Статус субъекта КИИ больше нельзя считать вопросом внутренней трактовки. Новый перечень типовых объектов резко сузил пространство для маневра. Теперь если система совпадает с позицией документа, ее нужно учитывать при категорировании. IT World объясняет, что изменилось в феврале 2026 года, кого это касается, какие требования появляются уже сейчас и почему проверку инфраструктуры лучше не откладывать.
187-ФЗ «О безопасности критической информационной инфраструктуры» живет в российском праве с 2017 года. Почти девять лет многие компании жили с ним в состоянии мирного сосуществования: закон есть, но мы не субъекты, нас не касается. В феврале 2026 года это равновесие нарушилось — и для части организаций нарушилось резко.
26 февраля 2026 года Правительство РФ издало Распоряжение № 360-р, утвердившее единый Перечень типовых отраслевых объектов КИИ. 397 позиций. Все регулируемые отрасли. Документ вступил в силу на следующий день - 27 февраля. Никакого переходного периода предусмотрено не было.
Смысл изменения — принципиальный. Раньше компании самостоятельно определяли, подпадают ли их системы под категорирование, и нередко приходили к удобному выводу «не подпадают». Теперь государство сделало это за них. Если ваша система совпадает с позицией в Перечне — вы субъект КИИ. Комиссия по категорированию обязана это зафиксировать, а не решить иначе. Пространства для интерпретаций стало значительно меньше.
Кого это касается
Закон охватывает 14 сфер деятельности, прямо перечисленных в статье 2 187-ФЗ: здравоохранение, наука, транспорт, связь, энергетика, банковская сфера и финансовые рынки, топливно-энергетический комплекс, атомная энергия, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность, а также государственная регистрация прав на недвижимость.
Важный нюанс, который часто упускается: субъектом КИИ является не любая организация из перечисленных отраслей, а та, которой на законном основании принадлежат объекты КИИ — информационные системы, информационно-телекоммуникационные сети или АСУ ТП, обеспечивающие критические процессы. Это значит, что вопрос не «в какой отрасли мы работаем», а «какие конкретно системы у нас есть и что они обеспечивают».
Распоряжение № 360-р с типовым перечнем принципиально изменило ответ на этот вопрос для тех, кто раньше мог рассуждать: «ну, формально мы в транспортной отрасли, но наши системы не критичные». Теперь если система описана в Перечне - она объект КИИ вне зависимости от внутренней оценки.
Что нужно сделать после того, как вы поняли, что стали субъектом
Обязанности субъекта КИИ по 187-ФЗ разделены на два уровня: те, что возникают у всех субъектов, и те, что добавляются при наличии значимых объектов.
Обязанности всех субъектов КИИ (ст. 9, ч. 2 187-ФЗ)
Независимо от того, окажутся ли ваши объекты значимыми по итогам категорирования, вы уже сейчас обязаны:
Провести категорирование. Это первый и обязательный шаг. Создается постоянно действующая комиссия, определяются критические процессы организации, формируется перечень объектов КИИ — и проводится оценка каждого из них по критериям ПП РФ № 127. По итогам каждому объекту присваивается одна из трех категорий значимости либо принимается решение об отсутствии необходимости присвоения категории - то есть объект признается незначимым. Это тоже юридически оформленный результат, который нужно зафиксировать в акте.
Сроки по ПП № 127: перечень объектов направляется во ФСТЭК в течение 5 рабочих дней после утверждения; акт категорирования - в течение 10 рабочих дней после утверждения. Максимальный срок самого категорирования - 1 год с момента утверждения перечня. На практике при появлении новых объектов ФСТЭК ожидает завершения процедуры в течение нескольких месяцев, не года.
Уведомлять об инцидентах. Все субъекты КИИ обязаны информировать ФСБ России (НКЦКИ) о компьютерных атаках и инцидентах на своих объектах. Порядок установлен Приказом ФСБ России от 19.06.2019 № 282. Для значимых объектов срок - не позднее 3 часов с момента обнаружения; для остальных - не позднее 24 часов.
Взаимодействовать с ГосСОПКА. Субъекты КИИ обязаны сообщать в главный центр ГосСОПКА об обнаружении, предупреждении и ликвидации последствий компьютерных атак (ст. 9 187-ФЗ). Даже если у вас нет значимых объектов - разработайте регламент реагирования на инциденты с прописанными каналами связи и ответственными.
Содействовать ФСБ. Обеспечить должностным лицам ФСБ России доступ к информационным ресурсам для мониторинга защищенности и исполнять их указания по результатам такого мониторинга.
Дополнительные обязанности владельцев значимых объектов
Если по результатам категорирования хотя бы один объект получил категорию I, II или III, объем требований существенно расширяется.
Система безопасности значимого объекта. Разработать и ввести организационные и технические меры защиты в соответствии с Приказом ФСТЭК России от 25.12.2017 № 239. Документ определяет 63 меры защиты, сгруппированных по направлениям: идентификация и аутентификация, управление доступом, защита машинных носителей, аудит безопасности, антивирусная защита, обнаружение вторжений и ряд других. Конкретный набор мер зависит от присвоенной категории.
Подключение к ГосСОПКА. Владельцы значимых объектов обязаны обеспечить непрерывное взаимодействие с ГосСОПКА: либо создав корпоративный центр мониторинга с аккредитацией, либо заключив договор с уже аккредитованным центром. Для незначимых объектов этот уровень интеграции не является обязательным — достаточно базового регламента уведомлений.
Отчетность перед ФСТЭК. С 1 сентября 2025 года действует расширенная форма сведений о результатах категорирования (Приказ ФСТЭК № 236) с детализацией до конкретных СЗИ, версий ПО, доменных имен и сетевых адресов. Сведения необходимо поддерживать в актуальном состоянии.
