Правительство утвердило единый перечень типовых отраслевых объектов КИИ

26 февраля 2026 года было опубликовано и сразу вступило в силу распоряжение Правительства РФ от 26.02.2026 № 360-р. Документ принят во исполнение законодательства о безопасности КИИ и формирует единую нормативную основу для определения объектов, подлежащих рассмотрению в рамках категорирования. Специалисты департамента консалтинга и аудита iTPROTECT проанализировали обновление и рассказали, что теперь нужно сделать участникам рынка.

Практическое значение распоряжения состоит в том, что на уровне Правительства закреплён единый перечень типовых объектов, на который должны ориентироваться субъекты КИИ при определении контура категорирования. Для каждого типового объекта в перечне указаны типовые процессы и функции, выполнение которых он обеспечивает, а также вид деятельности субъекта КИИ, к которому такой объект относится.

Почему это важно для организаций

Утверждение перечня отраслевых объектов закрепляет более формализованный подход к определению объектов КИИ. Если ранее на практике состав объектов во многом определялся на основании внутреннего анализа субъекта КИИ, то теперь требуется сопоставление информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления с утверждёнными типовыми объектами.

Иными словами, у комиссии по категорированию появляется формальная точка отсчёта: сначала необходимо установить, соответствует ли конкретная система, сеть или АСУ утвержденному типу, и только затем переходить к оценке последствий и расчёту показателей критериев значимости.

Основной практический риск: объект, который ранее не был включён в контур категорирования либо не воспринимался как типовой, теперь может прямо соответствовать утвержденному типу. В таком случае потребуется не только пересмотреть выводы комиссии, но и актуализировать сведения, ранее направленные регулятору. Для части организаций, которые ранее не рассматривали себя как субъектов КИИ либо исходили из ограниченного перечня объектов, возникает необходимость повторно оценить собственный ИТ-ландшафт на предмет наличия объектов, соответствующих утвержденным типам.

На что следует обратить внимание

Перечень целесообразно применять не изолированно, а в связке с действующей редакцией правил категорирования и отраслевыми особенностями, если они уже утверждены для соответствующей сферы.

Проверка должна вестись не только по наименованию системы, но и по её функции, роли в технологическом или управленческом процессе, обрабатываемой информации, архитектурному назначению и виду деятельности субъекта КИИ.

Отсутствие объекта в перечне само по себе не исключает необходимости категорирования. Если объект по последствиям компьютерного инцидента достигает критериев значимости, он подлежит оценке по общим правилам. При этом, если субъект КИИ выявляет объект, который не относится к типам, включённым в утвержденный перечень, но соответствует показателям критериев значимости, требуется не только провести категорирование в общем порядке, но и направить сведения во ФСТЭК России, чтобы инициировать вопрос о дополнении перечня типовых объектов.

Теперь в контур регулирования попадают не только очевидные технологические или производственные системы, но и обеспечивающие контуры, а также потенциально расширится круг субъектов КИИ. С точки зрения охвата это особенно заметно по составу самого перечня: в нем фигурируют информационные системы фармацевтических организаций, региональные информационные системы ОМС, системы, взаимодействующие с ЕГИСЗ (Единая государственная информационная система в сфере здравоохранения), информационные системы бюро кредитных историй и микрофинансовых компаний. В зависимости от сферы в перечень также включены системы контроля и управления доступом, системы хранения и резервного копирования данных, платформы обучения и управления персоналом, решения, связанные с использованием электронной подписи, а также системы, размещённые в центрах обработки данных и обеспечивающие вычислительные и телекоммуникационные ресурсы.

Что делать субъектам КИИ уже сейчас

1. Провести инвентаризацию используемых информационных систем, сетей и автоматизированных систем управления, включая общие платформенные и инфраструктурные сервисы.
2. Сопоставить выявленные объекты с утверждённым перечнем типовых отраслевых объектов КИИ.
3. Оценить необходимость пересмотра ранее принятых решений по категорированию.
4. При наличии оснований актуализировать акты категорирования, материалы комиссии, обоснования и расчеты.
5. При изменении состава объектов или результатов категорирования актуализировать сведения, ранее направленные во ФСТЭК России.
6. Отдельно проверить объекты, которые ранее не рассматривались как объекты КИИ, но фактически обеспечивают значимые процессы, хранение данных, сетевое взаимодействие, управление доступом либо эксплуатацию отраслевой инфраструктуры. 

Чем может помочь iTPROTECT

Команда iTPROTECT может провести инвентаризацию систем и инфраструктуры, сформировать полный перечень объектов КИИ, собрать необходимые материалы для категорирования и расчетов, подготовить комплект документов для рассмотрения комиссией и направления сведений во ФСТЭК России.

В текущих условиях категорирование следует рассматривать как постоянный процесс, связанный с изменением законодательства, развитием инфраструктуры и актуализацией перечней. Специалисты iTPROTECT смогут на постоянной основе сопровождать бизнес по этим вопросам: поддерживать актуальность перечня объектов, информировать об изменениях регулирования, обеспечивать пересмотр категорирования и помогать с подготовкой ответов на запросы регулятора.

Нужна помощь с категорированием? Напишите нам — поможем разобраться.