Информационная безопасность КИИ в 2026 году: переход к доказуемой устойчивости

Информационная безопасность КИИ в 2026 году: переход к доказуемой устойчивости

В этом году сфера информационной безопасности критической инфраструктуры в России перейдёт от формального соблюдения требований к проверке реальной устойчивости систем. Государственные органы последовательно усиливают контроль, расширяют периметр регулирования и вводят риск-ориентированный подход. В центре внимания — способность организаций предотвращать атаки, выявлять инциденты и управлять рисками, а не просто демонстрировать наличие документов и сертифицированных средств защиты.

Эксперты «Лаборатории Касперского» подготовили для вас развернутый материал о том, какие именно изменения в законах ждут нас в ближайшем будущем и какое влияние это окажет на индустрию в целом.

Приказ ФСТЭК №117: от формальных мер к управлению рисками

С 1 марта 2026 года вступил в силу приказ ФСТЭК №117, который заменяет действовавший более десяти лет приказ №17. Изменение принципиальное. Если прежний документ был построен вокруг фиксированных перечней мер защиты и привязки к классам защищенности, то новый норматив закрепляет риск-ориентированный подход. Это означает, что защита должна выстраиваться исходя из конкретной архитектуры системы, актуальных угроз и потенциального ущерба.

Модель угроз перестает быть формальным документом для аттестации. Она становится управленческим инструментом, на основе которого принимаются решения о выборе средств защиты, сегментации сети, организации удаленного доступа и реагировании на инциденты. Регулятор прямо указывает на необходимость учитывать современные сценарии атак, включая компрометацию цепочек поставок, удаленные подключения, использование облачной инфраструктуры и человеческий фактор.

Важным новшеством становится усиление требований к мониторингу и расследованию инцидентов. Оценивать будут не просто наличие достоверной информации, а способность организации выявлять аномалии и своевременно реагировать. Дополнительно закреплены требования к квалификации сотрудников подразделений ИБ, что переводит ответственность на уровень управления персоналом и корпоративной политики.

Промышленная кибербезопасность: ключевой приоритет 2026 года

Особое значение в новой регуляторной логике получает промышленная кибербезопасность. Объекты энергетики, транспорта и промышленного производства находятся в фокусе внимания как с точки зрения угроз, так и с точки зрения нормативных требований.

По данным аналитики Kaspersky ICS CERT, промышленная инфраструктура продолжает оставаться целью массовых атак с использованием вредоносного ПО, а также  целенаправленных взломов. Наши эксперты подчеркивают: цифровизация производственных процессов, внедрение удаленного доступа и интеграция ИТ- и ОТ-сред увеличивают поверхность атаки. При этом компрометация одного элемента может повлиять на устойчивость всей технологической цепочки.

Злоумышленники активно используют уязвимости в периферийных системах и ИТ-сегменте для дальнейшего продвижения к промышленным контроллерам и серверам управления. Такой сценарий напрямую связан с требованием регулятора учитывать риски цепочек поставок и удаленного доступа в модели угроз.

В промышленной среде дополнительный риск создают устаревшие компоненты и длительный жизненный цикл оборудования. Это означает, что требования к сегментации, мониторингу трафика и контролю доступа должны быть особенно жесткими.

Таким образом, в 2026 году промышленная кибербезопасность фактически становится тестом на зрелость всей системы ИБ в организации.

Расширение требований по 187-ФЗ: ответственность выходит за периметр компании

Поправки к закону о безопасности критической информационной инфраструктуры усиливают требования не только к владельцам объектов КИИ, но и к их подрядчикам. Периметр регулирования расширяется. Если организация разрабатывает, внедряет или обслуживает систему для субъекта КИИ, она становится частью его риск-профиля.

Это означает, что в договорах должны быть закреплены обязательства по соблюдению требований ИБ, порядку раскрытия информации об уязвимостях, контролю обновлений и управлению инцидентами. Регулятор фактически формирует модель коллективной ответственности.

