Коренные изменения в законодательстве о критической информационной инфраструктуре

С 1 сентября 2025 года вступили в силу ключевые поправки в федеральном законодательстве о безопасностикритической информационной инфраструктуры (КИИ). Таким образом, в законодательном регулировании этой важной сферы информационной безопасности наступает значимый этап, меняющий правовой статус и обязанности субъектов КИИ.

Новеллы закреплены, в первую очередь, в обновлённом 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" от 26.07.2017 (в редакции Федеральных законов от 10.07.2023 №312-ФЗ и от 07.04.2025 №58-ФЗ) и в принятом 31.07.2025 года Федеральном законе №325-ФЗ.

Следует отметить, что проекты поправок в постановление Правительства РФ от 8 февраля 2018 г. №127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений», проект единого перечня объектов КИИ, проекты приказов ФСТЭК России о безопасности КИИ сейчас проходят проверку на соответствие изменениям в законодательстве и могут быть скорректированы в ближайшем времени. Поэтому практические детали (формы отчётности, методики отраслевого категорирования, точные списки объектов) пока лучше рассматривать как ожидаемые или проектные, но начинать подготовку к их вступлению в силу стоит уже сейчас.

Кратко и по сути важные изменения в законодательстве о безопасности КИИ:

• Проект единого перечня объектов КИИ как средство унификации.

Одно из центральных предложений — введение единого перечня объектов КИИ, который должен нивелировать разночтения в практике и сделать критерии отнесения к значимым объектам КИИ более прозрачными. Сейчас такой перечень представлен в виде проекта и проходит согласование.

• Изменение правил категорирование с учётом отраслевой специфики.

Проект поправок к правилам категорирования (п.5а постановления №127) вводит требование учитывать отраслевые особенности — и предполагает, что ФСТЭК России разработает отраслевые методики (ООК) для энергетики, транспорта, банков и др. Это означает отказ от «универсального» шаблона и переход к более точной, но и более ресурсоёмкой процедуре категорирования.

• Необходимость повторного категорирования и когда оно необходимо.

Нормативы, которые готовятся в приложении к постановлению правительства РФ №127, содержат обновлённый набор показателей категорирования. Следствие — прежние акты категорирования теряют актуальность, и компаниям придётся проходить процедуру повторно.

• Изменение формы подачи сведений о результатах категорирования во ФСТЭК России.

ФСТЭК России обновляет форму направления сведений о результатах категорирования: новые формы и шаблоны делают отчётность более детализированной - с требованием обосновать выбранную категорию, представить методику расчёта и подтверждающие документы.

• Исключение ИП из числа субъектов КИИ и закрепление требований к программному обеспечению.

Поправки в 187-ФЗ фиксируют две важные вещи, которые вступили в силу с 1 сентября 2025 года:

Индивидуальные предприниматели (ИП) выводятся из числа субъектов КИИ — это уменьшает административную нагрузку в отношении малых субъектов.

Закрепление требований к применяемому ПО, включая переход на программные продукты, входящие в российский реестр.

• Введение ограничений иностранного участия.

Федеральный закон №325-ФЗ, опубликованный 31 июля 2025 года, усиливает требования к отсутствию иностранного участия в субъектах КИИ и закрепляет ответственность за несоответствие этому требованию.

Все эти изменения, в той или иной степени, затрагивают финансовую, организационную и правовую деятельность государственных органов и компаний, имеющих объекты КИИ и предполагают определённую подготовку, которую надо начинать прямо сейчас.

Например, необходимо:

• Провести аудит и инвентаризацию информационных систем с учётом ожидаемых изменений перечня объектов;
• Начать повторное категорирование тех объектов, для которых это необходимо;
• Проверить используемое ПО и составить план его замены на отечественное из списка;
• Взаимодействовать с ФСТЭК России по поводу новых форм отчётности.

Надеемся, что эти меры помогут вашей организации адаптироваться к новеллам в законодательстве о безопасности КИИ.

Заведующий кафедрой ИБ,
 кандидат технических наук, доцент
 Лабутин Н.Г.