Изменения в 187-ФЗ (О безопасности КИИ). Обсуждаем, какими будут новые требования и как им соответствовать?
Специалисты АБП2Б провели открытый вебинар, посвящённый изменениям в 187-ФЗ, вступившим в силу с 1 сентября 2025 года. Эксперты разобрали, как поправки влияют на категорирование объектов КИИ, почему расширяются полномочия ГосСОПКА и какие новые обязанности появляются у владельцев значимых объектов.
На встрече подробно обсудили следующие изменения:
Если кратко: изменения серьёзные, затрагивают инфраструктуру, документы, процессы и бюджет.
Чтобы подготовиться, организациям нужно актуализировать сведения, пересмотреть меры защиты, обновить регламенты и сформировать план импортозамещения.
Подробнее обо всех изменениях ниже в полной статье.
Видеозапись вебинара можно посмотреть по ссылке.
Разбираем, что поменялось в 187-ФЗ и почему это важно
Закон 187-ФЗ продолжает меняться, и осенью 2025 года компании столкнулись с очередной волной поправок. На вебинаре эксперты подробно разобрали, что именно вступило в силу, какие изменения затронут процессы категорирования и какие требования появятся у владельцев значимых объектов КИИ.
Усиление роли ГосСОПКА и изменения в 58-ФЗ
Главная точка внимания — поправки к 187-ФЗ, внесённые Федеральным законом № 58-ФЗ от 07.04.2025. Они вступили в силу 1 сентября и стали сигналом об увелечении полномочий ФСТЭК России и ГосСОПКА.
В 187-ФЗ появились полномочия, по которым в том числе значимые объекты КИИ тоже в скором времени будут обязаны подключаться к сегменту ГосСОПКА, о чем нам подробно расскажут предстоящие изменения в приказах ФСБ. Это расширяет объём работ по мониторингу, реагированию на инциденты и документированию взаимодействия.
Также была обновлена форма № 236. Теперь необходимо указывать IP-адреса и доменные имена. Это обязательное требование при категорировании и актуализации сведений.
Исключение индивидуальных предпринимателей и новые определения
Из числа субъектов КИИ исключены ИП. Это снижает нагрузку на регулятора и убирает требования к малому бизнесу, который фактически не управляет объектами, способными нанести крупный ущерб в случае инцидента. Это изменение было подчеркнуто на вебинаре, как логичное и давно назревшее.
Помимо этого, введены новые понятия:
Ранее в каждой из 14 сфер существовали собственные перечни, в том числе под грифом «ДСП», из-за чего компании часто не знали о их существовании, что затрудняло и без того объемную процедуру. Ожидается, что новый подход должен сделать процесс прозрачнее.
Категорирование. Сроки и практика применения
Один из самых болезненных вопросов — это сроки категорирования. Спикеры подчеркнули, что в законодательстве долгие годы не было прямого указания, в какой срок организация должна завершить процедуру. На практике ФСТЭК отправлял письмо-требование с тридцатидневным сроком, но эта цифра нигде формально не существовала.
Теперь механизм закреплён:
Отдельно отмечается, что понятие «критический процесс» будет исключено, и соответствующие изменения готовятся в 127-е постановление Правительства Р Ф. Данное понятие не было закреплено ни в одном ГОСТе или ином нормативно-правовом акте, что создавало разночтения и затрудняло процедуру категорирования. В связи с чем было предложено отказаться от данного понятия и трудозатратных процедур по выявлению таких процессов.
Административная и уголовная ответственность
Если на объекте КИИ происходит компьютерный инцидент или атака, которые влекут за собой последствия, ответственность за это в отношении руководителя может наступить вплоть до уголовной. Это особенно критично для систем с высокой значимостью, где простой или компрометация могут привести к ущербу или остановке деятельности.
Административная ответственность также сохраняется — в рамках КоАП и требований ФСТЭК.
Импортозамещение и переход на ПАК
Отдельно поднимался вопрос импортозамещения. Были озвучены ключевые моменты:
Марк Баранов — ведущий специалист по технической защите информации «АБП2Б», отметил практическую сложность: отечественные решения могут быть дорогими, а иногда несовместимыми с существующей инфраструктурой. В ряде случаев организациям приходится усиливать защиту организационными или компенсирующими мерами.
Требования к квалификации для сотрудников
Для персонала, отвечающего за безопасность КИИ, действуют требования к профессиональнойподготовке:
Эти нормы остаются актуальными и не менялись, но подчеркивались как критические при проверках.
Реальная практика коммуникации с ФСТЭК
На вебинаре был сделан важный акцент. Взаимодействие с территориальными управлениями ФСТЭК России зависит от конкретной организации и сферы, в которой она функционирует.
В большинстве сфер ответы чаще дают территориальные управления.
Но, например, в финансовом секторе многие вопросы решает центральный аппарат.
