Государство кардинально меняет правила игры в информационной безопасности

Российский бизнес вступает в новую эру регулирования информационной безопасности (ИБ). До недавнего времени основные требования государства касались крупных игроков — операторов персональных данных, субъектов критической информационной инфраструктуры (КИИ) и госорганов. Однако с 2025 года ситуация меняется кардинально: под контроль попадают тысячи новых организаций. В этой статье разбираем ключевые изменения, сроки и риски, а также даем практические рекомендации, как избежать штрафов и сохранить непрерывность бизнеса.

1. ГосСОПКА для всех: новый круг обязанных лиц

С сентября 2025 года вступает в силу Федеральный закон № 58-ФЗ, который существенно расширяет перечень организаций, обязанных подключаться к Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Если раньше это касалось в основном федеральных органов власти и субъектов КИИ, то теперь в периметр попадают:

• все органы власти (региональные и муниципальные);
• бюджетные учреждения (школы, больницы, культурные центры);
• государственные компании и корпорации.

Это означает, что тысячи организаций, которые ранее могли не задумываться о взаимодействии с ГосСОПКА, теперь обязаны не только обеспечить технический канал связи с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), но и выстроить процессы обнаружения и реагирования на инциденты в режиме 24/7. Невыполнение требования грозит административной ответственностью и рисками неработоспособности информационных систем.

2. КИИ: новые объекты — новые требования

Закон № 58-ФЗ также уточняет критерии отнесения объектов к критической информационной инфраструктуре. Ранее перечни типовых объектов КИИ были достаточно узкими, теперь же они расширяются за счет включения дополнительных отраслей и видов деятельности. Организациям из таких сфер, как транспорт, связь, энергетика, финансы, здравоохранение и других, необходимо срочно провести ревизию своих ИТ-систем.

Если ваша информационная система или автоматизированная система управления подпадает под новый перечень, компания автоматически становится субъектом КИИ со всеми вытекающими последствиями: категорирование объектов, выполнение требований ФСТЭК, создание систем безопасности, аттестация и т.д. Промедление может привести не только к штрафам, но и к приостановке деятельности критически важных сервисов.

3. Импортозамещение: дедлайны уже горят

58-й закон ужесточает требования по импортозамещению. Ключевые вехи:

• с 2025 года вводится запрет на использование иностранных средств защиты информации на объектах КИИ. Это касается межсетевых экранов, систем обнаружения вторжений, антивирусов и других классов СЗИ;
• к 1 января 2028 года должно быть завершено полное импортозамещение во всем ИТ-контуре значимых объектов КИИ.

Ответственность за срыв сроков будет серьезной: помимо традиционных штрафов (до 500 тыс. руб. для должностных лиц и до 1 млн руб. для юридических), вводятся оборотные штрафы — процент от выручки компании за предыдущий год. Это принципиально меняет экономику нарушений: игнорирование требований становится не просто рискованным, а финансово непосильным.

4. Приказ ФСТЭК №117: масштабирование требований на весь госсектор

Еще одно значимое изменение — распространение действия Приказа ФСТЭК №117 на все информационные системы государственных органов и учреждений. Ранее его положения касались только государственных информационных систем (ГИС). С марта 2026 года требования по защите от внутренних и внешних угроз будут обязательны для любых информационных систем госсектора, включая ведомственные, бухгалтерские, кадровые и иные вспомогательные системы.

Это означает, что теперь:

• все системы госорганов должны быть защищены сертифицированными средствами;
• необходимо внедрение систем мониторинга событий ИБ (SIEM);
• требуется регулярное обновление политик безопасности и проведение аудитов.

Масштабирование практик налицо: то, что раньше требовалось только для сложных ГИС, теперь станет повседневной нормой для тысяч бюджетных организаций.

5. Риски для бизнеса и органов власти

Игнорирование новых требований чревато не только административными штрафами, но и операционными рисками. Во-первых, внезапная проверка регулятора может выявить несоответствие, что приведет к предписанию об устранении нарушений в сжатые сроки. Во-вторых, отсутствие защиты от актуальных киберугроз повышает вероятность успешных атак, которые могут парализовать работу организации. В-третьих, невыполнение требований ГосСОПКА и КИИ может стать основанием для приостановки лицензий или даже блокировки деятельности.

По оценкам экспертов, под новые нормы в 2026 году попадут десятки тысяч организаций — от сельских школ до крупных госкомпаний. Многие из них не имеют достаточных компетенций и ресурсов для самостоятельного выполнения всех требований.

6. Что делать: проактивный аудит и стратегия

Пассивно ждать проверок в текущих условиях — самый опасный путь. Эксперты рекомендуют провести проактивный аудит уже сейчас, чтобы:

• выявить, попадает ли организация под новые требования (ГосСОПКА, КИИ, импортозамещение);
• оценить текущий уровень защищенности и соответствие нормам;
• разработать дорожную карту приведения ИБ в соответствие;
• выбрать подрядчика для внедрения недостающих средств защиты.

Особое внимание стоит уделить совместимости отечественных решений с существующей инфраструктурой — многие компании сталкиваются с проблемами при интеграции российского ПО с устаревшим иностранным «железом».

Сегодня мы видим, как государство системно выстраивает «цифровой суверенитет». Требования становятся жестче, а ответственность — реальной. Но важно понимать: за всеми этими нормами стоит цель защитить критически важные данные и сервисы. Компании, которые вовремя перестроятся, не только избегут штрафов, но и получат более устойчивую инфраструктуру.

Заключение

2026 год станет переломным для информационной безопасности в России. Периметр регулирования расширяется, требования ужесточаются, а риски бездействия становятся неприемлемо высокими. Чтобы не оказаться под ударом штрафов и не допустить остановки бизнеса, нужно действовать на опережение. Проактивный аудит, планомерное импортозамещение и внедрение современных СЗИ — вот ключевые шаги к спокойной работе в новых реалиях.