Защита критической информационной инфраструктуры: что нужно знать бизнесу

Организации, относящиеся к субъектам критической информационной инфраструктуры, обязаны соблюдать требования, чтобы избежать штрафов за нарушение правил информационной безопасности. Расскажем, какие изменения вступили в силу в 2025 году и какие шаги нужно предпринять, чтобы привести свои системы в соответствие с законом и защитить бизнес от рисков

Почему важно соблюдать правила работы с объектами КИИ

В 2025 году тема защиты критической информационной инфраструктуры (КИИ) снова оказалась в центре внимания. Причина не только в росте числа кибератак, но и в том, что с 1 сентября вступили в силу поправки в закон от 26.07.2017 № 187-ФЗ. Они дополняют порядок категорирования, расширяют полномочия ФСБ и ФСТЭК, вводят обязательный переход на российское программное обеспечение на значимых объектах КИИ и усиливают контроль со стороны государства.

После 2022 года стало очевидно, насколько сильно зависели ключевые отрасли — энергетика, транспорт, связь, финансы, медицина — от зарубежных технологий. Санкции ограничили доступ к обновлениям, лицензиям и сервисам, поставив под угрозу устойчивость ИТ-систем, от которых зависит работа страны. Импортозамещение из временной меры превратилось в стратегическую задачу: обеспечить технологическую независимость и устойчивость КИИ.

Для бизнеса это не абстрактная инициатива государства, а конкретные обязательства и риски. Несоблюдение правил теперь грозит не только штрафами, но и приостановкой деятельности, а в отдельных случаях — уголовной ответственностью.

Что такое критическая информационная инфраструктура и кто обязан ее защищать

Критическая информационная инфраструктура (КИИ) — это совокупность информационных систем (ИС), автоматизированных систем управления (АСУ), информационно-телекоммуникационных сетей (ИТКС) и других цифровых компонентов, которые обеспечивают работу жизненно важных отраслей. Термин закреплен в законе № 187-ФЗ.

Проще говоря, КИИ — это цифровой каркас экономики. К ней относятся все технологические и управленческие системы, сбой в работе которых может повлиять на безопасность государства, устойчивость экономики или жизнь граждан. Эти системы обеспечивают работу ключевых отраслей — энергетики и топливного комплекса, транспорта и связи, финансов и здравоохранения, оборонной, атомной, химической и металлургической промышленности, науки и горнодобывающей сферы.

Регулировать безопасность КИИ важно, потому что атака или сбой в одной системе может повлечь остановку энергоснабжения, нарушение банковских расчетов, сбой транспортных узлов или медицинских сервисов. Закон 187-ФЗ вводит единые правила, чтобы такие риски минимизировать и обеспечить контроль за устойчивостью технологических процессов.

Кто считается субъектом КИИ

Субъект КИИ — это организация, которая владеет или эксплуатирует объекты критической инфраструктуры и зарегистрирована на территории России.

С 1 сентября 2025 года вступила в силу новая редакция закона 187-ФЗ, которая уточнила круг субъектов. Теперь к ним относятся:

федеральные и региональные органы власти;
государственные и муниципальные учреждения (больницы, МФЦ, вузы);
государственные и муниципальные унитарные предприятия (ГУПы, МУПы);
хозяйственные общества с государственным участием, если государство владеет контрольным пакетом акций или имеет решающее влияние;
любые юридические лица, работающие в сфере здравоохранения, науки, транспорта, связи, энергетики, государственной регистрации прав на недвижимое имущество и сделок с ним, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица, которые обеспечивают взаимодействие указанных систем или сетей.

Из перечня субъектов исключены индивидуальные предприниматели. Но если они работают с государственными системами или в смежных секторах, на них могут распространяться отдельные требования регуляторов (ФСТЭК, ФСБ).

Основные обязанности субъектов КИИ

Каждая организация, признанная субъектом КИИ, обязана соблюдать комплекс требований по информационной безопасности:

Обязанность субъекта КИИ	Суть и содержание
Проведение категорирования объектов	Нужно определить, какие элементы инфраструктуры относятся к КИИ и насколько они значимы для государства и общества.
Переход на российское программное обеспечение и программно-аппаратные комплексы	Использовать можно только решения, внесенные в реестр отечественного ПО (если у субъекта ККИ есть значимые объекты)
Передача данных о значимых объектах в ФСТЭК	После категорирования информацию направляют в контролирующий орган, который ведет единый реестр.
Взаимодействие с ГосСОПКА и ФСБ при инцидентах	При попытках кибератак или нарушениях безопасности субъект обязан уведомить компетентные органы и участвовать в ликвидации последствий.
Регулярное обновление мер защиты и отчетность	Системы защиты, планы реагирования и модели угроз должны пересматриваться не реже одного раза в пять лет или при изменении условий эксплуатации.

Категорирование объектов КИИ

Категорирование — основная процедура, с которой начинается защита критической информационной инфраструктуры. Она позволяет определить, какие системы важны для устойчивости компании и государства, и установить для них соответствующий уровень мер безопасности.

Категория значимости показывает, насколько серьезными могут быть последствия при остановке или нарушении работы объекта КИИ. Она влияет на выбор средств защиты, объем организационных мер и требования регуляторов.

Закон выделяет три категории:

Первая — наивысшая, если сбой способен крупномасштабно повлиять на жизнь и здоровье людей, а также на экономику, безопасность и обороноспособность государства.
Вторая — средняя, если нарушение затронет региональный уровень, приведет к перебоям в обеспечении населения, работе транспорта, связи, медицины.
Третья — самая низкая, если возможные последствия ограничены рамками одного предприятия или муниципального образования.

