Новые правила для КИИ с 1 сентября: что именно становится обязательным

Содержание данной статьи проверено и подтверждено:

С 1 сентября 2025 года в российском регулировании критической информационной инфраструктуры (КИИ) наступает важный этап — в силу вступают ключевые поправки в федеральном законодательстве, которые напрямую меняют правовой статус и обязанности субъектов КИИ.
В первую очередь это обновлённый 187-ФЗ и принятый Федеральный закон №325-ФЗ.

Важно: ряд значимых нормативных документов (проекты поправок в постановление Правительства №127, проект единого перечня объектов КИИ, проекты приказов ФСТЭК и т. п.) сейчас проходят подготовку и могут быть скорректированы перед окончательным утверждением. Поэтому практические детали (формы отчётности, методики отраслевого категорирования, точные списки объектов) пока лучше рассматривать как ожидаемые или проектные, но начинать подготовку к их вступлению в силу стоит уже сейчас.

Унификация объектов КИИ: проект единого перечня и что с этим делать уже сейчас

Одно из центральных предложений — введение единого перечня объектов КИИ, который должен нивелировать разночтения в практике и сделать критерии более прозрачными. Сейчас такой перечень представлен в виде проекта и проходит согласование.

Для компаний вывод простой: учитывать ожидаемые изменения в перечне при планировании инвентаризации и аудита.

Категорирование с отраслевой спецификой — куда движется практика

Проект поправок к правилам категорирования (п.5а постановления №127) вводит требование учитывать отраслевые особенности — и предполагает, что ФСТЭК разработает отраслевые методики (ООК) для энергетики, транспорта, банков и др. Это означает отказ от «универсального» шаблона и переход к более точной, но и более ресурсоёмкой процедуре категорирования.

Подразделения ИБ должны синхронизироваться по отраслевой специфике — ошибки в выборе категории в будущем будут обходиться дороже.

Перекатегорирование: кто и когда должен пройти процедуру

Нормативы, которые готовятся в приложении к постановлению №127, содержат обновлённый набор показателей категорирования. Следствие — прежние акты категорирования теряют актуальность, и компаниям придётся проходить процедуру повторно.

Требования поправок в 187-ФЗ задают обязанность привести классификацию в соответствие с новыми правилами, поэтому компаниям необходимо начать подготовку к повторному категорированию уже сейчас.

Новая форма отчётности — изменение практики подачи сведений во ФСТЭК

ФСТЭК обновляет форму направления сведений о результатах категорирования: новые формы и шаблоны делают отчётность более детализированной — с требованием обосновать выбранную категорию, представить методику расчёта и подтверждающие документы.

Важно подготовить к этому сотрудников компании, чтобы вовремя скорректировать отчеты, когда изменения вступят в силу.

187-ФЗ: исключение ИП и требования к программному обеспечению

Поправки в 187-ФЗ фиксируют две важные вещи, которые вступают в силу с 1 сентября 2025 года:

  • Индивидуальные предприниматели (ИП) выводятся из числа субъектов КИИ — это уменьшает административную нагрузку в отношении малых субъектов
  • Закрепление требований к применяемому ПО, включая переход на программные продукты, входящие в российский реестр

Эти изменения накладывают на организации обязанность провести ревизию используемого софта и планировать замену/миграцию там, где это потребуется.

№325-ФЗ: ограничения иностранного участия

ФЗ №325-ФЗ, опубликованный 31 июля 2025 года, усиливает требования к отсутствию иностранного участия в субъектах КИИ и закрепляет ответственность за несоответствие.

Это часть общей стратегии технологического суверенитета: компании в чувствительных отраслях должны заранее проверять структуру владения и при необходимости проводить реструктуризацию капитала.

Что нужно делать компаниям, относящимся к КИИ, прямо сейчас

Изменения затрагивают финансовую, организационную и правовую сторону работы:

  • Провести аудит и инвентаризацию IT-активов с прицелом на ожидаемые изменения перечня
  • Запустить процесс перекатегорирования там, где это необходимо
  • Проанализировать используемое ПО и составить план его замены/миграции
  • Оценить структуру собственности на предмет иностранного участия
  • Наладить процесс взаимодействия с ФСТЭК и подготовить сотрудников к новым формам отчётности

Даже после выполнения всех новых норм, вступивших в силу с 1 сентября, не стоит останавливаться на достигнутом.

Важно оценить, какие изменения грядут, и пересмотреть оставшиеся части бизнеса, которые они могут затронуть. Тогда к тому времени, как проекты обретут законодательную силу, вы сможете пройти все процессы по их выполнению более последовательно.

Подписывайтесь на канал ИТ. Право. Безопасность в Telegram

Телеграм канал ИТ Право Безопасность

Задать вопрос эксперту

    Связанные услуги