Изменения 187-ФЗ в 2025-2026 году: полный обзор поправок и новых требований к КИИ

В 2025 - 2026 годах закон о безопасности критической информационной инфраструктуры (187-ФЗ) претерпел самые масштабные изменения за всю историю существования. Федеральный закон № 58-ФЗ от 07.04.2025, Постановление Правительства РФ № 1762 и серия приказов ФСТЭК коренным образом изменили механизм категорирования объектов КИИ, расширили круг ответственных лиц и ужесточили требования к импортозамещению. Разберём, что именно изменилось, к чему готовиться субъектам КИИ и какие шаги предпринять уже сейчас.

Отраслевые особенности: «вторая волна» категорирования

Параллельно с обновлением общих правил категорирования государство запустило разработку отраслевых особенностей — специализированных критериев оценки значимости для каждой конкретной сферы. Базовый документ по правилам категорирования — Постановление Правительства РФ от 08.02.2018 № 127 — был изменён таким образом, чтобы обязать субъектов применять отраслевую специфику при расчёте категорий.

К февралю 2026 года уже утверждены отраслевые особенности для двух секторов:

• Атомная энергия — Постановление Правительства РФ № 4 от 16 января 2026 года.
• Банковская сфера и финансовый рынок — Постановление Правительства РФ № 92 от 6 февраля 2026 года, распространяющееся на все организации, поднадзорные Центральному банку РФ.

Медицинские учреждения получили обновлённую редакцию перечней типовых объектов от Минздрава.

Работа по остальным отраслям продолжается. По мере публикации отраслевых особенностей все предприятия соответствующей сферы будут обязаны провести категорирование заново: пересмотреть модели угроз, пересчитать категории значимости и направить актуализированные сведения во ФСТЭК.

Именно это и называют «второй волной» категорирования — масштабным пересмотром, который развернётся в течение всего 2026 года по мере выхода ведомственных документов.

Ужесточение контроля ФСТЭК и новые штрафы

Вместе с методологическими изменениями существенно ужесточилась и правоприменительная практика. ФСТЭК России, наделённая расширенными полномочиями контроля, перешла от рекомендательного подхода к системным проверкам и санкциям.

Действующие санкции по статье 13.12.1 КоАП РФ

Статья 13.12.1 Кодекса об административных правонарушениях предусматривает ответственность за нарушение требований в области обеспечения безопасности КИИ:

• для должностных лиц — штраф от 10 000 до 50 000 рублей;
• для юридических лиц — штраф от 100 000 до 500 000 рублей.

Новый состав правонарушения: невыявление объектов

В числе нарушений, которые ФСТЭК теперь квалифицирует отдельно, — «невыявление объектов, подпадающих под отраслевые перечни». Если в ходе проверки регулятор обнаружит, что в инфраструктуре организации функционирует система, соответствующая типовому объекту из государственного перечня, но комиссия её не выявила и не категорировала — это прямое нарушение требований 187-ФЗ.

Законопроект о статье 13.12.2 КоАП РФ

В Государственной Думе рассматривается законопроект о введении новой статьи 13.12.2, которая установит ответственность за нарушение правил физической и технической эксплуатации объектов КИИ — включая средства хранения данных, сети электросвязи и АСУ ТП. Максимальный размер санкций для юридических лиц — до 500 000 рублей.

Помимо административной ответственности, должностным лицам грозит и уголовная — по статье 274.1 УК РФ (неправомерное воздействие на КИИ), которая предусматривает лишение свободы сроком до десяти лет.

Импортозамещение как обязательное условие

Параллельно с изменениями в 187-ФЗ действуют требования, напрямую влияющие на техническое оснащение объектов КИИ. Указ Президента РФ № 250 запретил использование средств защиты информации, разработанных в недружественных государствах, на объектах критической информационной инфраструктуры с 2025 года.

Постановления Правительства РФ № 1478 и № 1912 устанавливают обязанность перехода на доверенные программно-аппаратные комплексы (ПАК) и отечественное программное обеспечение. Дедлайн — 2030 год, однако откладывать миграцию до последнего момента крайне рискованно: перевод значимых объектов КИИ на отечественные решения требует длительного планирования, тестирования и, как правило, не может быть выполнен без временного снижения производительности.

Таким образом, для субъектов КИИ категорирование — это не только «бумажный» процесс. Присвоение категории значимости автоматически влечёт обязанность внедрить реальные технические меры защиты с использованием сертифицированных отечественных средств.

Что делать субъекту КИИ прямо сейчас

Исходя из произошедших изменений, организациям, относящимся к субъектам КИИ, необходимо предпринять следующие шаги:

1. Провести аудит актуальности существующей документации. Проверить, не утратили ли силу акты категорирования, составленные до ноября 2025 года. Если в них фигурирует концепция «критических процессов» — документация требует переработки.

2. Изучить отраслевые типовые перечни. Получить актуальные перечни типовых объектов, утверждённые профильным министерством для вашей отрасли, и сопоставить с ними реальный состав ИТ-инфраструктуры.

3. Провести инвентаризацию всех ИТ-активов. Особое внимание уделить «теневым» системам (Shadow IT) — тем, что не числятся на балансе ИТ-службы, но фактически функционируют. Их невыявление грозит штрафом.

4. Организовать сбор сетевых атрибутов. Для объектов, подключённых к сети Интернет, необходимо подготовить актуальный реестр доменных имён и IP-адресов в соответствии с требованиями Приказа ФСТЭК № 236.

5. Обновить организационно-распорядительную документацию. Все регламенты и инструкции должны отражать новую терминологию и обновлённый порядок работы.

6. Привлечь профессионального подрядчика. Объём изменений настолько значителен, что большинство организаций — даже имеющих собственные службы информационной безопасности — испытывают потребность во внешней экспертной поддержке. Лицензированный исполнитель ФСТЭК помогает не только корректно провести категорирование, но и минимизировать риск замечаний со стороны регулятора.

Итог

Изменения 2025–2026 годов сделали 187-ФЗ значительно более строгим законом, чем он был в первоначальной редакции. Переход к типовым отраслевым перечням, ужесточение контроля ФСТЭК, введение новых составов правонарушений и требование обязательного импортозамещения — всё это создаёт серьёзную регуляторную нагрузку на организации, ранее относившиеся к вопросу категорирования формально.

Своевременная и корректная актуализация документации — это не бюрократическая обязанность, а прямая защита от административной и уголовной ответственности, которую несут конкретные должностные лица.

Нужна помощь в пересмотре актов категорирования или разработке полного пакета документов КИИ под новые требования? Оставьте заявку — специалисты sertifikat.bz проведут бесплатную экспресс-оценку вашей ситуации.