Новый закон о кибербезопасности в Армении: что меняется для бизнеса
С 4 января 2026 года в Армении вступил в силу Закон РА «О кибербезопасности».
Я внимательно разобрал сам текст закона и посмотрел на него с практической точки зрения – что реально меняется для российских компаний, которые работают в Армении, открыли там юрлица и команды или продают ИТ-, облачные и инфраструктурные услуги на местный рынок.
Ниже – ключевые положения закона, реальные риски и выводы.
Закон применяется к:
- компаниям и ИП из «жизненно важных» сфер
- операторам информационных систем и критической информационной инфраструктуры
- госорганам и муниципалитетам
Микро- и малый бизнес формально исключён, но с важной оговоркой:
если даже небольшая компания эксплуатирует КИИ, требования закона на неё распространяются полностью.
Какие сферы считаются «жизненно важными»:
- телеком и связь
- финансы
- здравоохранение
- ИТ и цифровая инфраструктура
- управление и эксплуатация баз данных
- дата-центры, облака, сервисные платформы
- энергетика, транспорт, вода, почта, космос и др.
Отдельно важно:
часть систем считается критической по факту назначения, без дополнительной оценки – в том числе DNS, доменные реестры, доверенные сервисы и ряд цифровых платформ.
Самое чувствительное - киберинциденты и сроки
Если произошёл существенный киберинцидент (или пока неясно, насколько он серьёзный, но это разумно предположить):
- уведомление регулятора – до 24 часов
- уточнённая информация – до 72 часов
- уведомление затронутых лиц – сразу, а если объективно невозможно – до 2 дней
- финальный отчёт – в течение 1 месяца
Если компания не уведомляет пострадавших, регулятор вправе сделать это сам, включая публичное раскрытие.
Это не рекомендация, а прямая обязанность.
В случае серьёзного инцидента регулятор может:
- частично или полностью ограничить эксплуатацию системы
- ограничить доступ к ней
- Но не произвольно. Закон фиксирует условия: реальная угроза другим системам или КИИ, неспособность компании справиться, отсутствие иных мер и требование соразмерности.
Организация кибербезопасности – уже не «по желанию»
Для поставщиков услуг закон прямо требует:
- круглосуточные меры по выявлению угроз и реагированию
- внутренние регламенты и политики по кибербезопасности
- назначенного ответственного специалиста
Порядок подтверждения квалификации и признания иностранных специалистов завязан на регулятора.
Аудит
- обязательный кибераудит не реже одного раза в 3 года
- если стандарт требует чаще – значит чаще
- отчёт по аудиту обязательно направляется регулятору
- Для операторов КИИ – аудит по утверждённым национальным или международным стандартам.
Самый тонкий момент для российских подрядчиков
Если кибербезопасность передаётся на аутсор - сам факт такого поручения может требовать согласования с регулятором
Если подрядчик иностранный:
- документы о соответствии стандартам должны быть признаны регулятором
- признание возможно только в рамках международных соглашений о сотрудничестве
Это потенциальная точка трения для российских MSSP, SOC, аудиторов и интеграторов.
Переходные периоды - они есть, но расслабляться не стоит:
- подзаконные акты и стандарты – до 12 месяцев
- внутренние регламенты и оценка рисков – до 18 месяцев
- операторы КИИ и киберпровайдеры – до 24 месяцев на подтверждение соответствия стандартам
Для российских компаний Армения фактически становится самостоятельной регуляторной средой в сфере ИБ, со своими требованиями, сроками и обязанностями.
Это не про запреты и не про «выдавливание» бизнеса.
Это про скорость реакции, формализацию процессов, обязательные аудиты, усложнение трансграничного аутсорса ИБ и усиление роли регулятора в кризисных ситуациях.
Что я бы рекомендовал нашим компаниям уже сейчас:
1. Понять, попадаете ли вы в «жизненно важные» сферы или КИИ
2. Проверить, выдержите ли вы 24-часовой срок уведомления
3. Подготовить шаблоны уведомлений и отчётов заранее
4. Если вы продаёте ИБ как сервис в Армению – заранее проработать вопрос стандартов и признания документов
Без паники. Но и без иллюзий.
