Категорирование КИИ в банковской сфере 2026: разбор Постановления Правительства № 92

6 февраля 2026 года Правительство РФ утвердило Постановление № 92, установившее отраслевые особенности категорирования объектов КИИ в банковской сфере и на финансовом рынке. Документ впервые включает в периметр регулирования МФО, бюро кредитных историй и оператора цифрового рубля, а также унифицирует методики расчёта показателей значимости для всех участников финсектора.

Категорирование МФО и бюро кредитных историй — новые субъекты КИИ

Включение МФО и БКИ в периметр отраслевого регулирования КИИ — одно из самых значимых изменений 2026 года. Разберём, что это означает на практике.

Микрофинансовые организации

До принятия ПП № 1762 (ноябрь 2025) и ПП № 92 (февраль 2026) микрофинансовые организации формально могли являться субъектами КИИ, но на практике большинство из них категорирование не проводили. Теперь ситуация изменилась кардинально:

• МФО включены в перечень типовых субъектов КИИ финансового сектора. Это означает, что категорирование для них — не право, а обязанность.
• Если объём выданных микрозаймов за отчётный год превышает 100 млрд рублей, информационные системы МФО с высокой вероятностью получат статус значимых объектов КИИ.
• С 1 марта 2026 года МФО обязаны идентифицировать заёмщиков при дистанционной выдаче через ЕСИА и ЕБС, что создаёт дополнительный объект КИИ — систему биометрической идентификации.

На практике это затронет прежде всего крупные МФК (микрофинансовые компании): «Займер», «МигКредит», «Быстроденьги» и другие участники рынка с оборотами в десятки миллиардов рублей.

Бюро кредитных историй

БКИ получили собственный показатель критерия значимости — 10.7, привязанный к количеству хранимых кредитных историй. Три крупнейших бюро — НБКИ, «Эквифакс» и ОКБ — в совокупности хранят сотни миллионов записей. Это практически гарантирует присвоение их системам высокой категории значимости.

Для БКИ критичны два сценария инцидентов:

1. Утечка данных — кредитные истории содержат персональные данные и финансовую информацию миллионов граждан.
2. Прекращение предоставления услуг — невозможность банками и МФО получать кредитные отчёты парализует процесс кредитования.

Оператор цифрового рубля

Банк России как оператор платформы цифрового рубля также включён в периметр ПП № 92. Учитывая масштаб платформы и количество потенциальных пользователей, объекты КИИ оператора цифрового рубля с высокой вероятностью получат первую (максимальную) категорию значимости.

Роль Банка России: согласование, надзор, импортозамещение

Постановление № 92 закрепляет уникальную роль Банка России в процессе категорирования КИИ финансового сектора. В отличие от других отраслей, где ключевым регулятором выступает только ФСТЭК, в финансовой сфере действует модель «двух регуляторов».

Согласование при категорировании

ЦБ РФ участвует в формировании перечня типовых объектов КИИ финансового сектора и утверждении отраслевых особенностей. Фактически ПП № 92 — результат совместной работы ФСТЭК России и Банка России.

Требования к информационной безопасности

Помимо общих требований ФСТЭК (приказы № 235, № 239), банки и НФО обязаны выполнять требования Банка России:

• Положение № 683-П — для кредитных организаций: обеспечение ИБ при осуществлении банковской деятельности.
• Положение № 757-П — для НФО: защита информации в деятельности на финансовых рынках.
• ГОСТ Р 57580.1-2017 — единый стандарт защиты информации, по которому банки и НФО проходят оценку соответствия.

Импортозамещение ПО

ЦБ РФ наделён полномочиями по согласованию планов перехода кредитных и некредитных финансовых организаций на преимущественное использование российского ПО на значимых объектах КИИ. Ключевые сроки:

• До 1 июня 2026 — Банк России обязан утвердить отраслевой план импортозамещения для финсектора.
• До 1 сентября 2026 — субъекты КИИ должны заключить контракты на внедрение российских решений.
• До 1 января 2028 — завершение перехода на российское ПО для большинства значимых объектов КИИ.
• До 1 декабря 2030 — предельный срок при отсутствии российских аналогов (продление через Правительственную комиссию).

По нашему опыту работы с банками, наиболее болезненный вопрос — замена АБС и процессинга. Российские решения («ПрограмБанк.АБС», «Диасофт», «ЦФТ») существуют, но миграция с зарубежных платформ занимает 12–24 месяца и стоит десятки миллионов рублей.

Пошаговый алгоритм пересмотра категорий для банков в 2026 году

Все субъекты КИИ финансового сектора обязаны пересмотреть результаты категорирования с учётом ПП № 92. Ниже — алгоритм, основанный на практике реализации более чем 200 проектов по категорированию, выполненных командой «Астелс».

