«Вторая волна» категорирования КИИ (2026): как подготовиться к масштабному пересмотру актов

Совпадение пятилетнего цикла пересмотра и кардинально обновлённых правил категорирования запускает «вторую волну» работ для субъектов КИИ. Разбираем нормативный фундамент, карту отраслевых особенностей, пошаговый план подготовки и матрицу бюджетирования ИБ на 2026 год.

Пошаговый план подготовки к пересмотру актов категорирования

Опираясь на практику сопровождения субъектов КИИ в 60+ городах России, мы выделяем 7 ключевых этапов подготовки.

Этап 1. Аудит текущего состояния (2–4 недели)

• Соберите все действующие акты категорирования и сведения, поданные во ФСТЭК
• Проверьте даты последних актов — определите, попадаете ли в пятилетний цикл
• Сопоставьте фактический перечень ИС, АСУ и сетей электросвязи с тем, что указано в документах

Этап 2. Инвентаризация ИТ-активов (3–6 недель)

• Обновите реестр информационных систем, включая облачные и гибридные решения
• Зафиксируйте для каждой системы: доменные имена, внешние IP-адреса, состав ПО с версиями, наличие сертификатов соответствия — все эти поля теперь обязательны при подаче сведений (Приказ ФСТЭК № 247)
• Определите, какие системы соответствуют типовым отраслевым объектам

Этап 3. Сопоставление с отраслевыми особенностями (2–3 недели)

• Изучите утверждённые или проектные отраслевые особенности для вашей сферы
• Пересчитайте показатели критериев значимости по обновлённой методике
• Определите, изменились ли категории значимости ваших объектов

Этап 4. Актуализация модели угроз (4–8 недель)

• С 1 марта 2026 обязательна актуализация по ПП № 676 для ГИС и ЗОКИИ
• Используйте банк данных угроз ФСТЭК с актуальной методикой оценки
• Выстройте сценарии реализации угроз с учётом тактик и техник

Этап 5. Подготовка новых актов (2–4 недели)

• Оформите протокол комиссии по категорированию с обоснованием изменений
• Подготовьте акт категорирования по обновлённой форме
• Заполните сведения для ФСТЭК по форме Приказа № 247

Этап 6. Корректировка мер защиты (4–12 недель)

• Если категория повысилась — разработайте план приведения в соответствие Приказам № 235 и № 239
• Если объект впервые признан значимым — запланируйте создание подсистемы безопасности
• Учтите требования по импортозамещению (срок перехода на доверенные ПАК — до 1 января 2030)

Этап 7. Подача сведений и мониторинг (1–2 недели)

• Направьте обновлённые сведения во ФСТЭК
• Запланируйте регулярный мониторинг публикации отраслевых особенностей для вашей сферы
• Внесите дату следующего обязательного пересмотра в календарь ИБ-службы

Полный цикл повторного категорирования занимает от 4 до 8 месяцев. Откладывать старт подготовки на вторую половину 2026 года — значит рисковать не уложиться в сроки.

Совокупный срок полного цикла — от 4 до 8 месяцев в зависимости от масштаба организации и количества объектов КИИ.

Матрица бюджетирования ИБ на 2026 год: статьи расходов и ориентиры

Одна из главных задач CISO и CIO — обосновать бюджет на повторное категорирование перед руководством. Ниже приводим матрицу типовых статей расходов с ориентировочными диапазонами для средней организации (50–500 объектов ИТ-инфраструктуры).

Совет практика. При защите бюджета используйте формулу: потенциальный штраф за нарушение (до 500 тыс. руб. по КоАП + репутационные риски + уголовная ответственность по ст. 274.1 УК РФ) значительно превышает стоимость повторного категорирования. По рыночным данным, средний бюджет на аудит КИИ в 2026 году составляет от 800 тыс. до 2,5 млн руб. для организаций среднего масштаба. Наибольший спрос на ИБ-аудит в 2026 году прогнозируется в финансовой отрасли, промышленности и телекоммуникациях.

Актуализация модели угроз: связь с повторным категорированием

Модель угроз — документ, который напрямую влияет на выбор мер защиты значимых объектов КИИ. С 1 марта 2026 года актуализация модели угроз по ПП № 676 становится обязательным требованием для ГИС и ЗОКИИ. Приказ ФСТЭК № 117, заменяющий действовавший с 2013 года Приказ № 17, принципиально меняет подход: вместо «жёстких» перечней мер по классам защищённости меры теперь подбираются и верифицируются под архитектуру и актуальные угрозы.

Почему это критически важно при повторном категорировании:

1. Повышение категории означает расширение перечня обязательных мер защиты по Приказу № 239. Если модель угроз устарела, вы рискуете внедрить неадекватные меры.
2. Новые типовые объекты могут включать системы, ранее не входившие в периметр КИИ. Для них модель угроз создаётся впервые.
3. Режим непрерывного контроля, вводимый Приказом № 117, требует регулярного пересмотра модели, а не разовой процедуры.

