Ключевые изменения в регулировании КИИ (критической информационной инфраструктуры) в 2026 году

В статье рассмотрим ключевые изменения регулирования КИИ: корректировки законодательства, новые правила категорирования и рост регуляторного контроля.

Изменения регулирования КИИ: что важно учитывать в 2026 году

Ключевые изменения в регулировании безопасности критической информационной инфраструктуры были закреплены поправками к Федеральному закону №187-ФЗ, которые вступили в силу 1 сентября 2025 года.

Поправки затронули несколько важных направлений регулирования:

• развитие системы показателей критериев значимости объектов КИИ;
• уточнение подходов к идентификации объектов инфраструктуры, подлежащих категорированию;
• формирование перечней типовых объектов КИИ;
• развитие механизмов отраслевого регулирования категорирования.

В 2026 году развитие нормативной базы происходит преимущественно через подзаконные акты и методические документы, реализующие положения этих изменений.

Одним из наиболее заметных нововведений стал Перечень типовых отраслевых объектов КИИ, утвержденный распоряжением Правительства РФ от 26.02.2026 №360-р. Этот документ существенно влияет на практику категорирования объектов КИИ и формирует более единообразный подход к определению состава информационной инфраструктуры, подлежащей анализу.

Параллельно постепенно публикуются отраслевые особенности категорирования объектов КИИ. По состоянию на март 2026 года такие документы уже опубликованы для:

• области атомной энергии (постановление Правительства РФ от 16.01.2026 № 4);
• банковской сферы и иных сфер финансового рынка (постановление Правительства РФ от 6.02.2026 № 92);
• сферы науки (постановление Правительства РФ от 07.03.2026).

Ожидается, что аналогичные документы будут приняты и для других отраслей, что дополнительно уточнит практику категорирования в отдельных секторах экономики.

Отдельное направление развития регулирования связано с обновлением нормативной базы взаимодействия субъектов КИИ с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА). В январе 2026 г. вступили в силу приказы ФСБ России в области ГосСОПКА, часть которых пришла на замену старым приказам. Однако некоторые из них носят принципиально новый характер:

• Приказ ФСБ России от 23 декабря 2025 г. № 539, который определяет порядок получения субъектами КИИ информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения;
• Приказ ФСБ России от 25 декабря 2025 г. № 548, который определяет порядок непрерывного взаимодействия субъектов КИИ с ГосСОПКА (которое установлено нововведениями, вступившими в силу 1 сентября 2025 г.)

Новая редакция Постановления Правительства №127

Одним из ключевых документов, определяющих практику категорирования объектов КИИ, остается Постановление Правительства РФ №127, устанавливающее правила категорирования объектов КИИ. В 2025–2026 годах изменения в регулировании связаны прежде всего с уточнением процедур категорирования и развитием системы показателей критериев значимости.

В целом изменения можно условно разделить на два направления:

• корректировка правил категорирования объектов КИИ;
• обновление показателей критериев значимости, применяемых при определении категории объекта.

Уточнение процедуры идентификации объектов КИИ, подлежащих категорированию

Одним из ключевых направлений развития регулирования стала корректировка подходов к определению объектов КИИ, подлежащих категорированию.

Наиболее важным изменением стал переход от преимущественно процессного подхода к определению объектов КИИ к более фиксированному подходу, основанному на использовании перечней типовых объектов.

Такой подход реализован через распоряжение Правительства РФ №360-р, которым утверждён перечень типовых объектов критической информационной инфраструктуры. Этот документ задаёт ориентиры для субъектов КИИ при определении состава систем, подлежащих категорированию.

На практике это означает, что организациям необходимо:

• сопоставить собственные информационные системы и технологические процессы с перечнем типовых объектов КИИ;
• в обязательном порядке провести категорирование систем, соответствующих перечню;
• оценить системы, которые потенциально могут быть значимыми, но в перечень типовых объектов КИИ не попали (для такого случая руководствуемся новым пунктом 22 Правил категорирования).

Важное примечание – субъектам КИИ, которые ранее проводили категорирование и пришли к выводу, что ряд их систем не обеспечивает критические процессы, также необходимо провести фильтрацию своих систем перечнем типовых объектов КИИ. В случае выявлении соответствий необходимо провести категорирование в установленном порядке.

Дополнительное влияние на процедуру категорирования оказывают отраслевые особенности категорирования, которые постепенно публикуются профильными регуляторами. Такие документы учитывают специфику отдельных отраслей и позволяют более точно определить масштаб негативных последствий при моделировании наихудшего сценария реализации компьютерных атак на объекты КИИ.

При этом важно подчеркнуть: общий алгоритм категорирования объектов КИИ принципиально не изменился. Процедура по-прежнему включает несколько последовательных этапов:

1. определение объектов КИИ, подлежащих категорированию;
2. моделирование возможных негативных последствий нарушения их функционирования;
3. сопоставление полученных последствий с установленными показателями критериев значимости;
4. присвоение категории значимости либо принятие решения об её отсутствии.

Таким образом, несмотря на изменения в части идентификации объектов и обновления показателей критериев значимости, базовая логика категорирования сохраняется.

В результате ключевыми вопросами для субъектов КИИ становятся не только определение категории значимости объекта, но и корректная идентификация самих объектов, которые должны проходить процедуру категорирования.

Изменения в показателях критериев значимости

Изменения затронули показатели, связанные с деятельностью в сфере транспорта, связи, банковской сфере, а также в оборонно-промышленном комплексе.

