Этот сайт использует файлы Cookies.
Нажимая ПРИНЯТЬ или продолжая просмотр сайта, Вы даете свое согласие на обработку файлов cookies вашего браузера. Вы можете запретить обработку некоторых типов файлов cookies в настройках вашего браузера. Подробнее
+7 495 786-34-93
+7 495 120-64-46
 

Новые правила категорирования объектов КИИ в 2026 году: как подготовиться к проверкам

Новые правила категорирования объектов КИИ в 2026 году: как подготовиться к проверкам

Постановление Правительства РФ от 07.11.2025 № 1762 вносит изменения в Правила категорирования объектов КИИ. Новая процедура вступает в силу 15 ноября 2025 года. Алена Лукашева, заместитель руководителя департамента аудита и консалтинга iTPROTECT, прокомментировала значение изменений для российских организаций.

Официально опубликовано Постановление Правительства РФ от 07.11.2025 № 1762, которым скорректированы правила категорирования объектов КИИ и перечень показателей критериев значимости (ПП № 127 от 08.02.2018). Документ усиливает роль отраслевого регулирования: теперь формальной отправной точкой становятся типовые отраслевые объекты КИИ и отраслевые особенности категорирования, а не собственное представление субъекта КИИ о критичности своих процессов. 

Ключевые изменения новой редакции

  • Категорированию подлежат объекты, соответствующие типам информационных систем, сетей и АСУ, включенным в перечни типовых отраслевых объектов КИИ.

  • Из процедуры убирается логика «критических процессов» – шаги по их определению и привязке к объектам КИИ исключены.

  • Установление соответствия объекта критериям значимости, расчёт показателей и присвоение категории значимости должны осуществляться уже не только по ПП-127, но и в соответствии с отраслевыми особенностями категорирования, утвержденными на уровне Правительства РФ. 

Значительно обновились показатели критериев значимости. В транспортной сфере сделан дополнительный акцент на организации, осуществляющие грузовые и пассажирские перевозки, в сфере связи – усилены требования к устойчивости инфраструктуры. В области государственного управления расширен круг охватываемых организаций. В финансовом секторе под регулирование дополнительно попадают оператор цифрового рубля, микрофинансовые организации и бюро кредитных историй. В оборонно-промышленном комплексе теперь будет учитываться роль организации в выполнении гособоронзаказа.

Расширяется и ответственность субъектов КИИ. В Правила вводится новый пункт о «вновь создаваемых» объектах: если субъект КИИ выявляет объект, который не отнесен к типам из перечней, но по масштабу возможных последствий тянет на показатели критериев значимости, он обязан сам присвоить ему категорию и направить в уполномоченный орган не только сведения об объекте, но и предложение о дополнении отраслевых перечней.  Это де-факто закрывает возможность «отложить» учет новых цифровых платформ и технологических систем до появления формального упоминания в перечнях.

Ужесточаются и требования к мониторингу и отчетности. Органы власти и организации, наделенные полномочиями по мониторингу, теперь должны сообщать во ФСТЭК России не только о нарушении сроков категорирования и недостоверных сведениях, но и о несоблюдении отраслевых особенностей, а также о выявлении информационных систем, сетей и АСУ, которые соответствуют типовым объектам КИИ и не прошли категорирование. То есть «некатегорированные, но типовые» объекты формально становятся фактором риска.

Изменения затрагивают и состав Сведений, направляемых во ФСТЭК России по результатам категорирования. К перечню обязательных данных добавлены доменные имена и сетевые адреса объектов КИИ, взаимодействующих с сетями электросвязи общего пользования, включая «Интернет».  Это позволит регулятору лучше увязывать контур КИИ с внешней инфраструктурой и потенциальными векторами атак.

Что это означает для субъектов КИИ на практике

После вступления изменений в силу комиссиям по категорированию необходимо:

  1. Провести инвентаризацию объектов на соответствие типовым отраслевым перечням.
  2. Пересмотреть результаты категорирования с учетом отраслевых особенностей и обновленных показателей критериев значимости.
  3. Актуализировать Сведения и направить обновленный пакет во ФСТЭК России. 

Переходный период на уровне Правительства не предусмотрен: документ вступает в силу 15 ноября 2025 года. Формально, если ориентироваться на дату вступления в силу и стандартные подходы к актуализации сведений, у субъектов КИИ остается порядка 20 рабочих дней на обновление и направление Сведений во ФСТЭК России – ориентировочно до 12 декабря 2025 года включительно.

Единый правительственный перечень типовых отраслевых объектов КИИ и отраслевые особенности категорирования к моменту выхода ПП-1762 находятся на разных стадиях утверждения, многие документы все еще остаются в виде проектов и материалов для общественного обсуждения. Фактически это означает разрыв между юридически установленными требованиями и методической базой для их исполнения. В таких условиях выполнить новые требования в полном объеме к условной дате объективно проблематично. В то же время ФСТЭК России публично обозначила, что ключевые документы – перечни и отраслевые особенности – планируется утвердить до конца года, а форма Сведений уже дополнена новыми графами.

Алена Лукашева, заместитель руководителя департамента аудита и консалтинга iTPROTECT:

«Есть важный практический нюанс. ПП-1762 нельзя рассматривать изолированно. В планах регулятора на следующий год – пересмотр требований по безопасности для значимых объектов КИИ: запланированы изменения в приказы ФСТЭК № 235 и № 239. Для субъектов КИИ это прямой сигнал: работы по актуализации документации в рамках категорирования стоит планировать заранее и увязывать не только с текущими изменениями в ПП-127, но и с ожидаемым обновлением подзаконной базы и повышением требований по защите. С учетом введения отраслевых особенностей значимыми, скорее всего, станет гораздо больше объектов, а значит, для многих организаций защита КИИ перестанет быть точечной задачей и превратится в комплексный план работ по всему ИТ-ландшафту, включающий импортозамещение и выстраивание защиты на базе отечественных решений».

С учетом масштаба изменений субъектам КИИ уже сейчас имеет смысл учесть новые требования при планировании бюджета на следующий год: заложить ресурсы на пересмотр категорий значимости, актуализацию Сведений, доработку локальных нормативных актов, а при необходимости – модернизацию систем защиты на объектах КИИ.


Специалисты iTPROTECT продолжают мониторить изменения в регулировании КИИ и помогают заказчикам адаптироваться к ним: от анализа контура объектов и пересмотра категорий с учетом новых критериев до актуализации документации и создания систем защиты. Обращайтесь, если вам нужна помощь с  проработкой сценария перехода к «отраслевой» модели категорирования с минимальными юридическими и техническими рисками.

К новостям
Хотите получать наши новости?
Успейте забрать выгоду
Специальные предложения
на ИБ-продукты от ведущих российских вендоров
Перейти в промо