КИИ-2026: новые штрафы и правила 187-ФЗ глазами интегратора

За последние два года регулирование критической информационной инфраструктуры (КИИ) в России заметно изменилось. Если раньше требования 187-ФЗ многие воспринимали как формальность для госсектора, то в 2025-2026 годах подход государства стал жестче.

Регуляторы уходят от рамочных формулировок. Появляются типовые отраслевые перечни объектов, обязательное импортозамещение и усиленная ответственность за нарушения.

В этой статье разбираем ключевые изменения, которые уже вступили в силу, и рассказываем, как подготовиться к проверкам регуляторов.

Новые правила категорирования

Ключевое нововведение – это типовые отраслевые перечни объектов КИИ. Раньше компании сами решали, подпадает ли система под 187-ФЗ, что вело к занижению категорий значимости. Теперь подход формализован.

Согласно закону, объектами КИИ являются:

• информационные системы (ИС);
• информационно-телекоммуникационные сети (ИТС);
• автоматизированные системы управления (АСУ).

Конкретный состав зависит от сферы деятельности указанной в п.8 ст.2 187-ФЗ: здравоохранения, науки, транспорта, связи, энергетики, государственной регистрации прав на недвижимое имущество и сделок с ним, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности.

Импортозамещение усиливается

В 2025-2026 годах продолжилось развитие требований к технологической независимости и защите значимых объектов КИИ (ЗОКИИ).

Обязательным стало использование:

• российского ПО из реестра Минцифры;
• доверенных программно-аппаратных комплексов;
• сертифицированных средств защиты информации.

Это один из самых затратных пунктов для бизнеса: замена ПО влияет на лицензии, совместимость, обучение персонала. Государство признает, что не везде есть зрелые аналоги (особенно в промышленной автоматизации), поэтому исключения возможны, но только с документальным обоснованием.

Обновления в информировании

Изменения коснулись взаимодействия с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и Национального координационного центра по компьютерным инцидентам (НКЦКИ).

Для значимых объектов КИИ требуется полноценное взаимодействие с ГосСОПКА: мониторинг инцидентов, классификация и оперативное уведомление регулятора.

Организации должны обеспечивать:

• своевременное информирование об инцидентах;
• обмен данными о событиях ИБ;
• участие в процессах реагирования;
• поддержание актуальности информации о состоянии защиты.

Для незначимых объектов требования мягче – взаимодействие через регламентированные каналы связи без подключения к техническому контуру ГосСОПКА.

Сроки информирования НКЦКИ:

1. не позднее 3 часов – уведомление об обнаружении инциденте для ЗОКИИ;
2. не позднее 24 часов – уведомление об обнаружении инциденте для для НОКИИ;
3. не позднее 24 часов – уведомление об атаке;
4. 48 часов – уведомление о результатах реагирования для ЗОКИИ;
5. 7 календарных дней – направление плана реагирования.

Больше ответственности для бизнеса

Последствия нарушений для бизнеса чувствительны: предписания, дополнительные проверки, срочная доработка процессов, финансовые и репутационные потери.

Штрафы значительны. Например:

• до 500 000 руб. – за нарушение порядка информирования об инцидентах;
• до 100 000 руб. – за несоблюдение требований к системам безопасности ЗОКИИ;
• до 500 000 руб. – за нарушение правил обмена информацией об инцидентах.

Также предусмотрена уголовная ответственность по ст. 274.1 УК РФ за неправомерное воздействие на КИИ. Максимальное наказание – до 10 лет лишения свободы (при тяжких последствиях). Ответственность могут нести руководители, заместители по ИБ, CISO и руководители служб ИБ, ИТ-директора, специалисты эксплуатации.

Как компании работают с 187-ФЗ на практике

Выполнение требований не ограничивается документами. Нужно определить объекты КИИ, провести категорирование, актуализировать процессы ИБ и подготовиться к проверкам регулятора.

Часто бизнес привлекает внешних аудиторов для независимой оценки. Например, команда ICL Services сопровождает проекты по приведению инфраструктуры в соответствие 187-ФЗ: от аудита и категорирования до документации и проектирования СОИБ для ЗОКИИ.

Специалисты помогают:

• выявить несоответствия законодательству;
• определить меры защиты;
• подготовить комплект документов по КИИ;
• разработать модель угроз;
• выстроить процессы реагирования на инциденты;
• подготовиться к общению с регуляторами.

По итогам – комплект документов и дорожная карта развития системы защиты КИИ. ICL Services также помогает дорабатывать документацию после проверок в сжатые сроки.

Что стоит сделать уже сейчас

Минимальный набор практических мер на 2026 год:

1. провести повторную инвентаризацию объектов КИИ;
2. проверить актуальность категорирования;
3. оценить долю иностранного ПО и оборудования;
4. подготовить дорожную карту импортозамещения;
5. пересмотреть процессы взаимодействия с ГосСОПКА;
6. проверить готовность к сокращенным срокам устранения нарушений;
7. обновить внутренние регламенты реагирования;
8. подготовить руководство компании к усилению персональной ответственности.

Заключение

Требования по защите КИИ усиливаются, проверки становятся детальнее. Бизнесу пора переходить от разовых процедур соответствия к системной работе с КИИ как к постоянно контролируемой части ИТ-ландшафта. Те, кто начинает подготовку заранее, получает время на модернизацию без авралов и критичных замечаний регуляторов.

Про другие нововведения в требованиях к ИБ читайте в нашей статье.