Важный нюанс: если в результате пересмотра категория значимости повысилась, новые сведения обязательно направляются во ФСТЭК. Если категория не изменилась — направлять сведения повторно не требуется, но рекомендуется задокументировать факт проведённого пересмотра для предъявления при проверке. О порядке подачи сведений читайте в статье «Приказ ФСТЭК № 236».

Ответственность за нарушения: штрафы, проверки, уголовная статья

Финансовый сектор находится под усиленным вниманием регуляторов. Нарушения в области КИИ влекут три уровня ответственности:

Административная ответственность (КоАП РФ)

Уголовная ответственность (ст. 274.1 УК РФ)

За неправомерное воздействие на КИИ, повлёкшее причинение вреда, предусмотрено наказание до 10 лет лишения свободы и штраф до 1 млн рублей. По данным за 2018–2025 годы, суды рассмотрели 325 уголовных дел по этой статье, обвинительные приговоры вынесены в 75% случаев.

В январе 2026 года Госдума приняла в первом чтении законопроекты, разграничивающие ответственность: за технические ошибки эксплуатации, не повлёкшие ущерба, — административный штраф; уголовная ответственность — только при доказанном нанесении ущерба.

Надзорные действия ЦБ РФ

Помимо проверок ФСТЭК, Банк России проводит собственные проверки соответствия кредитных организаций и НФО требованиям информационной безопасности (683-П, 757-П). При выявлении нарушений ЦБ РФ может:

• Выдать предписание об устранении нарушений.
• Ограничить проведение отдельных операций.
• В крайних случаях — отозвать лицензию.

Подробный разбор санкций — в статье «Штрафы и проверки по КИИ в 2026 году».

Чек-лист CISO: 12 вопросов, которые нужно закрыть до конца Q2 2026

Ниже — практический чек-лист для руководителей служб информационной безопасности банков и финансовых организаций. Каждый пункт — это конкретное действие, которое необходимо выполнить или подтвердить.

1. Ознакомились ли вы с полным текстом ПП № 92? Документ опубликован на government.ru, вступил в силу 15.02.2026.
2. Актуализирован ли состав комиссии по категорированию? Если изменились ответственные лица — издайте новый приказ.
3. Проведена ли инвентаризация ИС по новому типовому перечню? Сверьте ваш перечень объектов с отраслевым перечнем типовых объектов КИИ финансового сектора.
4. Появились ли новые объекты КИИ? Система ЕБС/ЕСИА, платформа цифрового рубля, антифрод — проверьте, не упущены ли они.
5. Пересчитаны ли показатели критериев значимости по методике ПП № 92? Особое внимание — показателю 9 (экономический ущерб).
6. Изменилась ли категория значимости хотя бы одного объекта? Если да — направьте обновлённые сведения во ФСТЭК по форме приказа № 236.
7. Соответствуют ли текущие меры защиты новой категории? При повышении категории — обновите модель угроз и набор мер по приказам ФСТЭК № 235 и № 239.
8. Выполняются ли требования ЦБ РФ (683-П / 757-П)? Результаты оценки по ГОСТ Р 57580.1 — не ниже четвёртого уровня.
9. Подготовлен ли план импортозамещения ПО? Срок утверждения отраслевого плана ЦБ — до 01.06.2026.
10. Настроено ли взаимодействие с ГосСОПКА? Для значимых объектов — обязательная передача сведений об инцидентах.
11. Проведено ли тестирование на проникновение? Для ЗОКИИ — ежегодно, а также при изменении категории.
12. Задокументирован ли пересмотр? Даже если категория не изменилась — оформите протокол для предъявления при проверке ФСТЭК или ЦБ.

Этот чек-лист не является исчерпывающим. Для организаций с десятками объектов КИИ и сложной ИТ-инфраструктурой рекомендуется привлекать специализированного консультанта. Подробнее о методологии оценки — в статье «Методика ФСТЭК: коэффициент защищённости КЗИ».

Итог

Постановление Правительства РФ № 92 от 06.02.2026 — это не формальность. Документ кардинально меняет ландшафт категорирования КИИ в финансовом секторе: унифицирует методики расчёта, расширяет круг субъектов за счёт МФО, БКИ и оператора цифрового рубля, вводит таблицу соответствия показателей и типовых объектов.

Для банков и НФО это означает необходимость оперативного пересмотра результатов категорирования и, вероятно, повышения категорий значимости ряда объектов. А повышение категории — это новые требования к защите, новые затраты на импортозамещение и более жёсткий контроль со стороны двух регуляторов — ФСТЭК и ЦБ РФ.

Организации, которые проигнорируют ПП № 92, рискуют не только административными штрафами, но и предписаниями Банка России, а в случае инцидента — уголовной ответственностью по ст. 274.1 УК РФ.

Нужна помощь с категорированием КИИ в банковской сфере? Оставьте заявку — специалисты sertifikat.bz проведут бесплатную экспресс-оценку вашей ситуации и помогут привести документацию в соответствие с ПП № 92.