Новости - страница публикации Новости - страница публикации
03 июня 2026

Путеводитель по актуальной нормативке для субъектов КИИ: категорирование, ГосСОПКА и требования к средствам защиты в 2026 году

Поделиться
vk tg
Регулирование критической информационной инфраструктуры в 2025–2026 годах заметно ужесточилось и стало более «операционным». Акцент сместился с разового выполнения требований к постоянному управлению безопасностью: актуализации сведений об объектах, регулярной оценке состояния защиты, обмену информацией с ГосСОПКА и проверке применяемых программных и программно-аппаратных средств.

1 сентября 2025 года вступил в силу ФЗ от 07.04.2025 № 58-ФЗ "О внесении изменений в ФЗ "О безопасности КИИ", запустивший масштабное обновление подзаконных актов. Закон закрепил отраслевой подход к категорированию, расширил полномочия Правительства РФ, ФСТЭК и ФСБ, уточнил состав сведений по значимым объектам КИИ и усилил требования к технологической основе таких объектов.

Ниже рассмотрим актуальные требования регуляторов по каждому из процессов, которым субъекты КИИ должны следовать или учесть при подготовке.

Переход к отраслевой модели при категорировании объектов КИИ

Одним из существенных изменений стало изменение порядка категорирования, которое закрепило Постановление Правительства Российской Федерации от 07.11.2025 № 1762. Теперь при расчёте показателей и присвоении категории значимости должны учитываться отраслевые особенности категорирования.

Распоряжением Правительства Российской Федерации от 26.02.2026 № 360-р утвержден перечень типовых объектов КИИ. Документ включает порядка 400 типовых объектов для 14 регулируемых отраслей.

Для организаций, ранее уже проводивших категорирование, это означает необходимость пересмотра результатов с учетом новой логики, прежде всего в тех сферах, для которых утверждены отраслевые особенности категорирования. На текущий момент Правительство утвердило такие особенности в следующих сферах: 

Для остальных сфер имеются проекты постановлений.

С 1 сентября 2025 года применяется новая форма направления сведений о результатах категорирования, согласно Приказу ФСТЭК России № 247 от 11.07.2025 (он изменил форму, утвержденную приказом ФСТЭК России № 236). 

С 1 сентября 2025 года также изменились правила ведения реестра значимых объектов КИИ. Приказ ФСТЭК России № 254 от 17.07.2025 ввел единый формат для реестровых номеров, а также необходимость помимо наименования значимого объекта передавать в ФСТЭК России сетевые и доменные адреса для идентификации таких объектов.

Что это означает для субъекта КИИ: необходимо пересмотреть перечень объектов, проверить соответствие типовым отраслевым объектам, обновить форму сведений и подготовить обоснования по объектам, которым категория не присваивается.

Другие изменения, которые вступят в силу с 1 сентября 2026 года

С 1 сентября 2026 года вступят в силу изменения в Приказы ФСТЭК России № 235 и № 239 (на текущий момент опубликован проект изменений). Обновления коснутся контроля безопасности значимых объектов критической информационной инфраструктуры (КИИ) и требований к средствам защиты информации.

Ключевое новшество - переход к регулярной оценке состояния защиты. Согласно новым положениям Приказа ФСТЭК России №235, субъекты КИИ будут обязаны регулярно рассчитывать два ключевых показателя:

  • Кзи – показатель защищённости значимых объектов КИИ;
  • Пзи – показатель уровня зрелости мер безопасности.

Показатель Кзи должен оцениваться не реже одного раза в шесть месяцев, а Пзи — каждые два года. Если рассчитанные значения Кзи или Пзи не соответствуют нормированным значениям, руководитель субъекта КИИ должен быть в течение 3 календарных дней проинформирован, чтобы принять решение о дополнительных мерах защиты. Результаты оценки показателей необходимо направлять во ФСТЭК России не позднее 5 рабочих дней после расчёта.

Для расчёт показателя Кзи утверждена Методика оценки показателя состояния технической защиты информации в информационных системах и обеспечения безопасности значимых объектах КИИ, для расчета показател Пзи ФСТЭК России 22 мая 2026 года опубликовала проект методики оценки уровня зрелости технической защищенности информационных систем и обеспечения безопасности значимых объектов критической информационной инфраструктуры (ЗО КИИ).

Показатели оценки состояния защиты информации

Что это означает для субъекта КИИ: Необходимо настроить процесс регулярного расчёта Кзи минимум раз в полгода и предоставления результатов во ФСТЭК России. Теперь необходимо не просто иметь комплект документов и внедрённые меры, а периодически подтверждать состояние защищенности в измеримом виде.

Переход от разовых уведомлений к непрерывному взаимодействию с ГосСОПКА

Поправки, предусмотренные ФЗ от 07.04.2025 №58 «О внесении изменений в ФЗ "О безопасности КИИ", дают право федеральной службе безопасности обрабатывать сведения о состоянии защищенности КИИ, утверждать требования к отдельным видам технических средств защиты информации и участвовать в расследовании компьютерных инцидентов. Таким образом ФСБ становится одним из ключевых органов, координирующих расследование инцидентов на объектах критической информационной инфраструктуры, организацию необходимых ресурсов и взаимодействие с иными ведомствами и службами. 

В конце 2025 года ФСБ выпустила ряд соответствующих приказов, которые вступили в силу с 30 января 2026 года.