Важно не бояться задавать вопросы регулятору — предоставление методических рекомендаций одна из его функций.
Для оперативной консультации можно обращаться по телефону.
Для получения официального ответа можно направить запрос в форме официального письма или указать его на сайте ФСТЭК России в рамках обращения гражданина.
Что организации нужно сделать сейчас?
Эксперты АПБ2Б рекомендуют предпринять следующие действия уже сейчас:
Изменения в 187-ФЗ делают требования к объектам КИИ более жёсткими и структурированными. Усилена роль ГосСОПКА, обновлены формы и определения, вводится единый перечень объектов, перерабатывается порядок категорирования. Компании должны заранее подготовиться к проверкам: актуализировать данные, обновить документы и обеспечить соответствие требованиям импортозамещения.
Если вашей организации требуется провести категорирование, актуализацию сведений, подготовить регламенты или оценить влияние последних изменений 187-ФЗ на инфраструктуру, вы можете обратиться к экспертам компании АБП2Б. Команда сопровождает проекты по КИИ в разных сферах, работает с требованиями ФСТЭК России в практическом режиме и помогает выстроить соответствие законодательству без лишних затрат и формальностей.
Подробнее о наших продуктах, вы можете узнать на наших сайтах:
О компании АБП2Б (пентесты, аудиты ИБ, категорирование КИИ)
Менеджер паролей ОдинКлюч
SSH/SFTP/RDP/VNC-клиент МС22
Платформа для инвентаризации ИТ-активов ОдинХаб
Специалисты АБП2Б провели открытый вебинар, посвящённый изменениям в 187-ФЗ, вступившим в силу с 1 сентября 2025 года. Эксперты разобрали, как поправки влияют на категорирование объектов КИИ, почему расширяются полномочия ГосСОПКА и какие новые обязанности появляются у владельцев значимых объектов.
На встрече подробно обсудили следующие изменения:
- Исключение индивидуальных предпринимателей из субъектов КИИ;
- Обновление формы № 236 (включая доменные имена);
- Появление единого перечня объектов КИИ и отраслевых особенностей;
- Отсутствие чёткого срока категорирования и новые механизмы контроля;
- Предстоящие изменения в 127-м постановлении Правительства Р Ф (убирают критические процессы);
- Требования по импортозамещению и переходу на отечественные ПАК;
- Ответственность организаций и практические риски;
- Что именно нужно проверить внутри компании уже сейчас.
Если кратко: изменения серьёзные, затрагивают инфраструктуру, документы, процессы и бюджет.
Чтобы подготовиться, организациям нужно актуализировать сведения, пересмотреть меры защиты, обновить регламенты и сформировать план импортозамещения.
Подробнее обо всех изменениях ниже в полной статье.
Видеозапись вебинара можно посмотреть по ссылке.
Разбираем, что поменялось в 187-ФЗ и почему это важно
Закон 187-ФЗ продолжает меняться, и осенью 2025 года компании столкнулись с очередной волной поправок. На вебинаре эксперты подробно разобрали, что именно вступило в силу, какие изменения затронут процессы категорирования и какие требования появятся у владельцев значимых объектов КИИ.
Усиление роли ГосСОПКА и изменения в 58-ФЗ
Главная точка внимания — поправки к 187-ФЗ, внесённые Федеральным законом № 58-ФЗ от 07.04.2025. Они вступили в силу 1 сентября и стали сигналом об увелечении полномочий ФСТЭК России и ГосСОПКА.
В 187-ФЗ появились полномочия, по которым в том числе значимые объекты КИИ тоже в скором времени будут обязаны подключаться к сегменту ГосСОПКА, о чем нам подробно расскажут предстоящие изменения в приказах ФСБ. Это расширяет объём работ по мониторингу, реагированию на инциденты и документированию взаимодействия.
Также была обновлена форма № 236. Теперь необходимо указывать IP-адреса и доменные имена. Это обязательное требование при категорировании и актуализации сведений.
Исключение индивидуальных предпринимателей и новые определения
Из числа субъектов КИИ исключены ИП. Это снижает нагрузку на регулятора и убирает требования к малому бизнесу, который фактически не управляет объектами, способными нанести крупный ущерб в случае инцидента. Это изменение было подчеркнуто на вебинаре, как логичное и давно назревшее.
Помимо этого, введены новые понятия:
- Отраслевые особенности,
- Единый перечень объектов КИИ, который заменит разрозненные ведомственные перечни.
Ранее в каждой из 14 сфер существовали собственные перечни, в том числе под грифом «ДСП», из-за чего компании часто не знали о их существовании, что затрудняло и без того объемную процедуру. Ожидается, что новый подход должен сделать процесс прозрачнее.