На практике ФСТЭК обращает особое внимание на соответствие между актом категорирования и моделью угроз. Типичное замечание при проверке — модель угроз не отражает актуальный состав ИТ-инфраструктуры или не учитывает специфику отрасли. Рекомендуем совмещать процесс пересмотра категорирования с актуализацией модели угроз: это сокращает сроки и бюджет на 15–25%.

Типичные ошибки и подводные камни при пересмотре КИИ

По опыту наших специалистов, работавших с организациями из всех 13 отраслей КИИ, наиболее распространённые ошибки можно разделить на три группы.

Ошибки в определении объектов

• «Забытые» системы. После миграции в облако или внедрения новых АСУ ТП организации не обновляют перечень объектов КИИ. Теперь несоответствие фактического перечня типовым отраслевым объектам — отдельное нарушение.
• Игнорирование IoT и промышленных сетей. АСУ ТП на базе программируемых логических контроллеров часто не учитываются, хотя входят в типовые перечни для промышленных отраслей.
• Отсутствие сопоставления с типовыми объектами. Организации продолжают категорировать «по-старому» — через критические процессы, что теперь не соответствует методологии ПП № 1762.

Ошибки в оформлении документов

• Отсутствие новых обязательных полей. Доменные имена, сетевые адреса объектов, подключённых к сети, версии ПО и сведения о сертификатах — все эти поля требуются Приказом № 247. Пропуск любого — основание для возврата документов.
• Устаревший состав комиссии. При смене ответственных лиц состав комиссии не обновляется, что ставит под сомнение легитимность акта.
• Несоответствие формулировок. Использование терминологии «критические процессы» вместо «типовые отраслевые объекты» в тексте акта.

Стратегические ошибки

• Ожидание всех отраслевых документов. Организации откладывают подготовку до утверждения отраслевых особенностей. Итог — аврал и некачественные документы за 2–3 недели вместо планомерной работы.
• Экономия на модели угроз. Формальная модель «для галочки» не выдерживает проверки ФСТЭК и требует полной переделки.
• Отсутствие бюджетного планирования. CISO обращается за бюджетом после утверждения отраслевых особенностей, когда сроки уже горят, а согласование бюджета занимает 1–3 месяца.

Чек-лист готовности к «второй волне» категорирования

Используйте этот чек-лист для самооценки готовности вашей организации.

Блок 1. Организационная готовность

• Комиссия по категорированию сформирована (состав актуален)
• Назначен ответственный за безопасность ЗОКИИ (Приказ № 235)
• Определена принадлежность к субъектам КИИ с учётом изменений 187-ФЗ
• Проверено соответствие требованию о российском контроле (ФЗ № 325-ФЗ)

Блок 2. Документальная готовность

• Действующие акты категорирования собраны и проверены на актуальность
• GAP-анализ на соответствие ПП № 1762 проведён
• Протокол решения комиссии о порядке пересмотра оформлен
• Модель угроз актуализирована по методике ФСТЭК (ПП № 676)

Блок 3. Техническая готовность

• Реестр ИС, АСУ и сетей электросвязи обновлён
• Для каждого объекта зафиксированы: доменные имена, IP-адреса, ПО (версии), сертификаты
• Объекты сопоставлены с типовыми отраслевыми перечнями
• Результаты пентеста (для ЗОКИИ) не старше 12 месяцев

Блок 4. Бюджетная готовность

• Бюджет на повторное категорирование защищён (включая возможное привлечение консультантов)
• Бюджет на актуализацию модели угроз выделен
• Предусмотрен резерв на доработку системы защиты (при повышении категории)
• Запланировано обучение/переподготовка персонала ИБ-подразделения

Блок 5. Мониторинг нормативных изменений

• Настроен мониторинг публикации отраслевых особенностей для вашей отрасли
• Определён порядок реагирования на выход нового документа (ответственные, сроки)
• Запланирован следующий обязательный пересмотр (через 5 лет)
• Налажено взаимодействие с ГосСОПКА и НКЦКИ

Итог

«Вторая волна» категорирования КИИ — это не разовая кампания, а переход к циклическому процессу управления безопасностью критической инфраструктуры. Главный вывод для CISO и CIO: начинать подготовку нужно сейчас, не дожидаясь публикации всех отраслевых особенностей. Аудит текущих актов, инвентаризация ИТ-активов и защита бюджета — те шаги, которые можно и нужно предпринять немедленно.

Организации, которые начнут подготовку в I квартале 2026 года, получат стратегическое преимущество: спокойный график работ, доступ к лучшим консультантам до пикового спроса и минимальный риск штрафов при проверках ФСТЭК.

Нужна помощь с повторным категорированием КИИ? Оставьте заявку — специалисты sertifikat.bz проведут бесплатную экспресс-оценку вашей ситуации и помогут спланировать «вторую волну» без авралов.