Правительство утвердило отраслевые особенности категорирования КИИ: анализ iTPROTECT

Правительство РФ последовательно выпускает отраслевые особенности категорирования объектов критической информационной инфраструктуры (КИИ). С начала года вышло уже три постановления, которые касаются разных отраслей экономики. Эксперты департамента консалтинга и аудита iTPROTECT разобрались, как новое регулирование поменяет ситуацию для предприятий атомной отрасли, финансового рынка и научных организаций.

В первом квартале 2026 года уже утверждены:

• постановление Правительства РФ от 16.01.2026 № 4 — для области атомной энергии;
• постановление Правительства РФ от 06.02.2026 № 92 — для банковской сферы и иных сфер финансового рынка;
• постановление Правительства РФ от 07.03.2026 № 246 — для сферы науки.

Практическое значение этих актов состоит в том, что категорирование по 187-ФЗ становится более предметным и отраслевым. Если ранее организации в основном ориентировались на общие правила категорирования и собственную оценку последствий, то теперь для отдельных сфер закрепляется специальная логика применения критериев значимости и расчета их показателей. Соответственно, ранее проведенное категорирование во многих случаях потребует пересмотра.

Для банковской сферы и иных сфер финансового рынка важно не только детализацией самих показателей, но и введением отдельной обязанности по регулярному направлению сведений о значимых объектах КИИ и решениях по их категориям. Речь идет о ежегодном представлении информации не позднее 10-го рабочего дня календарного года. В зависимости от статуса субъекта такие сведения направляются в Банк России либо в Минфин России. Направлению подлежат действующий перечень значимых объектов КИИ, а также решение о пересмотре или непересмотре установленных категорий значимости по итогам предыдущего года. 

Для сферы науки постановление, напротив, очерчивает круг субъектов КИИ достаточно узко: прямо названы государственные органы и государственные учреждения, которым принадлежат системы, сети и АСУ, функционирующие в сфере науки, а также органы и учреждения, обеспечивающие взаимодействие таких систем и сетей. Дополнительно документ связывает категорирование с выполнением НИР и ОКР, а также с уровнем готовности технологий или научно-технических результатов не ниже седьмого. Это означает, что в фокусе оказываются не любые научные информационные системы, а прежде всего те, от которых зависит проведение зрелых исследований и разработок с потенциально значимыми последствиями.

Все три постановления отражают единый регуляторный подход: категорирование больше не рассматривается как универсальная процедура, одинаково применимая к любому субъекту КИИ. Напротив, Правительство переходит к модели, при которой для каждой сферы уточняются собственные признаки значимости объектов, собственные сценарии негативных последствий и собственные правила расчета показателей. Для организаций это означает повышение требований к качеству инвентаризации систем, к обоснованию выводов комиссии по категорированию и к актуальности ранее оформленных материалов.

Дополнительно новые постановления должны применяться в связке с типовыми отраслевыми объектами КИИ. Соответственно, организациям потребуется проверять не только сами критерии значимости, но и корректность определения состава объектов, включенных в контур категорирования. Это особенно важно для крупных инфраструктур, где часть систем ранее могла не рассматриваться как объекты КИИ либо оцениваться по общим правилам без учета отраслевой специфики.

Как может помочь iTPROTECT

Эксперты iTPROTECT помогают организациям разобраться со спецификой новых отраслевых требований, определить состав объектов КИИ, провести инвентаризацию систем и инфраструктуры, пересмотреть результаты категорирования и подготовить комплект документов для комиссии и регуляторов.

Кроме того, команда iTPROTECT готова сопровождать  актуализацию сведений, направляемых во ФСТЭК России, Банк России и Минфин России, а также помогать с выстраиванием процесса регулярного пересмотра категорий.