Новые правила для критической инфраструктуры
С 1 сентября 2025 года вступили в силу поправки к Федеральному закону № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», которые вводят новые требования к защите стратегически важных объектов. Изменения затрагивают финансовый, энергетический, транспортный и другие ключевые секторы экономики. Теперь компаниям предстоит адаптироваться к обновленным правилам категорирования и требованиям по использованию программного обеспечения.
Одно из ключевых нововведений касается процедуры определения значимости объектов КИИ. Компании по-прежнему самостоятельно проводят категорирование своих объектов, однако теперь они обязаны делать это по новым правилам. Правительство РФ совместно с отраслевыми регуляторами (ФСБ, Центробанком — для финансового сектора) утверждает типовые перечни объектов КИИ и определяет отраслевые особенности их категорирования. Субъекты КИИ используют эти типовые перечни как основу для оценки собственных объектов.
Эти законодательные меры призваны унифицировать критерии оценки значимости в рамках одной отрасли, исключить ситуации необоснованного занижения категорий значимости, обеспечить более полный охват действительно критичных объектов.
Контроль за правильностью категорирования и выполнением требований безопасности осуществляет ФСТЭК России, которая получила расширенные полномочия в рамках нового законодательства.
Помимо обязательного использования программных решений из реестра Минцифры, владельцы объектов КИИ должны будут наладить постоянное взаимодействие с ГосСОПКА — системой ФСБ для мониторинга и реагирования на кибератаки. На критически важных площадках предстоит внедрить специальные средства для обнаружения и блокировки атак, а также инструменты для анализа их признаков и последствий.
Эти требования направлены на создание единого контура киберзащиты на национальном уровне, позволяющего оперативно выявлять угрозы, координировать реагирование и обмениваться информацией об инцидентах между государством и бизнесом.
Конкретные сроки перехода на новые требования для каждой отрасли будут определены отдельными нормативными актами до конца 2025 года. Такой подход позволяет учесть особенности каждой отрасли и дать компаниям реалистичные сроки для подготовки. Ожидается, что переходные периоды будут различаться в зависимости от сложности систем, доступности российских аналогов и критичности объектов.
Комментарий экспертов «Лаборатории Касперского»
По данным «Лаборатории Касперского», количество кибератак на объекты критической инфраструктуры в России продолжает расти. Компания фиксирует устойчивую тенденцию к усложнению атак и увеличению их продолжительности.
«Требование об интеграции с ГосСОПКА особенно важно в контексте современных угроз, — комментируют специалисты. — Изолированная защита отдельных компаний недостаточно эффективна против координированных атак на критическую инфраструктуру. Централизованный мониторинг позволяет выявлять паттерны атак на ранних стадиях и предупреждать другие организации».
«Лаборатория Касперского» рекомендует компаниям не дожидаться публикации окончательных требований, а начинать подготовку уже сейчас: «Проведение аудита используемого ПО, оценка доступных российских альтернатив, пилотное тестирование решений — все это занимает время. Чем раньше компания начнет этот процесс, тем более плавным будет переход».
Практические шаги для бизнеса
Компаниям, эксплуатирующим объекты КИИ, рекомендуется:
1 - В краткосрочной перспективе (до конца 2025 года):
отслеживать публикацию типовых перечней объектов КИИ для своей отрасли;
провести предварительную инвентаризацию программного обеспечения;
оценить, какие системы потребуют замены или дополнительной сертификации;
начать изучение российских альтернатив существующему ПО.
2 - В среднесрочной перспективе (2026 год):
провести перекатегорирование объектов с учетом новых типовых перечней;
разработать план миграции на соответствующее требованиям ПО;
заложить необходимый бюджет на обновление систем;
начать интеграцию с ГосСОПКА для наиболее критичных объектов.
3 - Постоянные меры:
организовать обучение персонала работе с новыми решениями;
наладить взаимодействие с ФСТЭК и отраслевыми регуляторами;
внедрить процессы непрерывного мониторинга соответствия требованиям.
Вызовы и перспективы
Реализация новых требований сопряжена с рядом объективных сложностей:
Техническая сложность миграции. Замена ПО на объектах КИИ — процесс, требующий тщательного планирования. Необходимо обеспечить совместимость систем, провести комплексное тестирование, минимизировать риски сбоев.
Финансовая нагрузка. Закупка нового программного обеспечения, его внедрение, обучение персонала требуют значительных инвестиций, особенно для крупных организаций с разветвленной инфраструктурой.
Доступность решений. Несмотря на развитие российского рынка ИТ, не для всех узкоспециализированных задач существуют готовые отечественные аналоги. Это может потребовать разработки кастомизированных решений.
Организационные изменения. Интеграция с ГосСОПКА, новые процедуры категорирования, усиленный контроль со стороны регуляторов требуют пересмотра внутренних процессов и перераспределения ресурсов.
Однако эти вызовы компенсируются стратегическими преимуществами:
- снижение рисков, связанных с потенциальными уязвимостями в зарубежном ПО;
- минимизация угроз кибершпионажа и саботажа со стороны недружественных государств;
- развитие национальной ИТ-индустрии и компетенций в области кибербезопасности;
- создание единой системы реагирования на киберугрозы национального масштаба.
Поправки к закону о КИИ, вступившие в силу 1 сентября 2025 года, знаменуют переход к более структурированной и централизованной модели обеспечения кибербезопасности критической инфраструктуры. Введение типовых перечней объектов, требований к программному обеспечению и обязательной интеграции с ГосСОПКА направлено на повышение защищенности стратегически важных секторов экономики.
Предстоящие месяцы покажут, насколько реалистичными окажутся сроки, установленные регуляторами для различных отраслей, и как быстро российский рынок ИТ сможет удовлетворить возросший спрос на соответствующие требованиям решения. Успех реформы будет зависеть от способности найти баланс между стратегическими целями обеспечения суверенитета и практическими возможностями бизнеса, между безопасностью и операционной эффективностью.
Компаниям рекомендуется воспринимать новые требования не как бюрократическую обязанность, а как возможность пересмотреть и усилить собственную систему информационной безопасности, что в условиях растущих киберугроз является необходимостью независимо от законодательных требований.
Источники:
• Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»
• Федеральный закон от 29.12.2022 № 58-ФЗ (о требованиях к ПО)
• Официальный сайт ФСТЭК России (fstec.ru)
• Единый реестр российского программного обеспечения Минцифры России
• Аналитические материалы по кибербезопасности КИИ
