Новые правила для КИИ с 1 сентября: что именно становится обязательным
Содержание данной статьи проверено и подтверждено:
Музалевский Федор Александрович
Ведущий эксперт компьютерно-технического направленияС 1 сентября 2025 года в российском регулировании критической информационной инфраструктуры (КИИ) наступает важный этап — в силу вступают ключевые поправки в федеральном законодательстве, которые напрямую меняют правовой статус и обязанности субъектов КИИ.
В первую очередь это обновлённый 187-ФЗ и принятый Федеральный закон №325-ФЗ.
Важно: ряд значимых нормативных документов (проекты поправок в постановление Правительства №127, проект единого перечня объектов КИИ, проекты приказов ФСТЭК и т. п.) сейчас проходят подготовку и могут быть скорректированы перед окончательным утверждением. Поэтому практические детали (формы отчётности, методики отраслевого категорирования, точные списки объектов) пока лучше рассматривать как ожидаемые или проектные, но начинать подготовку к их вступлению в силу стоит уже сейчас.
Унификация объектов КИИ: проект единого перечня и что с этим делать уже сейчас
Одно из центральных предложений — введение единого перечня объектов КИИ, который должен нивелировать разночтения в практике и сделать критерии более прозрачными. Сейчас такой перечень представлен в виде проекта и проходит согласование.
Для компаний вывод простой: учитывать ожидаемые изменения в перечне при планировании инвентаризации и аудита.
Категорирование с отраслевой спецификой — куда движется практика
Проект поправок к правилам категорирования (п.5а постановления №127) вводит требование учитывать отраслевые особенности — и предполагает, что ФСТЭК разработает отраслевые методики (ООК) для энергетики, транспорта, банков и др. Это означает отказ от «универсального» шаблона и переход к более точной, но и более ресурсоёмкой процедуре категорирования.
Подразделения ИБ должны синхронизироваться по отраслевой специфике — ошибки в выборе категории в будущем будут обходиться дороже.
Перекатегорирование: кто и когда должен пройти процедуру
Нормативы, которые готовятся в приложении к постановлению №127, содержат обновлённый набор показателей категорирования. Следствие — прежние акты категорирования теряют актуальность, и компаниям придётся проходить процедуру повторно.
Требования поправок в 187-ФЗ задают обязанность привести классификацию в соответствие с новыми правилами, поэтому компаниям необходимо начать подготовку к повторному категорированию уже сейчас.
Новая форма отчётности — изменение практики подачи сведений во ФСТЭК
ФСТЭК обновляет форму направления сведений о результатах категорирования: новые формы и шаблоны делают отчётность более детализированной — с требованием обосновать выбранную категорию, представить методику расчёта и подтверждающие документы.
Важно подготовить к этому сотрудников компании, чтобы вовремя скорректировать отчеты, когда изменения вступят в силу.
187-ФЗ: исключение ИП и требования к программному обеспечению
Поправки в 187-ФЗ фиксируют две важные вещи, которые вступают в силу с 1 сентября 2025 года:
- Индивидуальные предприниматели (ИП) выводятся из числа субъектов КИИ — это уменьшает административную нагрузку в отношении малых субъектов
- Закрепление требований к применяемому ПО, включая переход на программные продукты, входящие в российский реестр
Эти изменения накладывают на организации обязанность провести ревизию используемого софта и планировать замену/миграцию там, где это потребуется.
№325-ФЗ: ограничения иностранного участия
ФЗ №325-ФЗ, опубликованный 31 июля 2025 года, усиливает требования к отсутствию иностранного участия в субъектах КИИ и закрепляет ответственность за несоответствие.
Это часть общей стратегии технологического суверенитета: компании в чувствительных отраслях должны заранее проверять структуру владения и при необходимости проводить реструктуризацию капитала.
Что нужно делать компаниям, относящимся к КИИ, прямо сейчас
Изменения затрагивают финансовую, организационную и правовую сторону работы:
- Провести аудит и инвентаризацию IT-активов с прицелом на ожидаемые изменения перечня
- Запустить процесс перекатегорирования там, где это необходимо
- Проанализировать используемое ПО и составить план его замены/миграции
- Оценить структуру собственности на предмет иностранного участия
- Наладить процесс взаимодействия с ФСТЭК и подготовить сотрудников к новым формам отчётности
Даже после выполнения всех новых норм, вступивших в силу с 1 сентября, не стоит останавливаться на достигнутом.
Важно оценить, какие изменения грядут, и пересмотреть оставшиеся части бизнеса, которые они могут затронуть. Тогда к тому времени, как проекты обретут законодательную силу, вы сможете пройти все процессы по их выполнению более последовательно.
Подписывайтесь на канал ИТ. Право. Безопасность в Telegram