Обзор основных изменений в области безопасности критической информационной инфраструктуры (КИИ) 2025-2026 гг.

Предлагаем ознакомиться с обзором изменений законодательства о безопасности КИИ, которые вступили в силу в 2025 г., а также новых инициатив, которые планируются к рассмотрению и (или) вступлению в силу в 2026 г.

1. 01 сентября 2025 года вступил в силу Федеральный закон от 07.04.2025 № 58-ФЗ «О внесении изменений в Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации»¹ (далее – «Закон № 58»), направленный на усиление технологической независимости и повышение безопасности КИИ. Закон № 58 исключил из перечня субъектов КИИ индивидуальных предпринимателей, а также расширяет полномочия Правительства РФ в сфере регулирования безопасности КИИ, которое вправе устанавливать:

• порядок мониторинга за выполнением обязанностей субъектов КИИ по использованию отечественного ПО и программно-аппаратных средств;

• единый перчень типовых отраслевых объектов КИИ, включающих типы информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, обладающих признаком значимости;

• отраслевые особенности категорирования объектов КИИ, которые включают в себя в том числе отраслевые признаки значимости объектов КИИ и порядок расчета значений показателей критериев значимости;

• порядок и сроки перехода на российское ПО и соответствующие программно-аппаратные средства на значимых объектах КИИ (далее – «ЗОКИИ»);

• требования к программно-аппаратным средствам, которые должны использоваться на ЗОКИИ.

Обязанности субъектов КИИ в сфере обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ дополняются и включают требования об:

• использовании на ЗОКИИ ПО, включенного в реестр российского ПО, которое используется в соответствующих требованиям о защите информации ГИС и иных информационных системах государственных органов, унитарных предприятий, учреждений;

• осуществлении непрерывного взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ.

А) С 01 сентября 2025 года вступил в силу измененный порядок ведения реестра ЗОКИИ².

Согласно изменениям порядка ведения реестра ЗОКИИ, каждому значимому объекту КИИ, включенному в реестр, присваивается регистрационный номер более строгого формата: XXXXXX/Х/XX/Х. Новый формат регистрационного номера расшифровывается следующим образом:

• первые 6 цифр от 000001 до 999999 — это порядковый номер объекта КИИ в реестре;

• следующая цифра от 1 до 8 —федеральный округ, на территории которого находится объект КИИ;

• следующая группа знаков содержит число от 01 до 14 – сфера (область) деятельности субъекта КИИ, которому принадлежит объект КИИ;

• последняя группа знаков содержит прописную букву «А», «Б» и «В» и означает тип объекта КИИ («А» – информационная система (далее – ИС), «Б» – автоматизированная система управления технологическими процессами, «В» – информационно-телекоммуникационная сеть);

• сведения из реестра ежемесячно предоставляются государственным органам или российским юридическим лицам, выполняющим функции по разработке, проведению или реализации государственной политики.

Сведения из реестра подлежат ежемесячной передаче госорганам и российским юрлицам, уполномоченным на разработку/реализацию государственной политики в соответствующей сфере.

Б) С 01 сентября 2025 года направлять сведения о результатах присвоения категорий объектов КИИ необходимо по новой форме³.

11 июля 2025 г. был подписан Приказ ФСТЭК №  247 «О внесении изменений  в форму направления сведений о результатах присвоения  объекту критической информационной инфраструктуры одной  из категорий значимости либо об отсутствии необходимости  присвоения ему одной из таких категорий, утвержденную  приказом ФСТЭК России от 22 декабря 2017 г. № 236 (далее – «Приказ № 247»), который вступил в силу с 1 сентября 2025 года. Приказ № 247 внес изменения в существующую форму направления сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения категории.

Форму дополняют полем о наименовании типового отраслевого объекта КИИ (по перечням, которые устанавливает Правительство РФ), а также доменным именем и внешним сетевым адресом задействованных информационных ресурсов. Также Приказом уточняются формулировки о сфере деятельности субъекта, описании элемента/компонента объекта (ЦОД, серверное оборудование и т. п.), составе ПО/АП, а также детализируются требования к описанию применяемых средств защиты с указанием реквизитов сертификатов или обоснованием их отсутствия.

2. С 01.03.2026 г. вступит в силу Федеральный закон от 31.07.2025 № 325-ФЗ
«О внесении изменений в отдельные законодательные акты Российской Федерации» (далее – «Закон № 325»). Принятые поправки направлены на установление национального контроля над КИИ и обеспечение технологического суверенитета.

Закон № 325 дополняет Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и ряд смежных актов, вводя новые требования к субъектам КИИ, структуре их собственности и используемым информационным технологиям:

• закреплено, что субъектами КИИ могут быть только российские юридические лица, находящиеся под контролем граждан Российской Федерации, органов государственной власти или муниципальных образований. Под контролем понимается возможность определять решения, принимаемые организацией, в том числе через владение более чем 50 % голосующих акций (долей) или иными способами влияния на руководство и стратегию деятельности. Таким образом, исключается возможность иностранного контроля над субъектами, эксплуатирующими критические объекты и информационные системы, имеющие значение для безопасности государства и экономики.

• установлено, что в перечни «доверенных российских программ и баз данных» (далее – «ДПАК») могут включаться только те решения, исключительные права на которые принадлежат российским лицам или российским организациям, находящимся под контролем граждан РФ. Эта норма создает прямую правовую основу для последующего перехода субъектов КИИ на отечественное ПО и ДПАК.

Кроме того, закреплены полномочия государственных органов по контролю за соблюдением этих требований и за проверкой структуры собственности организаций, участвующих в обеспечении функционирования КИИ. Установлен переходный период: соответствующие изменения в организационной структуре и технологиях должны быть реализованы до 1 марта 2026 года.

