...

Изменения и регулировки КИИ в 2026 году

В 2026 году регулирование критической информационной инфраструктуры (КИИ) в России претерпело значительные изменения, которые ужесточили требования к безопасности и ввели новые механизмы контроля. Эти изменения направлены на повышение устойчивости ключевых систем, от которых зависит работа экономики, здравоохранения, транспорта, энергетики и других жизненно важных сфер.

Что такое КИИ

Критическая информационная инфраструктура — это совокупность информационных систем, телекоммуникационных сетей и автоматизированных систем управления, которые обеспечивают работу ключевых сфер жизнедеятельности государства и общества. Нарушение работы объектов КИИ может привести к серьёзным социальным, экономическим или техногенным последствиям для страны.

Подходите под требования 187-ФЗ?

Проведём анализ КИИ и внедрим меры защиты
Checkboxes

Ключевые изменения 2026 года

Одним из наиболее заметных нововведений стало утверждение Перечня типовых отраслевых объектов КИИ распоряжением Правительства РФ от 26 февраля 2026 года №360-р. Этот документ включает 14 разделов, охватывающих такие сферы, как здравоохранение, наука, транспорт, связь, энергетика, атомная энергия, оборонная промышленность и другие. Для каждого типового объекта определены признаки значимости: типовые процессы (функции), выполняемые объектом, и виды деятельности субъекта КИИ (коды ОКВЭД организаций, эксплуатирующих такие объекты).

1

Переход от процессного подхода к фиксированному, основанному на перечнях типовых объектов

Теперь организациям необходимо сопоставить собственные информационные системы и технологические процессы с перечнем типовых объектов КИИ и в обязательном порядке провести категорирование систем, соответствующих перечню.

2

Уточнение отраслевых особенностей категорирования

По состоянию на март 2026 года такие документы уже опубликованы для области атомной энергии (постановление Правительства РФ от 16 января 2026 года №4), банковской сферы и иных сфер финансового рынка (постановление от 6 февраля 2026 года №92), сферы науки (постановление от 7 марта 2026 года). Ожидается, что аналогичные документы будут приняты и для других отраслей.

3

Усиление требований к программному обеспечению

Федеральный закон №58-ФЗ в редакции 2025 года устанавливает прямой запрет на применение иностранного ПО в значимых объектах КИИ при наличии аналогов в Едином реестре российского программного обеспечения. Исключения допускаются лишь при технической невозможности замены, подлежащей документальному подтверждению.

4

Новые требования к отчетности и мониторингу

Субъекты КИИ в банковской сфере и иных сферах финансового рынка обязаны ежегодно, не позднее 10-го рабочего дня года, направлять информацию об актуальном перечне значимых объектов КИИ и решение о пересмотре (либо об отсутствии необходимости пересмотра) присвоенных категорий значимости по результатам оценки за предшествующий календарный год.

Органы власти и организации, наделённые полномочиями по мониторингу, теперь должны сообщать во ФСТЭК России не только о нарушении сроков категорирования и недостоверных сведениях, но и о несоблюдении отраслевых особенностей, а также о выявлении информационных систем, сетей и АСУ, которые соответствуют типовым объектам КИИ и не прошли категорирование.

5

Ужесточение ответственности

В марте 2026 года Госдума приняла законы, уточняющие ответственность за ненадлежащую эксплуатацию объектов КИИ, включая уголовную и административную.

Что это значит для бизнеса и государственных организаций

Для субъектов КИИ 2026 год становится периодом пересмотра ключевых процессов: категорирования объектов КИИ, импортозамещения программного обеспечения и подготовки к регуляторным проверкам. Организации должны провести внутреннюю ревизию текущего состояния инфраструктуры и убедиться, что они соответствуют обновлённым требованиям законодательства и регуляторной практике.

Особое внимание стоит уделить системам, потенциально относящимся к значимым объектам КИИ (ЗОКИИ), поскольку для них действуют более строгие требования к защите информации. Ошибки в определении категории значимости или использование несоответствующего программного обеспечения могут рассматриваться не только как технические недочёты, но и как управленческие риски для организации и её руководства.

Выводы

Регулирование КИИ в 2026 году окончательно переходит от этапа формирования нормативной базы к фазе активного контроля и правоприменения. Формальный подход к выполнению требований законодательства больше не работает: регуляторы уделяют всё больше внимания не только наличию документации, но и фактическому состоянию систем безопасности, корректности категорирования и полноте реализованных мер защиты.

Компаниям целесообразно переходить от эпизодических проверок к системному управлению соответствием требованиям регулирования. Одним из практических шагов может стать проведение независимой оценки готовности инфраструктуры к требованиям, предъявляемым к значимым объектам КИИ, а также к обновлённой регуляторной практике.

Похожие материалы