Новые правила работы с КИИ с 1 сентября 2025 года

Основная суть законодательных изменений — проведение политики импортозамещения с целью усиления технологической независимости и обеспечения повышенного уровня защищенности КИИ.

До 2022 года подавляющее число используемого в России софта было иностранным. Массово вводившиеся в то время санкции делали невозможным дальнейшее обновление и использование заграничного ПО. Это могло привести к тому, что жизненно важные системы могли остановиться в любой момент.

Также следует брать в расчет, что ФЗ № 187-ФЗ первоначально определял систему категорирования и обязанности субъектов КИИ, однако значительное число вопросов оставались расплывчатыми и неопределенными. Правительство не владело должным набором инструментария для регулирования требований по отраслям. Внесенные в закон изменения позволили Правительству:

1. определять списки типовых объектов КИИ;
2. устанавливать сроки и порядок перехода на отечественное ПО;
3. осуществлять мониторинг исполнения.

Законодательные изменения от 01.09.2025

ИП более не являются субъектами КИИ

До законодательных корректировок в качестве субъектов критической инфраструктуры могли выступать как ИП, так и юрлица — при условии, что у них имелись объекты, которые подпадали под критерии значимости.

Теперь же индивидуальные предприниматели не являются субъектами КИИ. И хоть формально в отношении них нормы ФЗ №187-ФЗ более не действуют, требования к обеспечению защищенности данных продолжают оставаться, потому что необходимо исполнять требования закона о ПД и закона об информации, информационных технологиях и о защите информации.

В то же время индивидуальные предприниматели должны соблюдать требования ФЗ №187-ФЗ в части, где они являются пользователями или контрагентами.

Важное дополнение: ИП, которые владеют объектами в сфере связи или обработки значимых данных, могут частично подпадать под определенные правила ФСТЭК и ГосСОПКА, особенно в части уведомлений об инцидентах.

Новый круг субъектов, к которым применяются правила

До законодательных новелл субъектами критической информационной инфраструктуры признавались государственные власти, компании и индивидуальные предприниматели в случае, если у них было право собственности (или права на аренду) объекты КИИ, например, в сфере энергетики, транспорта, связи, финансов и т.д.

В то же время такая формулировка считалась достаточно расплывчатой и было непонятно, попадает ли под это, допустим, муниципальное учреждение. С 1 сентября 2025 года произошло уточнение формулировки. Теперь закон напрямую называет субъекты КИИ — к ним относятся:

1. Федеральные органы государственной власти и органы субъектов РФ.
2. Государственные и муниципальные учреждения (например, больницы, школы, МФЦ).
3. Государственные и муниципальные унитарные предприятия (ГУПы, МУПы).
4. Хозяйственные общества с госучастием, где государству принадлежит контрольный пакет или иная форма решающего влияния.
5. Обычные юридические лица, если у них есть объекты КИИ.

Применение отечественного программного обеспечения

С момента вступления в силу поправок субъекты КИИ, располагающие значимыми объектами, обязуются:

1. Применять программы для ЭВМ и базы данных, внесенные в единый реестр отечественного программного обеспечения.
2. Использовать средства защиты объектов КИИ и информации (СрЗИ), а также ПАК, соответствующие определенным Правительством критериям.

Дополнение: если уже применяются программно-аппаратные комплексы и/или программное обеспечение, официально применяющиеся в государственных и муниципальных системах, можно продолжать ими пользоваться. В то же время следует постепенно переводить все процессы на отечественное ПО.

Расширение полномочий Правительства

С началом действия изменений Правительство получило право устанавливать требования к ПО и ПАК критической информационной инфраструктуры, которые используются на объектах КИИ. Требования приводятся в постановлении Правительства от 22.08.2022 №1478. Также Правительством определены срок и порядок перехода на такое ПО и ПАК.

Другие новые полномочия Правительства:

1. Формировать списки типовых отраслевых объектов КИИ.
2. Устанавливать отраслевые особенности категорирования объектов.
3. Координировать мониторинг перевода на отечественное программное обеспечение.