Подобный подход соответствует глобальному тренду усиления контроля за цепочками поставок, однако в российском контексте он дополнительно связан с задачей обеспечения технологического суверенитета и устойчивости инфраструктуры в условиях внешнего давления.

Безопасная разработка и новые ГОСТы: формализация DevSecOps

В 2026 году продолжится развитие нормативной базы по безопасной разработке программного обеспечения. В фокусе — динамический анализ, оценка зрелости процессов разработки и требования к раскрытию информации о сторонних компонентах.

Фактически регулятор закрепляет практики DevSecOps на нормативном уровне. 

Организации, создающие или дорабатывающие программные продукты для КИИ и госсектора, должны будут доказать наличие встроенных процессов статического и динамического анализа, а также композиционного анализа open-source компонентов.

Эксперты «Лаборатории Касперского» неоднократно подчеркивают, что атаки через уязвимости сторонних библиотек и зависимостей становятся одним из ключевых сценариев компрометации.

Таким образом, безопасная разработка перестает быть рекомендацией и становится обязательным элементом регуляторного соответствия.

Импортозамещение и технологическая независимость

Политика импортозамещения в сфере КИИ продолжает усиливаться. Ограничения на использование иностранных средств защиты информации и переход к отечественным решениям закреплены нормативно и имеют конкретные сроки реализации.

По данным, ранее приводимым ФСТЭК, доля российских средств защиты в госсекторе уже достигает 95–98 процентов. Это свидетельствует о сформировавшемся рынке отечественных решений и высокой степени вовлеченности государства в процесс технологической трансформации. Для организаций это означает необходимость стратегического планирования архитектуры ИТ и ИБ-систем с учетом долгосрочных регуляторных требований.

Изменения в законодательстве о персональных данных, вступившие в силу в 2025 году, в 2026 году перейдут в фазу активного правоприменения. Усилены требования к форме согласия, локализации данных и механизмам обезличивания. Существенно увеличены штрафы за нарушения. Для субъектов КИИ это означает двойную нагрузку: одновременно необходимо соблюдать требования по защите критических систем и по защите персональных данных. Несоблюдение может привести не только к финансовым санкциям, но и к ограничениям деятельности.

Регуляторы демонстрируют готовность применять новые нормы на практике, что повышает значимость внутреннего аудита и постоянного контроля процессов обработки данных.

Регулирование ИИ в КИИ

Отдельное направление — формирование правил применения искусственного интеллекта в госсекторе и критической инфраструктуре. Сейчас обсуждают создание реестра доверенных технологий ИИ и требований к прозрачности и устойчивости моделей.

ИИ становится одновременно инструментом защиты и потенциальным источником новых рисков. С одной стороны, технологии машинного обучения позволяют выявлять аномалии и сложные паттерны атак. С другой — сами модели могут быть объектом атак или манипуляций.

Эксперты «Лаборатории Касперского» ранее отмечали, что использование ИИ в инфраструктуре должно сопровождаться строгим контролем качества данных и механизмов обучения.

Как это влияет на бизнес уже сейчас

Организациям не стоит ждать формального вступления всех норм в силу. Подготовка к следующим нововведениям 2026 года требует пересмотра архитектуры защиты, актуализации моделей угроз и оценки зрелости процессов безопасной разработки. Уже сейчас необходимо проводить внутренние аудиты, проверять готовность к реагированию на инциденты и пересматривать договорные отношения с подрядчиками.

Ключевое изменение — перенос ответственности на уровень высшего менеджмента. Информационная безопасность становится частью корпоративного управления и фактором устойчивости бизнеса.

2026 год станет периодом, когда соответствие требованиям будет проверяться через практику. Компании, которые встроят безопасность в свои процессы заранее, снизят регуляторные и операционные риски. Те, кто ограничится обновлением документов, столкнутся с повышенной вероятностью санкций и инцидентов.