Отдельного внимания заслуживают новые показатели 3 (г) и 13.1, которые, по сути, привязывают возможные негативные последствия от нарушения объектов КИИ к статусу субъекта КИИ (или объекта транспортной инфраструктуры, на котором функционирует объект КИИ), что делает оценку негативных последствий от нарушения функционирования отдельных объектов КИИ рудиментной процедурой. Указанные показатели вызывают дискуссии в профессиональном сообществе в части трактовки и практического использования, в связи с чем ждем отраслевые особенности в сфере транспорта и в области оборонной промышленности, которые внесут ясность в трактовке таких показателей.

Ниже приводим введенные в Перечень изменения.

Транспортная инфраструктура

Сфера связи

Финансовый сектор

Оборонно-промышленный комплекс

Состав сведений о категорировании

После анализа изменений нормативной базы субъекты КИИ могут столкнуться с необходимостью, корректировки сведений о ранее категорированных объектах, проведения категорирования объектов, которые ранее не были учтены и категорирования новых объектов инфраструктуры, сведения должны быть направлены в ФСТЭК России.

При этом важно учитывать, что форма представления сведений о категорировании была обновлена (приказ ФСТЭК России № 236 в ред. от 11.07.2025). Соответствующие изменения закреплены в нормативных документах регулятора. Представление информации по устаревшей форме может стать основанием для возврата материалов на доработку, что увеличивает сроки прохождения процедуры и создает дополнительные организационные риски для субъекта КИИ.

Об этом напоминает информационное сообщение ФСТЭК России от 22 октября 2025 г. N 240/84/3451, в соответствии с которым «после издания постановления "Об утверждении Перечней типовых отраслевых объектов критической информационной инфраструктуры Российской Федерации" необходимо направить актуализированные сведения об объектах критической информационной инфраструктуры».

Практика применения норм ответственности

Изменения в части административной ответственности субъектов КИИ в последние годы также происходят постепенно. Существенное ужесточение санкций было закреплено ещё в 2021 году, прежде всего в статьях 19.7.15 и 13.12.1 КоАП РФ, устанавливающих ответственность за нарушение требований законодательства о безопасности КИИ.

Основное изменение связано не столько с увеличением санкций, сколько с расширением возможностей регуляторов применять существующие нормы ответственности. В частности, дополнительные инструменты для реагирования на нарушения появились благодаря положениям части 11 статьи 7 Федерального закона №187-ФЗ, в соответствии с которыми ФСТЭК России получила право устанавливать сроки выполнения обязательных требований.

Изменения в пункт 19 (2) Правил категорирования также уточняют состав информации, направляемой в ФСТЭК России органами государственной власти и юридическими лицами в рамках мониторинга актуальности и достоверности сведений о категорировании. Среди такой информации:

• Сведения о нарушении отраслевых особенностей;
• Сведения о системах, включенных в Перечень типовых отраслевых объектов КИИ, категорирование которых не проведено.

Получение ФСТЭК России такой информации дает основания для возбуждения дела об административном правонарушении.

Что делать CISO в 2026 году

Ужесточение регулирования критической информационной инфраструктуры требует от организаций более системного подхода к управлению безопасностью. Для руководителей ИБ-подразделений 2026 год становится периодом пересмотра ключевых процессов: категорирования объектов КИИ, импортозамещения программного обеспечения и подготовки к регуляторным проверкам.

Практически это означает необходимость провести внутреннюю ревизию текущего состояния инфраструктуры и убедиться, что организация соответствует обновленным требованиям законодательства и регуляторной практике.

Ревизия категорирования

Первым шагом должна стать ревизия ранее проведённого категорирования объектов КИИ. В связи с изменением показателей критериев значимости субъекты КИИ обязаны провести повторную оценку категорий значимости. Такая обязанность прямо закреплена пунктом 21 Правил категорирования объектов критической информационной инфраструктуры.

На практике это означает необходимость повторно сопоставить смоделированные негативные последствия нарушения функционирования объектов КИИ с обновлёнными показателями критериев значимости и при необходимости скорректировать ранее присвоенные категории.

В рамках ревизии рекомендуется:

• Провести анализ Перечня, все ли объекты учтены. Особенно актуально организациям, которые, оперируя критичностью процессов, избежали категорирования отдельных систем.
• Провести или запланировать проведение пересмотра установленных категорий значимости (или решений об отсутствии необходимости присвоения категории) вне зависимости от сферы деятельности субъекта КИИ.
• По мере выхода применимых отраслевых особенностей провести дополнительный анализ, все ли обязательные показатели критериев значимости рассчитали / обосновали
• Направить в ФСТЭК России актуальные сведения о категорировании, помнить о новой форме.

Особое внимание стоит уделить системам, потенциально относящимся к значимым объектам КИИ (ЗОКИИ), поскольку для них действуют более строгие требования к защите информации.

Заключение

Регулирование критической информационной инфраструктуры в 2026 году окончательно переходит от этапа формирования нормативной базы к фазе активного контроля и правоприменения. Для субъектов КИИ это означает, что формальный подход к выполнению требований законодательства больше не работает. Регуляторы уделяют все больше внимания не только наличию документации, но и фактическому состоянию систем безопасности, корректности категорирования и полноте реализованных мер защиты.

Особую значимость в этой ситуации приобретают процессы категорирования объектов КИИ и импортозамещения программного обеспечения. Ошибки в определении категории значимости или использование несоответствующего программного обеспечения могут рассматриваться не только как технические недочеты, но и как управленческие риски для организации и ее руководства.

В этих условиях компаниям целесообразно переходить от эпизодических проверок к системному управлению соответствием требованиям регулирования. Одним из практических шагов может стать проведение независимой оценки готовности инфраструктуры к требованиям, предъявляемым к значимым объектам КИИ (ЗОКИИ), а также к обновленной регуляторной практике ФСТЭК и другим нормативным актам.

Для руководителей ИБ и ИТ-подразделений 2026 год становится моментом, когда безопасность критической инфраструктуры окончательно превращается из технической функции в элемент стратегического управления рисками организации.