Как изменились требования к КИИ: новые правила 187-ФЗ

Регуляторы постепенно уходят от рамочных формулировок и начинают выстраивать полноценную систему контроля: с перечнем типовых отраслевых объектов и отраслевых особенностей категорирования объектов КИИ, обязательным импортозамещением и усиленной ответственностью за нарушения.

В этой статье разберем ключевые изменения 187-ФЗ, которые вступили в силу в 2025 и 2026 годах, и расскажем, как подготовиться к проверкам регуляторов.

Изменились правила категорирования объектов

Одним из ключевых нововведений стало появление типовых отраслевых перечней объектов КИИ.

Раньше компании могли самостоятельно определять, подпадает ли та или иная система под требования 187-ФЗ. На практике это нередко приводило к занижению категорий значимости или исключению отдельных систем из контура КИИ.

Сейчас подход стал более формализованным и конкретным.

Согласно 187-ФЗ, объектами КИИ являются:
- информационные системы (ИС);
- информационно-телекоммуникационные сети (ИТС);
- автоматизированные системы управления (АСУ).

При этом конкретный состав таких объектов зависит от сферы деятельности субъекта КИИ, указанной в п.8 ст. 2 187-ФЗ. Закон распространяется на организации, работающие в сферах здравоохранения, науки, транспорта, связи, энергетики, государственной регистрации прав на недвижимое имущество и сделок с ним, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности.

Усилено импортозамещение

В 2025-2026 годах продолжилось развитие требований к технологической независимости и защите значимых объектов КИИ (ЗОКИИ).

После вступления в силу изменений в законодательство обязательным стало использование:
- российского ПО из реестра Минцифры;
- доверенных программно-аппаратных комплексов;
- сертифицированных средств защиты информации.

На практике именно этот пункт стал одним из самых затратных для бизнеса: замена ПО затрагивает не только лицензии, но и совместимость систем, обучение персонала и перестройку процессов эксплуатации.

При этом государство признает, что не во всех сегментах уже существуют зрелые российские аналоги – особенно в промышленной автоматизации и аппаратной инфраструктуре. Поэтому для отдельных категорий объектов допускаются исключения, но только при наличии документального обоснования.

Обязательное информирование об инцидентах

Еще одно направление изменений связано с взаимодействием субъектов КИИ с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и Национальным координационным центром по компьютерным инцидентам (НКЦКИ).

Для значимых объектов КИИ требуется обеспечить полноценное взаимодействие с ГосСОПКА. Речь идет не только о подключении к инфраструктуре НКЦКИ, но и о выстраивании полноценного процесса мониторинга инцидентов, их классификации и оперативного уведомления регулятора.

Организации должны обеспечивать:
- своевременное информирование об инцидентах;
- обмен данными о событиях информационной безопасности;
- участие в процессах реагирования;
- поддержание актуальности информации о состоянии защиты.

Для незначимых объектов КИИ требования менее жесткие: взаимодействие с НКЦКИ может осуществляться через регламентированные каналы связи без обязательного подключения собственной инфраструктуры к техническому контуру ГосСОПКА.

Действующие требования предусматривают следующие сроки информирования НКЦКИ:
- не позднее 3 часов – срок уведомления с момента обнаружения компьютерного инцидента для ЗОКИИ;
- не позднее 24 часов – срок уведомления с момента обнаружения компьютерного инцидента для НОКИИ;
- не позднее 24 часов – срок уведомления с момента обнаружения компьютерной атаки;
- 48 часов – для ЗОКИИ срок уведомления после завершения мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак о результатах таких мероприятий;
- 7 календарных дней – срок направления плана реагирования на инциденты после его утверждения.

Повышение ответственности бизнеса

Для бизнеса последствия нарушений могут быть достаточно чувствительными:
- предписания регулятора;
- дополнительные проверки;
- необходимость срочной доработки процессов;
- финансовые потери;
- репутационные риски.

Поэтому многие компании предпочитают заранее проводить независимый аудит и устранять потенциальные замечания до официальной проверки.

Нарушение требований законодательства в области КИИ уже сегодня может приводить к значительным штрафам. Например:
- до 500 000 рублей – за нарушение порядка информирования об инцидентах;
- до 100 000 рублей – за несоблюдение требований к системам безопасности ЗОКИИ;
- до 500 000 рублей – за нарушение правил обмена информацией об инцидентах.

Дополнительно предусматривается уголовная ответственность по ст. 274.1 УК РФ за неправомерное воздействие на критическую информационную инфраструктуру РФ.

Максимальное наказание – до 10 лет лишения свободы, если нарушение привело к тяжким последствиям. При этом ответственность могут нести руководители организаций, заместители по ИБ, CISO и руководители служб ИБ, ИТ-директора, специалисты по эксплуатации.

Особое внимание регуляторы уделяют случаям, когда нарушение произошло из-за ненадлежащей организации процессов или бездействия ответственных лиц.

Как компании подходят к выполнению требований 187-ФЗ на практике

На практике выполнение требований по КИИ редко ограничивается только подготовкой документов. Обычно организациям требуется комплексная работа: определить, относятся ли системы к объектам КИИ, провести категорирование, актуализировать процессы информационной безопасности и подготовиться к возможным проверкам регуляторов.

В таких случаях бизнес часто привлекает внешних специалистов для независимого аудита и оценки текущего состояния процессов. Например, команда ICL Services сопровождает проекты по приведению инфраструктуры в соответствие требованиям 187-ФЗ: от первичного аудита и категорирования объектов КИИ до подготовки организационно-распорядительной документации и проектирования СОИБ для значимых объектов КИИ.

В рамках работ специалисты помогают:
- выявить несоответствия требованиям законодательства;
- определить приоритетные меры защиты;
- подготовить комплект документации по КИИ;
- разработать модель угроз и требования к СОИБ;
- выстроить процессы фиксации и реагирования на инциденты ИБ;
- подготовиться к взаимодействию с регуляторами.

По итогам проекта организация получает не только формальный комплект документов, но и понятную дорожную карту по дальнейшему развитию системы защиты КИИ.

Для компаний, которым необходимо ускорить подготовку или устранить замечания регулятора в сжатые сроки, ICL Services также оказывает поддержку по доработке документации и корректировке процессов после проверок.

Что стоит сделать уже сейчас

Резюмируя, можно выделить ключевые шаги, которые необходимо предпринять владельцам объектов КИИ в 2026 году. Минимальный набор практических мер выглядит следующим образом:

- провести повторную инвентаризацию объектов КИИ;
- проверить актуальность категорирования;
- оценить долю иностранного ПО и оборудования;
- подготовить дорожную карту импортозамещения;
- пересмотреть процессы взаимодействия с ГосСОПКА;
- проверить готовность к сокращенным срокам устранения нарушений;
- обновить внутренние регламенты реагирования и отчетности;
- подготовить руководство компании к усилению персональной ответственности.

Заключение

Требования по защите КИИ в России продолжают усиливаться, а проверки становятся более детальными и требовательными. Для бизнеса это означает необходимость перехода от разовых процедур соответствия 187-ФЗ к системной работе с КИИ как с постоянно контролируемой частью ИТ-ландшафта.

Компании, которые начинают подготовку заранее, получают больше времени на корректную модернизацию процессов, снижение рисков и планомерное развитие системы защиты – без авральных проектов и критичных замечаний со стороны регуляторов.