Обновлены требования к защите информации, содержащейся в государственных информационных системах (далее – «ГИС»)⁴.

А) С 1 марта 2026 года Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» утратит силу в связи с изданием Приказа ФСТЭК от 11 апреля 2025 г. № 117 «Об утверждении требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений» (далее – «Приказ № 117»).

Приказ №117 устанавливает обновлённые требования к защите информации, обрабатываемой в информационных системах, включая объекты КИИ, а также новые подходы к организационно-техническим мерам защиты и акцентирует внимание на использовании доверенных решений и средств защиты информации. Также уточняется зона ответственности при передаче из ГИС информации ограниченного доступа в другие информационные системы. Состав передаваемой информации ограниченного доступа, цели ее защиты и уровень защищенности должны устанавливаться обладателем информации, заказчиком, заключившим контракт на создание информационных систем, оператором информационных систем. Защита информации в ЗОКИИ РФ должна осуществляться в соответствии с законодательством и Требованиями, принятыми на основании Федерального закона от 26.07.2017 № 187-ФЗ.

Для ЗОКИИ при создании ГИС обязательна модель угроз по Постановлению Правительства № 676 от 06.07.2015 г. Она служит основой для мер защиты и выбора средств информационной безопасности. Оператор выявляет, приоритизирует и нейтрализует угрозы, используя банк данных угроз ФСТЭК. Для негосударственных информационных систем решение о модели угроз принимает руководитель. Аттестаты, выданные до 01.03.2026, остаются действительными.

Также добавлена возможность применения пользователями личных мобильных устройств для доступа к информационным системам и содержащейся в них информации с целью выполнения своих обязанностей (функций) в случае их соответствия требованиям и наличия у оператора (обладателя информации) возможности контроля использования таких устройств.

Приказом № 117 выделяются мероприятия по обеспечению защиты информации при беспроводном доступе пользователей к информационным системам и закрепляется, что привилегированный доступ должен осуществляться с применением строгой аутентификации, а в случае технической невозможности применения строгой аутентификации – с использованием усиленной многофакторной аутентификации. Более того, Приказ № 117 уходит от «жёстких» перечней мер по классам защищённости, так как меры теперь подбираются и верифицируются под архитектуру и актуальные угрозы. Детальный список мер ФСТЭК планирует вынести в отдельный документ.

Проект о новых штрафах за нарушение правил эксплуатации объекта КИИ или доступа к нему направлен в Госдуму⁵.

18 ноября 2025 года зарегистрирован и направлен Председателю Государственной Думы новый законопроект, вносящий изменения в Кодекс об административных правонарушениях РФ (далее – «КоАП РФ»). Предлагается введение новой статьи 13.12.2 КоАП РФ, предусматривающей ответственность за нарушение правил эксплуатации объектов КИИ.

Ответственность предусмотрена за нарушение правил по эксплуатации следующих объектов:

• средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в КИИ;

• информационных систем;

• информационно-телекоммуникационных сетей;

• автоматизированных систем управления;

• сетей электросвязи, относящихся к КИИ.

Законодатель предлагает введение следующих штрафов за совершение данного деяния:

• Для граждан - от 5 до 10 тысяч рублей;

• Для должностных лиц - от 10 до 50 тысяч рублей;

• Для юридических лиц - от 100 до 500 тысяч рублей.

В пояснительной записке к данному законопроекту указывается, что данная норма вводится “в целях устранения риска вымывания кадрового состава специалистов органов власти и подведомственных организаций”, т.е. в отношении лиц, обеспечивающих функционирование и эксплуатацию объектов КИИ Российской Федерации, а также пользователей объектов КИИ, например, медицинских работников.

С 1 марта 2026 года планируется запуск новой антифрод-платформы Минцифры⁶.

Федеральный закон №41-ФЗ от 1 апреля 2025 года устанавливает единый регламент по борьбе с телефонным и интернет-мошенничеством, включая создание ГИС для противодействия правонарушениям, совершаемым с использованием информационных и коммуникационных технологий.

Участниками данной платформы станут госорганы (Генпрокуратура, СК, МВД), ЦБ и банки, операторы связи, владельцы соцсетей и сервисов размещения объявлений, провайдеры хостинга и другие. К функциям антифрод-платформы относятся сбор и обмен данными о кибермошеннических действиях, автоматический обмен сигналами о подозрительных событиях, хранение информации о нарушителях и используемых ими номерах, выявление фишинговых ресурсов, ограничение доступа к мошенническим сайтам, сбор статистики и аналитики.

Детали создания, эксплуатации и взаимодействия участников системы определяет Проект Постановления Правительства «О государственной информационной системе противодействия правонарушениям, совершаемым с использованием информационных и коммуникационных технологий». В нем также уточняются функции платформы, перечень участников (госорганы, банки, операторы связи, маркетплейсы, классифайды и др.), а также требования к программно-техническим средствам.

С 1 марта 2026 года МФО обязаны аутентифицировать клиентов по биометрии.

С 1 марта 2026 года микрофинансовые организации (МФО) в России обязаны внедрить биометрическую идентификацию заёмщиков при заключении договоров потребительского займа в электронной форме. Это требование закреплено в Федеральном законе №41-ФЗ «О создании государственной информационной системы противодействия правонарушениям, совершаемым с использованием информационных и коммуникационных технологий». МФО также обязаны взаимодействовать с АСОИ ФинЦЕРТ, системами Роскомнадзора, реестром запрещённых сайтов, СМЭВ и другими информационными ресурсами. Таким образом, МФО не смогут использовать упрощенную систему аутентификации для заключения договоров.