14-15 октября 2025 года в Москве состоялся ежегодный форум ITSEC. 2025, посвященный актуальным вопросам информационной безопасности. Директор по информационной безопасности DATA POOL посетил мероприятие и с учетом новых деталей, озвученных в рамках мероприятия, в этой статье готов поделиться важными деталями грядущих изменений в регулировании КИИ.
ЗАКОНОДАТЕЛЬНАЯ БАЗА: ЧТО УЖЕ ИЗМЕНИЛОСЬ
Основные нововведения закреплены в обновлённой редакции 187-ФЗ и принятом весной 2025 года Федеральном законе №58-ФЗ. С 1 сентября 2025 года вступили в силу несколько важных изменений:
- Исключение ИП из числа субъектов КИИ — снижение нагрузки на малый бизнес
- Требования к программному обеспечению — обязательный переход на ПО из российского реестра
- Перечень типовых объектов КИИ теперь будет утверждаться на федеральном уровне Правительством РФ
- Отраслевые особенности категорирования и построения системы защиты информации на объектах КИИ будут определяться соответствующим регулятором и утверждаться постановлением Правительства РФ
ЧТО ПРОИСХОДИТ ПРЯМО СЕЙЧАС
Проверки полным ходом
ФСТЭК России активно проводит плановые и внеплановые проверки субъектов КИИ, в том числе и по отраслевому принципу — через классификатор ОКВЭД. По последним данным, в 2025 году было проведено уже более 250 проверок.
Важный нюанс: Если организация не проводила категорирование, ей выписывают административный штраф и устанавливают кратчайший срок исполнения предписания. Если в вашей отрасли объекты КИИ других компаний уже признавались значимыми и были внесены в Реестр значимых объектов КИИ, а при категорировании у вас аналогичные системы не были отнесены к КИИ — то с введением нового Перечня ваша компания обязана будет провести категорирование и отнести аналогичные системы к значимым объектам КИИ.
Методика проверки ФСТЭК России выполнения организацией требований по категорированию проста – ФСТЭК России направляет запрос в соответствующую организацию, осуществляющую деятельность в одной из критически важных сфер деятельности, с требованием предоставить Сведения по результатам категорирования. Если в организации процедура категорирования не проводилась или же в ходе категорирования объектов КИИ, принадлежащих организации, нет, тогда необходимо будет предоставить документальное обоснование.
Прокуратура подключилась к контролю
Теперь проверки выполнения требований по категорированию проводит и прокуратура. Это означает, что избежать контроля не удастся — надзорные органы работают согласованно.
КЛЮЧЕВЫЕ ОЖИДАЕМЫЕ ИЗМЕНЕНИЯ
01 Единый перечень объектов КИИ
В настоящий момент проект единого перечня, который унифицирует подходы к идентификации объектов КИИ, проходит согласование. Если ваша система влияет на процесс деятельности, но не войдет в перечень, потребуется подавать уведомление о включении.
02 Смягчение требований к безопасности
По словам руководителя Управления ФСТЭК России, (г.Москва) Торбенко Е.Б. требования к обеспечению безопасности объектов КИИ будут пересмотрены в сторону смягчения — это снизит нагрузку на бизнес и государственные учреждения при сохранении необходимого уровня защиты.
03 Отраслевое категорирование
Проект поправок к правилам категорирования вводит требование учитывать отраслевую специфику. ФСТЭК разрабатывает отдельные методики для сфер: энергетики, транспорта и банковского сектора. Это означает переход от универсального подхода к более точным, но и более сложным процедурам
04 Новые формы отчетности
Обновляются формы подачи сведений о категорировании — отчетность становится более детализированной. Потребуется обосновывать выбранную категорию и предоставлять методики расчетов.
05 Ограничение иностранного участия
Федеральный закон №58-ФЗ усиливает требования к отсутствию иностранного участия в субъектах КИИ и устанавливает ответственность за несоответствие.
06 Кадровое обеспечение безопасности объектов КИИ
Будут внесены новые требования в приказ ФСТЭК России от 2017 года № 235, устанавливающий новые требования к специалистам, обеспечивающим безопасность объектов КИИ в организации
ЧТО ДЕЛАТЬ БИЗНЕСУ УЖЕ СЕЙЧАС: ЧЕК-ЛИСТ
- Провести аудит ИТ-инфраструктуры — выявить все системы, которые могут подпадать под новый перечень объектов КИИ
- Провести сравнительный анализ — изучить, какие объекты признаны КИИ у компаний вашего ОКВЭД
- Начать подготовку к повторному категорированию — существующие акты могут потерять актуальность
- Проанализировать используемое ПО — составить план перехода на российское программное обеспечение
ПОЧЕМУ НЕЛЬЗЯ МЕДЛИТЬ
Компании, которые откладывают выполнение требований, уже сталкиваются с:
• Административными штрафами
• Предписаниями с минимальными сроками исполнения
• Повторными проверками
Итог: У компаний есть уникальное окно возможностей — подготовиться к изменениям заранее, используя актуальную информацию от регулятора. Те, кто начнет действовать сейчас, смогут адаптироваться без спешки и штрафов.