На прошлой неделе в Москве наш директор по безопасности посетил Большой Национальный форум информационной безопасности ИНФОФОРУМ-2026. По итогам участия команда DATA POOL подготовила для руководителей организаций обзор стратегических изменений в подходе к защите критической информационной инфраструктуры (КИИ). Мы выделили пять ключевых направлений, которые определят требования регулятора и уровень реальной защищённости вашего бизнеса в ближайший год.
НАШЕ ВИДЕНИЕ КЛЮЧЕВЫХ ТРЕНДОВ 2026 ГОДА
- Безопасность КИИ становится зоной ответственности всего руководства, а не только ИБ-отдела
Период, когда вопросы информационной безопасности делегировались узким специалистам, завершается. Современные угрозы требуют интеграции мер безопасности в каждый бизнес-процесс — от закупок до эксплуатации систем. Руководителям необходимо выстраивать такие процессы, где ИБ-специалисты участвуют в принятии решений на ранних этапах, а не исправляют последствия.
Статистика подтверждает:в 2025 году более 80% нарушений, выявленных на объектах КИИ, были типовыми и возникали из-за отсутствия сквозных процессов между ИБ и IT. - Контроль подрядчиков: формальных требований в договорах уже недостаточно
Организации будут нести прямую ответственность за действия всех сторонних исполнителей, имеющих доступ к КИИ. Это означает необходимость разработки не только юридических, но и технических механизмов контроля. Мы рекомендуем уже сейчас пересмотреть договоры и внедрить систему мониторинга действий подрядчиков в ключевых сегментах инфраструктуры.
По данным регулятора:отсутствие контроля за подрядчиками — одно из самых частых нарушений, выявляемых при проверках объектов КИИ. - Единый центр управления безопасностью — необходимость, а не опция
Использование разрозненных средств защиты без единой системы анализа и реагирования создаёт риски несвоевременного обнаружения угроз. Руководителям стоит рассмотреть внедрение централизованных платформ мониторинга, которые обеспечивают видимость всех событий безопасности и ускоряют реакцию на инциденты.
Цифры говорят сами за себя:только 36% организаций, по итогам проверок 2025 года, достигли минимального уровня защиты. Одной из ключевых причин называлось отсутствие централизованного управления средствами защиты. - Категорирование КИИ станет динамическим процессом
В ближайшие месяцы ожидается утверждение новых перечней типовых объектов КИИ. Это потребует от организаций не разового, а регулярного обновления реестров и пересмотра категорий. Мы советуем назначить ответственных за актуализацию данных и включить этот процесс в ежегодное планирование.
Контекст:в ходе проверок 2025 года более чем на 50% объектов было выявлено несоответствие между фактическим составом КИИ и данными в реестре. - Инвестиции в технологии должны сопровождаться развитием компетенций
Приобретение современных средств защиты без специалистов, способных с ними работать, не повышает уровень безопасности. Ожидается, что регулятор усилит внимание к квалификации ИБ-персонала. Руководству стоит уже сейчас оценить достаточность компетенций в команде и запланировать обучение или привлечение экспертов.
Факт:в условиях, когда уязвимости в системах КИИ обнаруживаются в среднем раз в месяц, а проверки проводятся раз в год, роль квалифицированных специалистов, способных действовать проактивно, становится критически важной.
Главный вывод: многие организации до сих пор рассматривают безопасность КИИ как обузу, а не как часть бизнес-процесса. Это подтверждается не только статистикой, но и теми проблемами, которые обсуждались на форуме.
ПРАКТИЧЕСКИЕ ШАГИ ОТ DATA POOL НА БЛИЖАЙШИЕ 6 МЕСЯЦЕВ:
- Провести аудит существующих объектов КИИ и сопоставить их с реестром.
- Инициировать внедрение централизованной системы мониторинга безопасности.
- Обновить договоры с подрядчиками, добавив технические требования и механизмы контроля.
- Организовать регулярные кросс-функциональные совещания с участием ИБ, IT и бизнес-подразделений.
- Оценить кадровый потенциал в области ИБ и составить план развития компетенций.
ЗАКЛЮЧЕНИЕ
Требования к защите КИИ стремительно эволюционируют в сторону большей конкретики и оперативности. Руководителям, которые начнут адаптироваться уже сейчас, удастся не только избежать штрафов, но и существенно повысить устойчивость бизнеса к киберугрозам.
Компания DATA POOL, обладая экспертизой в построении защищённой инфраструктуры и соответствии требованиям регуляторов, готова выступить партнёром в реализации мер безопасности КИИ.