Конкретизация механизмов категорирования объектов КИИ

Поправки сузили круг субъектов, которые обязаны осуществлять категорирование, а также перераспределили полномочия между органами власти. Требования к категорированию определило Правительство в постановлении от 08.02.2018 №12 — ФСТЭК и профильные регуляторы, в свою очередь, должны действовать строго в рамках этих правил.

Также установлен более ясный порядок актуализации категории, то есть ее пересмотра или изменения параметров объекта или появления новых угроз. Дополнительно установлена опция электронного взаимодействия — отправка извещений, направлений актов категорирования, согласований в электронном формате посредством специальных сервисов. Конкретизируем:

1. Под категорированием понимается обязательная процедура для тех объектов, которые потенциально могут быть признаны значимыми. Ранее практически каждое лицо, попадающее в субъекты КИИ, должно было осуществлять категорирование (даже в том случае, если в действительности их системы не критичны).
2. Актуализация категории раз в 5 лет или раньше (для особо значимых объектов), если:

• произошло изменения назначения объекта, то категория должна быть пересмотрена.
• были разработаны новые методики оценки угроз от ФСТЭК/ФСБ — пересмотр обязателен, если технологии, указанные в угрозах безопасности информации, используются в системах.

Если у вас возникают сложности с КИИ и применением новых правил, рекомендуем обращаться за помощью к экспертам в этой области.

Конкретизация полномочий Федеральной службы безопасности

До поправок за ФСБ был закреплен следующий набор обязанностей:

1. Определение и предупреждение угроз безопасности в КИИ.
2. Организация взаимодействия субъектов КИИ при инцидентах.
3. Координация работы при отражении атак.

Однако данные формулировки достаточно общие, что оставляло целый ряд важных вопросов в серой зоне — то есть без должного законодательного регулирования. Теперь же данный пробел был устранен.

Другие новеллы законодательства

Приведен еще важные поправки, на которые следует обратить внимание:

1. Определение главенствующего органа в реагировании на инциденты — ФСБ. Именно эта служба должна занимать главенствующие позиции в деятельности по предотвращению, выявлению и ликвидации последствий компьютерных атак на объекты КИИ. 
2. Функционал по отслеживанию и сбору информации также передан ФСБ. Служба правомочна запрашивать о осуществлять обработку сведений о состоянии защищенности КИИ. При этом сами субъекты обязаны направлять данные в ГосСОПКА.
3. Контролирование использования средств защиты. Федеральная служба безопасности наделяется полномочиями по утверждению требований к отдельным видам технических средств защиты данных, которые применяются на объектах критической информационной структуры. Речь идет не только об организационных мерах, но также о конкретном ПО и оборудовании.
4. Осуществление взаимодействия с другими надзорными органами. За ФСТЭК по-прежнему закрепляется функционал по определению методик, классификации и категорированию с технической точки зрения. В то время как ФСБ становится органом, который осуществляет координацию на оперативном уровне: проводит расследования, занимается организацией ресурсов, подключает иные ведомства и службы.

Какие действия организация следует предпринять сейчас

Вот важные рекомендации, которые позволят компаниям соблюсти все законодательные изменения и не выходить за рамки правового поля.

1. Проведение инвентаризации: фиксация все объектов КИИ, а также программного обеспечения и ПАК (уточните, что из имеющегося у вас софта находится в реестре отечественного ПО и соотносится с настоящими требованиями ФСТЭК.
2. Осуществите проверку категории объектов.
3. Начните использовать в работе отечественный софт.
4. На постоянной основе мониторьте ситуацию и оперативно выявляйте и реагируйте на инциденты.
5. Оцените, насколько средства защиты соответствуют новым реалиям.
6. Установите контакты с ФСТЭК и ФСБ.
7. Задокументируйте все процессы и делайте это на регулярной основе. Любые действия должны быть отражены в регламентах, приказах и иных локальных нормативных актах.
8. Проводите обучения для персонала. И делайте их регулярно, в особенности в случае значимых законодательных изменений.