Готово!
Скоро материал придет на указанную электронную почту. Также подписывайте на нас в Facebook
Ok
Новые требования регуляторов и тренды законодательства в информационной безопасности – 2026
Сейчас российское законодательство в сфере ИБ переживает одну из самых масштабных трансформаций за последнее десятилетие. Это развитие стимулируется как цифровой трансформацией экономики, так и изменяющимися киберугрозами (повышенная активность атак, утечки данных, рост требований к защите критической инфраструктуры). Сегодня регуляторы предъявляют все более жесткие требования ко всем организациям: от крупных промышленных предприятий до государственных корпораций.
В статье разберем, каких кибер-нововведений в законодательстве бизнесу ожидать в 2026 году и как в связи с ними можно пересмотреть стратегию к защите своих данных.
Федеральный закон № 152-ФЗ «О персональных данных»: усиление требований
Федеральный закон № 152-ФЗ остается основным нормативным актом, регулирующим обработку и защиту персональных данных в России. В 2025 он претерпел важные изменения, которые существенно влияют на практику ИБ и комплаенса.
Чего ждать?
- Обязательные новые правила согласия и уведомлений
С 1 сентября 2025 года вступил в силу пакет поправок, которые усиливают требования к форме согласия на обработку персональных данных и порядку уведомления субъектов данных. Новые правила существенно расширяют обязанности операторов по обеспечению легитимности обработки и защите данных, в том числе вводят чёткие механизмы обезличивания.
- Локализация персональных данных
С 1 июля 2025 года усиливаются требования к локализации: обработка (сбор, хранение, обновление и извлечение) персональных данных граждан РФ не допускается с использованием баз данных, расположенных за пределами России в большинстве сценариев. Это влияет на архитектуру ИТ-систем и требует пересмотра схем хранения и обработки.
- Ужесточение административной ответственности
Размеры штрафов за нарушение требований по персональным данным значительно увеличены в КоАП РФ (вплоть до миллионов рублей), а ответственность распространяется на ИП и юридических лиц.
Эти изменения означают, что операторы ПДн должны не только обновить процессы обработки данных, но и пересмотреть модель управления данными, включая внедрение реальных механизмов контроля и отчётности.
Федеральный закон № 187-ФЗ: новые правила для объектов КИИ
Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ» также получил значительные поправки, которые вступают в силу в 2025–2026 годах.
Основные моменты:
- Расширение круга объектов КИИ
С 1 сентября 2025 года вступили в силу поправки, расширяющие перечень объектов, отнесенных к критической информационной инфраструктуре, и усиливающие требования по их защите в ключевых секторах (энергетика, транспорт, финансы и др.).
- Обязанности подрядчиков и поставщиков
В 2026 году требования по безопасности КИИ распространятся не только на владельцев объектов, но и на их подрядчиков, включая ИТ-поставщиков и разработчиков. Новая практика требует, чтобы контракты включали обязательства по обеспечению ИБ на уровне владельцев объектов.
Отраслевые подходы к безопасности КИИ
Поправки в 187-ФЗ расширили полномочия Правительства РФ по утверждению типовых отраслевых перечней объектов КИИ и отраслевых особенностей категорирования, сделав подтверждение соответствия объекта такому перечню обязательным этапом категорирования.
Эти изменения усиливают ответственность бизнеса за устойчивость и безопасность ИТ-инфраструктуры, делая комплаенс в сфере КИИ обязательной частью операционной стратегии.
Приказ ФСТЭК РФ № 117: жесткие требования к ИБ госорганов и ГИС
Новым важным элементом регулирования в ИБ стал Приказ ФСТЭК России № 117, который заменяет ранее действовавший Приказ № 17 и вступает в силу 1 марта 2026 года.
Ужесточение требований к защите государственных информационных систем (ГИС)
Новый приказ детализирует требования по анализу рисков, обнаружения уязвимостей, реагирования на инциденты и мероприятию по контролю уровня защищённости информации. Определена зона ответственности при передаче из государственной информационной системы информации ограниченного доступа в другие информационные системы.
Установлены требования по обязательной аттестации, правилам использования личных мобильных устройств, беспроводному и привилегированному доступам, в том числе набор базовых мер был пересмотрен, среди которых можно выделить защиту:
— виртуализации и облачных вычислений;
— технологий контейнерных сред и их оркестрации;
— сервисов электронной почты;
— веб-технологий;
— программных интерфейсов взаимодействия приложений;
— технологий интернета вещей.
Назначение ответственных по ИБ и обучение персонала
Специалисты по защите информации должны обладать компетенциями, необходимыми для выполнения своих обязанностей. И не менее 30 процентов работников структурного подразделения по защите информации должны иметь профессиональное образование по специальности или направлению подготовки в области ИБ или пройти обучение по программе профессиональной переподготовки.
Запрет несертифицированных средств защиты и иностранного ПО
Приказ вводит строгий запрет на использование несертифицированного ПО и иностранных решений в критически важных системах без соответствующей сертификации.
Все это означает, что государственные структуры должны кардинально пересмотреть ИТ-ландшафт, обновить системы защиты и усилить процессы контроля.
Общие тренды регулирования в ИБ — 2026
Помимо конкретных изменений в ФЗ и приказах, есть и более широкие тренды:
— Рост требований к обмену угрозами и оперативной отчетности
Операторы должны уведомлять регуляторов о новых уязвимостях и инцидентах в короткие сроки, что требует построения эффективных процессов мониторинга и обмена информацией.
— Усиление роли Роскомнадзора и ФСТЭК в контроле соблюдения ИБ-требований
Регуляторы получают расширенные полномочия по проверкам, санкциям и выработке детализированных методических рекомендаций.
— Технологическая независимость
Регуляторы настоятельно поддерживают импортозамещение ПО и решений ИБ, что отражено как в требованиях 187-ФЗ, так и в смежных нормативных актах.
Заключение
В 2026 году российское законодательство в области информационной безопасности выходит на новый уровень жесткости и детализации. Основные тренды включают:
- — усиление требований к персональным данным (152-ФЗ);
- — расширение ответственности в сфере КИИ и усиление контроля подрядчиков (187-ФЗ) и — изменение подхода процедуры категорирования;
- — ужесточение технических и организационных требований в госструктурах (Приказ ФСТЭК № 117);
- — рост роли регуляторов в надзоре.
- Компании, работающие с данными, ИТ-инфраструктурой и/или критически важными системами, должны включить соответствие новым требованиям в стратегическое планирование и операционные процессы. Невыполнение же требований влечет высокие штрафы, риски утечек, нарушения соответствия и угрозы репутации бизнеса.
Будьте в курсе новостей
Подпишитесь на рассылку и будьте в курсе наших последних новостей