Категорирование. Сроки и практика применения
Один из самых болезненных вопросов — это сроки категорирования. Спикеры подчеркнули, что в законодательстве долгие годы не было прямого указания, в какой срок организация должна завершить процедуру. На практике ФСТЭК отправлял письмо-требование с тридцатидневным сроком, но эта цифра нигде формально не существовала.
Теперь механизм закреплён:
- ФСТЭК вправе направить требование о проведении категорирования в установленный им срок.
- Срок, как таковой, в законе не прописан, но теперь регулятор вправе его установить.
Отдельно отмечается, что понятие «критический процесс» будет исключено, и соответствующие изменения готовятся в 127-е постановление Правительства Р Ф. Данное понятие не было закреплено ни в одном ГОСТе или ином нормативно-правовом акте, что создавало разночтения и затрудняло процедуру категорирования. В связи с чем было предложено отказаться от данного понятия и трудозатратных процедур по выявлению таких процессов.
Административная и уголовная ответственность
Если на объекте КИИ происходит компьютерный инцидент или атака, которые влекут за собой последствия, ответственность за это в отношении руководителя может наступить вплоть до уголовной. Это особенно критично для систем с высокой значимостью, где простой или компрометация могут привести к ущербу или остановке деятельности.
Административная ответственность также сохраняется — в рамках КоАП и требований ФСТЭК.
Импортозамещение и переход на ПАК
Отдельно поднимался вопрос импортозамещения. Были озвучены ключевые моменты:
- Ранее требования к использованию отечественного ПО и оборудования были закреплены в указах и постановлениях;
- Теперь они закреплены на уровне закона;
- Для значимых объектов КИИ требуется план перехода на программно-аппаратные комплексы (ПАК) российского производства;
- Сроки могут смещаться, но переход обязателен.
Марк Баранов — ведущий специалист по технической защите информации «АБП2Б», отметил практическую сложность: отечественные решения могут быть дорогими, а иногда несовместимыми с существующей инфраструктурой. В ряде случаев организациям приходится усиливать защиту организационными или компенсирующими мерами.
Требования к квалификации для сотрудников
Для персонала, отвечающего за безопасность КИИ, действуют требования к профессиональнойподготовке:
- Профильный диплом либо программа дополнительного образования,
- Переподготовка не реже одного раза в три года.
Эти нормы остаются актуальными и не менялись, но подчеркивались как критические при проверках.
Реальная практика коммуникации с ФСТЭК
На вебинаре был сделан важный акцент. Взаимодействие с территориальными управлениями ФСТЭК России зависит от конкретной организации и сферы, в которой она функционирует.
В большинстве сфер ответы чаще дают территориальные управления.
Но, например, в финансовом секторе многие вопросы решает центральный аппарат.
Важно не бояться задавать вопросы регулятору — предоставление методических рекомендаций одна из его функций.
Для оперативной консультации можно обращаться по телефону.
Для получения официального ответа можно направить запрос в форме официального письма или указать его на сайте ФСТЭК России в рамках обращения гражданина.
Что организации нужно сделать сейчас?
Эксперты АПБ2Б рекомендуют предпринять следующие действия уже сейчас:
- Проверить актуальность сведений. Многие компании отправляют старые данные, хотя инфраструктура давно изменилась.
- Подготовить список внешних IP-адресов и доменных имён для внесения в форму 236.
- Проверить СЗИ: валидность, обновления, соответствие установленным регламентам.
- Проверить антивирус, убедиться, что обновления регулярны.
- Провести внутренний контроль: убедиться в отсутствии следов несанкционированного доступа.
- Проверить политики разграничения доступа.
- Провести повторную ревизию мер защиты.
- Подготовить план перехода на отечественные ПАК, в случае его отсутствия.
- Проверить квалификацию сотрудников, занятых в обеспечении безопасности объектов КИИ.
Изменения в 187-ФЗ делают требования к объектам КИИ более жёсткими и структурированными. Усилена роль ГосСОПКА, обновлены формы и определения, вводится единый перечень объектов, перерабатывается порядок категорирования. Компании должны заранее подготовиться к проверкам: актуализировать данные, обновить документы и обеспечить соответствие требованиям импортозамещения.
Если вашей организации требуется провести категорирование, актуализацию сведений, подготовить регламенты или оценить влияние последних изменений 187-ФЗ на инфраструктуру, вы можете обратиться к экспертам компании АБП2Б. Команда сопровождает проекты по КИИ в разных сферах, работает с требованиями ФСТЭК России в практическом режиме и помогает выстроить соответствие законодательству без лишних затрат и формальностей.
Подробнее о наших продуктах, вы можете узнать на наших сайтах:
О компании АБП2Б (пентесты, аудиты ИБ, категорирование КИИ)
Менеджер паролей ОдинКлюч
SSH/SFTP/RDP/VNC-клиент МС22
Платформа для инвентаризации ИТ-активов ОдинХаб