Про инфраструктуру – важный момент, который часто упускают
Один из самых распространенных концептуальных просчетов: организация выявляет объект КИИ, начинает его защищать, и при этом оставляет без внимания все, что этот объект обеспечивает. Серверы, на которых он работает. Сетевое оборудование. СУБД. Рабочие места операторов. Каналы связи.
187-ФЗ и Приказ ФСТЭК № 239 требуют защиты не только самого объекта КИИ, но и всей инфраструктуры, обеспечивающей его функционирование. Компрометация этой инфраструктуры юридически равнозначна воздействию на объект. Практический вывод: инвентаризация должна охватывать не только системы, которые могут быть объектами КИИ, но и весь технологический контур вокруг них.
Требования Указа Президента № 250
Параллельно с 187-ФЗ на субъектов КИИ распространяется Указ Президента РФ от 01.05.2022 № 250 (в редакции Указа № 500 от 13.06.2024). Его требования накладываются на требования закона и частично пересекаются с ними, а частично — добавляют новое.
Назначить ответственного заместителя руководителя. На конкретного заместителя возлагаются полномочия по обеспечению ИБ, включая обнаружение, предупреждение и ликвидацию последствий компьютерных атак. Квалификационные требования установлены ПП РФ от 15.07.2022 № 1272: профильное образование или переподготовка не менее 360 часов. Это не должность по совместительству — это ответственность с документально оформленными полномочиями.
Создать подразделение по ИБ. Либо отдельное структурное подразделение, либо наделить соответствующими функциями существующее. Со всеми вытекающими: положение о подразделении, должностные инструкции, бюджет.
Запрет на СЗИ из недружественных стран. С 1 января 2025 года введен запрет на закупку и использование средств защиты информации производства государств, включенных в перечень недружественных: США, государства ЕС, Великобритания, Австралия, Япония и другие. Это касается не только новых закупок, но и уже эксплуатируемых решений.
Импортозамещение ПО в конкретные сроки
Требования по переходу на отечественное программное обеспечение для значимых объектов КИИ введены поправками в 187-ФЗ (ФЗ от 07.04.2025 № 58-ФЗ и ФЗ от 31.07.2025 № 325-ФЗ):
С 1 сентября 2025 года — обязательно использование ПО из Единого реестра российских программ для ЭВМ и баз данных (реестр Минцифры).
С 1 марта 2026 года — допускается также ПО, разработанное и используемое российскими юридическими лицами для собственных нужд.
Горизонт полного перехода, включая программно-аппаратные комплексы (ПАК), — 2030 год. Однако уже сейчас от вас потребуется план перехода с конкретными сроками по каждому объекту.
Об ответственности
Статья 274.1 УК РФ, часть 3 — нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой информации, содержащейся в КИИ, либо правил доступа к системам КИИ, повлекшее причинение вреда:
- принудительные работы до 5 лет или лишение свободы до 6 лет с лишением права занимать должности до 3 лет;
- при использовании служебного положения — лишение свободы от 3 до 8 лет;
- при тяжких последствиях — до 10 лет лишения свободы.
Статья 293 УК РФ (халатность) — ненадлежащее исполнение должностным лицом обязанностей по обеспечению безопасности КИИ: до 3 лет с лишением права занимать должности; при тяжких последствиях — до 5 лет.
Помимо уголовной, существует и административная ответственность. ФСТЭК России по итогам проверок вправе назначить штрафы по ст. 13.12.1 КоАП РФ (нарушение требований в области обеспечения безопасности КИИ) и ст. 19.7.15 КоАП РФ (непредоставление сведений). На практике ФСТЭК фиксирует нарушения почти у каждой проверенной компании.
Одно принципиальное замечание о природе уголовной ответственности: ст. 274.1 и ст. 293 УК РФ применяются к должностным лицам — конкретным людям. Понятие «существенный вред» в диспозиции статей является оценочным. Это означает, что следствие и суд оценивают его ситуативно, с учетом всех обстоятельств — в том числе того, были ли вообще приняты какие-либо меры по закону. Компания, не сделавшая ровно ничего с момента обретения статуса субъекта КИИ, существенно снижает для себя эту планку.
Практика ФСТЭК. Что реально проверяют
Регулятор за последние годы накопил устойчивую правоприменительную практику. По данным проверок, нарушения фиксируются у подавляющего большинства проверяемых организаций. Типичные претензии:
- несоответствие фактического состава объектов сведениям, направленным во ФСТЭК;
- категорирование проведено формально, без анализа реальных угроз;
- акты категорирования не актуализированы после изменений в инфраструктуре;
- меры защиты по Приказу № 239 реализованы не в полном объеме;
- отчетность не содержит требуемой детализации по ПО и СЗИ.
С ноября 2025 года вступили в силу изменения ПП № 127, которые в том числе ужесточили требования к содержанию актов категорирования и процедуре повторного категорирования. Субъекты КИИ, ранее прошедшие категорирование, обязаны пересмотреть его результаты с учетом новых правил и типового перечня.
Вместо заключения
187-ФЗ постепенно прошел путь от рамочного закона с широкими возможностями для интерпретации к детальному регулятивному инструменту с отраслевыми перечнями, конкретными сроками и персональной ответственностью. Распоряжение № 360-р — не финальная точка этой эволюции, а очередной ее этап. Работа над подзаконной базой продолжается.
Для ИТ-менеджера это означает одно практическое действие: открыть Перечень и честно ответить на вопрос, есть ли в вашей инфраструктуре системы, которые там описаны. Если есть — процесс нужно запустить. Не потому что «регулятор придет с проверкой», а потому что статус субъекта КИИ уже существует — вне зависимости от того, знает ли об этом ваша организация.