Найти в Дзене
ICL Services
337 подписчиков

Информационная безопасность в 2026: новые требования

418
3 мин
Законодательство в сфере информационной безопасности в России меняется быстрее, чем ИТ-ландшафты большинства компаний. Уже в 2025–2026 годах бизнесу придется работать в условиях значительно более жесткого регулирования: усиливаются требования к защите персональных данных, расширяется круг объектов КИИ, а для государственных и окологосударственных систем вводятся новые стандарты ФСТЭК. Разбираем ключевые изменения и объясняем, что они означают на практике — без сложной юридической терминологии. Федеральный закон «О персональных данных» остается базой регулирования, но его применение становится существенно строже. 1. Новые требования к согласию на обработку ПДн
С осени 2025 года регулятор ожидает не формальное согласие, а прозрачную и доказуемую процедуру. Компания должна уметь подтвердить: 2. Жесткая локализация данных
Обработка персональных данных граждан РФ с использованием зарубежных баз данных фактически запрещается в большинстве сценариев. Это напрямую влияет на: 3. Рост штрафов и
Оглавление

Законодательство в сфере информационной безопасности в России меняется быстрее, чем ИТ-ландшафты большинства компаний. Уже в 2025–2026 годах бизнесу придется работать в условиях значительно более жесткого регулирования: усиливаются требования к защите персональных данных, расширяется круг объектов КИИ, а для государственных и окологосударственных систем вводятся новые стандарты ФСТЭК.

Разбираем ключевые изменения и объясняем, что они означают на практике — без сложной юридической терминологии.

152-ФЗ: персональные данные под усиленным контролем

Федеральный закон «О персональных данных» остается базой регулирования, но его применение становится существенно строже.

Что важно для бизнеса

1. Новые требования к согласию на обработку ПДн
С осени 2025 года регулятор ожидает не формальное согласие, а прозрачную и доказуемую процедуру. Компания должна уметь подтвердить:

  • на каком основании обрабатываются данные;
  • в каких целях;
  • как обеспечивается их защита и обезличивание.

2. Жесткая локализация данных
Обработка персональных данных граждан РФ с использованием зарубежных баз данных фактически запрещается в большинстве сценариев. Это напрямую влияет на:

  • облачную инфраструктуру;
  • CRM и ERP-системы;
  • внешние сервисы аналитики и маркетинга.

3. Рост штрафов и проверок
Штрафы за нарушения 152-ФЗ достигают миллионов рублей и применяются ко всем формам бизнеса — от ИП до крупных корпораций.

Практический вывод: защита персональных данных — это уже не задача «для юристов», а полноценная ИБ-функция с ИТ-контролями и аудитом.

187-ФЗ: критическая инфраструктура — не только для «крупных»

Изменения в законе о безопасности КИИ затрагивают значительно больше компаний, чем раньше.

Ключевые изменения

Расширение перечня объектов КИИ
Под требования могут подпасть системы в энергетике, промышленности, транспорте, финансах, логистике и телеком-секторе.

Ответственность подрядчиков и ИТ-поставщиков
С 2026 года требования по ИБ распространяются не только на владельцев КИИ, но и на подрядчиков:

  • интеграторов;
  • разработчиков ПО;
  • поставщиков сервисов.

Контракты должны содержать обязательства по обеспечению ИБ.

Отраслевое категорирование
Категорирование объектов КИИ теперь опирается на утвержденные отраслевые перечни, а их игнорирование становится нарушением.

Практический вывод: если компания работает с КИИ напрямую или косвенно — комплаенс становится частью операционной стратегии.

Приказ ФСТЭК № 117: новый стандарт для ГИС с 2026 года

С марта 2026 года вступает в силу Приказ ФСТЭК № 117, который заменяет ранее действовавший № 17 и заметно повышает требования к защите государственных информационных систем.

Что меняется принципиально

  • расширен перечень обязательных мер защиты;
  • формализованы требования к облакам, контейнерам, API и веб-сервисам;
  • введены правила защиты IoT и сервисных интеграций;
  • усилены требования к контролю привилегированного доступа.

Кадры и технологии

  • не менее 30% сотрудников ИБ-подразделений должны иметь профильное образование или переподготовку;
  • запрещено использование несертифицированных и иностранных средств защиты в критически важных системах.

Практический вывод: для госорганов и подрядчиков ГИС потребуется пересборка ИТ-ландшафта и пересмотр процессов ИБ.

Общие тренды ИБ-регулирования в 2026 году

Независимо от отрасли, компании столкнутся с общими тенденциями:

  • сокращение сроков уведомления об инцидентах;
  • рост количества проверок Роскомнадзора и ФСТЭК;
  • акцент на импортозамещение и технологическую независимость;
  • повышение роли мониторинга и управления уязвимостями.

Чек-лист: что бизнесу делать уже сейчас

Чтобы не реагировать на изменения в режиме «пожара», рекомендуем:

✔ провести аудит обработки персональных данных;
✔ проверить, подпадают ли системы под требования КИИ;
✔ оценить соответствие используемых ИБ-решений новым требованиям;
✔ пересмотреть договоры с подрядчиками и ИТ-поставщиками;
✔ заложить ИБ-комплаенс в стратегическое и бюджетное планирование.

Итог

В 2026 году информационная безопасность перестает быть вспомогательной функцией. Это полноценный фактор устойчивости бизнеса, его репутации и способности работать в регулируемой цифровой среде.

Компании, которые начнут адаптацию заранее, снизят регуляторные риски и избегут затратных «догоняющих» проектов.