Специалисты Центра безопасности данных выполняют категорирование объектов критической информационной инфраструктуры в полном соответствии с требованиями закона. Мы берем на себя все этапы — от обследования и анализа угроз до взаимодействия с контролирующими органами. Мы поможем быстро и корректно пройти процедуру категорирования без рисков.

Отраслевые перечни и особенности категорирования

Для каждой сферы экономики формируются собственные перечни типовых объектов КИИ и методические указания по их категорированию. Это позволяет учитывать специфику работы каждой отрасли и устранить дублирование требований.

Перечни разрабатывают профильные министерства и утверждают совместно с ФСТЭК. В них перечислены типовые информационные системы, АСУ и сети, которые в рамках отрасли признаются объектами КИИ. На основании этих документов субъекты определяют, какие системы подлежат категорированию.

Расширение полномочий государства и отраслевое регулирование КИИ

С 2025 года система управления безопасностью критической информационной инфраструктуры стала централизованной.

Субъект управления	Полномочия и функции в сфере КИИ
Правительство	Утверждает перечни типовых отраслевых объектов КИИ. Устанавливает требования к программному обеспечению и программно-аппаратным комплексам, включая порядок и сроки перехода на отечественные решения. Организует мониторинг выполнения этих требований.
ФСТЭК	Утверждает методики категорирования и требования к обеспечению защиты информации. Ведет реестр значимых объектов КИИ. Проводит плановые и внеплановые проверки на соответствие установленным требованиям. Контролирует использование сертифицированных средств защиты.
ФСБ	Выполняет функции оперативного реагирования и координации при компьютерных инцидентах. Управляет государственной системой обнаружения и предотвращения компьютерных атак (ГосСОПКА). Мониторит состояние защиты КИИ. Получает и анализирует технические сведения от субъектов КИИ. Утверждает требования к отдельным видам средств защиты, включая криптографические и технические системы безопасности.

Компании, которые относятся к субъектам КИИ, должны учитывать, что контроль теперь стал не только жестче, но и системнее. Нарушения фиксируют быстрее, а последствия за несоблюдение требований — серьезнее.

Согласно статье 13.12.1 КоАП, за несоблюдение требований по защите КИИ предусмотрен штраф до 500 000 рублей для юридических лиц. Статья 274.1 УК устанавливает наказание за вмешательство в функционирование КИИ, повлекшее тяжкие последствия. Максимальная мера — лишение свободы до 10 лет.

Что делать бизнесу уже сейчас

Новые поправки к 187-ФЗ окончательно закрепляют: вопрос безопасности КИИ больше нельзя откладывать. Даже если компания не уверена, относится ли она к субъектам, лучше проверить это заранее — иначе при первой проверке регуляторы сделают это сами. Ниже — практические шаги, которые помогут адаптироваться к новым требованиям и снизить риски.

1. Проведите инвентаризацию инфраструктуры и ПО

Создайте полный список всех используемых информационных систем, АСУ, серверов и ПО. Зафиксируйте, какие из них критичны для работы компании и обеспечивают производственные, финансовые или управленческие процессы. Отдельно отметьте зарубежные продукты, чтобы заранее спланировать переход на отечественные аналоги.

2. Проведите или обновите категорирование

Если ранее категорирование уже выполнялось, проверьте, не изменились ли категория значимости, состав объектов или их назначение. Проинформируйте ФСТЭК о проведенном категорировании и добейтесь внесения сведений в единый реестр объектов критической инфраструктуры.

3. Составьте план перехода на российское ПО

Определите приоритетные направления импортозамещения, например СУБД или серверы. Запланируйте сроки и бюджет перехода, подготовьте сотрудников к работе с новыми продуктами.

4. Организуйте постоянный мониторинг инцидентов

Создайте систему обеспечения безопасности, а также мониторинга и реагирования на кибератаки. Настройте сбор и хранение событий, уведомления ФСБ и ФСТЭК об инцидентах, ведите журнал реагирования.

5. Наладьте взаимодействие с ФСТЭК и ФСБ

Назначьте сотрудников, ответственных уведомление контролирующих органов. Определите порядок уведомления о категориях объектов, угрозах и инцидентах.

6. Обучите персонал и обновите внутренние документы

Разработайте регламенты по обеспечению безопасности КИИ, порядок реагирования на инциденты, инструкции по резервированию и восстановлению систем. Проведите обучение для ИТ-специалистов, инженеров и руководителей.

Центр безопасности данных поможет привести ваши объекты КИИ в полное соответствие требованиям закона № Мы проводим категорирование, аудит и разработку системы защиты информации под ключ — с учетом отраслевых особенностей и актуальных методик ФСТЭК. Доверьте нам обеспечение безопасности КИИ — и будьте уверены в защите своей инфраструктуры и отсутствии претензий со стороны контролирующих органов.

Чек-лист для компаний: готова ли ваша КИИ к новым требованиям ✅

Проведена инвентаризация ИТ-систем и программного обеспечения.
Определено, какие объекты относятся к КИИ.
Проведено или обновлено категорирование.
Данные о значимых объектах направлены в ФСТЭК.
Составлен план перехода на российское программное обеспечение.
Назначены ответственные за реагирование на инциденты и взаимодействие с ФСБ/ФСТЭК.
Организован постоянный мониторинг и журналирование инцидентов.
Обновлены внутренние регламенты и проведено обучение сотрудников.