет на использование импортного ПО и ПАК на значимых объектах КИИ.
- С 1 сентября 2024 — запрет на использование вновь приобретаемых импортных ПАК.
- До 1 января 2030 — переход на преимущественное применение отечественных ПАК.
Проблемы и реалии
На старте многие компании относились к исполнению закона формально и столкнулись со сложностями:
- Постоянные изменения в нормативной базе.
- Дефицит кадров и компетенций по ИБ.
- Отсутствие бюджета у региональных компаний.
Государству пришлось стимулировать создание мотивации, системы обучения и рынка отечественного ПО.
Пошаговый план для вашей компании
Если вы подпадаете под действие 187-ФЗ, действуйте системно:
- 1.Определите статус. Выясните, является ли ваша организация субъектом КИИ, и получите категорию значимости объекта.
- 2.Проведите аудит. Подсчитайте весь объем используемого импортного ПО и ПАК.
- 3.Спланируйте бюджет. Оцените затраты на переход на российские аналоги.
- 4.Составьте дорожную карту. Внесите в план работ импортозамещение с учетом сроков, рисков и приоритетов.
- 5.Наладьте взаимодействие с ГосСОПКА. Подключитесь к государственной системе мониторинга (самостоятельно или через аккредитованные центры, например, УЦСБ USSC-SOC).
- 6.Зафиксируйте данные. Подготовьте для подачи в инстанции:
- Режим функционирования всех объектов КИИ (проектный/штатный).
- Списки доменов и IP-адресов объектов, имеющих выход в интернет.
Итог
Обновленный закон № 187-ФЗ — это не рекомендация, а строгое требование. Период «лазеек» закончился. За нарушения предусмотрены крупные повторные штрафы и даже уголовная ответственность.
Сейчас самое время для активных действий: провести аудит, спланировать переход на отечественное ПО и укрепить свою киберустойчивость. Это не только вопрос необходимости, но и вклад в технологическую независимость вашей компании и страны.
Ознакомиться с текстом закона Федерального закона от 26.07.2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» можно на официальном сайте Президента России.