Приказ ФСБ России № 540 от 24.12.2025 внес изменения в Положение о Национальном координационном центре по компьютерным инцидентам (НКЦКИ) и расширил его полномочия. Теперь НКЦКИ координирует аккредитованные центры ГосСОПКА, органы и организации по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и имеет право запрашивать данные о проведенных мероприятиях и устранении уязвимостей.

Приказ ФСБ России № 547 от 25.12.2025 утвердил новый порядок информирования ФСБ России о компьютерных атаках и компьютерных инцидентах, реагирования на них и ликвидации последствий атак в отношении значимых объектов КИИ и иных информационных ресурсов.

Установлены жесткие SLA по информированию: 

SLA по информированию

Приказ ФСБ России № 548 от 25.12.2025 утвердил порядок осуществления непрерывного взаимодействия владельцев значимых объектов КИИ с системой ГосСОПКА. Для этого организации должны обеспечить техническую возможность интеграции средств мониторинга, выявления и реагирования на инциденты с технической инфраструктурой ГосСОПКА. 

Через личный кабинет субъекта ГосСОПКА осуществляется направление информации о компьютерных атаках и инцидентах, связанных с функционированием значимых объектов КИИ, а также получение информации об угрозах безопасности информации, включая готовящиеся атаки, признаки инцидентов и необходимые меры противодействия. 

В случаях технических сбоев или отсутствия связи с личным кабинетом допускается отправка информации с использованием резервных каналов связи (почта и электронная почта).

Приказ ФСБ России № 546 от 25.12.2025 утвердил порядок обмена информацией о компьютерных атаках и инцидентах между субъектами КИИ, а также между субъектами КИИ и иностранными/международными организациями, работающими в области реагирования на компьютерные инциденты.

Сроки информирования: 

Сроки информирования

Приказ ФСБ России № 539 от 23.12.2025 устанавливает новый порядок предоставления информации о компьютерных атаках владельцам значимых объектов КИИ. Они обязаны получать указанную информацию путем обращения к официальному сайту по адресу: http://cert.gov.ru или направления запросов в НКЦКИ с использованием технической инфраструктуры НКЦКИ либо по резервным каналам при отсутствии подключения.

Что это означает для субъекта КИИ:  необходимо обновить регламенты реагирования и синхронизировать внутренние SLA с новыми сроками информирования НКЦКИ, настроить автоматический сбор данных по инцидентам. Важно назначить ответственных за взаимодействие с ГосСОПКА, проверить доступность личного кабинета или осуществить подключение, если оно отсутствовало, и убедиться в функционировании резервных каналов информирования.

Требования к средствам защиты информации

В 2026 году изменились требования не только к процессам, но и к средствам, которые используются для обнаружения, предупреждения, реагирования и ликвидации последствий компьютерных атак.

Приказ ФСБ России № 553 от 26.12.2025 года утвердил порядок и технические условия установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, включая средства поиска признаков атак.

Приказ ФСБ России № 554 от 26.12.2025 установил новые требования к таким средствам и признал утратившим силу приказ ФСБ № 196 от 6 мая 2019 года. К таким средствам относятся:

  • средства обнаружения компьютерных атак;
  • средства предупреждения компьютерных атак;
  • средства ликвидации последствий компьютерных атак;
  • средства поиска признаков компьютерных атак;
  • средства обмена информацией, необходимой для реагирования;
  • средства криптографической защиты информации, применяемые при обнаружении и реагировании.

Еще один важный блок изменений связан с использованием российского программного обеспечения на значимых объектах КИИ. 58-ФЗ закрепил соответствующую обязанность, а Федеральный закон № 325-ФЗ от 31.07.2025, вступивший в силу 1 марта 2026 года, расширил правовую базу для использования российского ПО, включая перечень программ, разработанных и используемых российскими юридическими лицами для собственных нужд. Закон исключает возможность использования на объектах КИИ решений, принадлежащих иностранным компаниям или контролируемых из-за рубежа.

Что сделать субъекту КИИ: необходимо провести инвентаризацию используемых средств, проверить их статус, порядок эксплуатации, готовность к информационному обмену с ГосСОПКА, оценить риски по иностранным решениям и подготовить план замены там, где это требуется.

Вывод 

Регулирование КИИ постепенно переходит от декларативной модели к постоянному контролю состояния безопасности. Для субъектов КИИ это означает, что недостаточно один раз провести категорирование и подготовить комплект документов. Нужно регулярно актуализировать сведения об объектах, подтверждать состояние защиты расчетными показателями, поддерживать взаимодействие с ГосСОПКА и проверять соответствие используемых средств новым требованиям.

В ближайший период субъектам КИИ стоит сосредоточиться на следующих задачах: 

  • Пересмотреть при необходимости результаты категорирования, скорректировать процесс в соответствии с новыми требованиями, а также обеспечить предоставление во ФСТЭК России сведений об объектах КИИ по новой форме.
  • Заранее продумать, как будет выстроен процесс по расчету показателей Кзи и Пзи, предоставление результатов во ФСТЭК России и периодический контроль показателей.
  • Настроить взаимодействие с ГосСОПКА и заранее проработать вопрос сбора сведений об инцидентах на значимых объектах КИИ с соблюдением регламента по срокам в 3 часа.
  • Проверить используемое ПО и средства защиты на соответствие обновленным требованиям.