Новые требования 187-ФЗ о безопасности КИИ и как соответствовать новым правилам

Специалисты АБП2Б провели открытый вебинар, посвящённый изменениям в 187-ФЗ, вступившим в силу с 1 сентября 2025 года. Эксперты разобрали, как поправки влияют на категорирование объектов КИИ, почему расширяются полномочия ГосСОПКА и какие новые обязанности появляются у владельцев значимых объектов.

На встрече подробно обсудили следующие изменения:

• Исключение индивидуальных предпринимателей из субъектов КИИ;
• Обновление формы № 236 (включая доменные имена);
• Появление единого перечня объектов КИИ и отраслевых особенностей;
• Отсутствие чёткого срока категорирования и новые механизмы контроля;
• Предстоящие изменения в 127-м постановлении Правительства Р Ф (убирают критические процессы);
• Требования по импортозамещению и переходу на отечественные ПАК;
• Ответственность организаций и практические риски;
• Что именно нужно проверить внутри компании уже сейчас.

Если кратко: изменения серьёзные, затрагивают инфраструктуру, документы, процессы и бюджет. Чтобы подготовиться, организациям нужно актуализировать сведения, пересмотреть меры защиты, обновить регламенты и сформировать план импортозамещения. Подробнее обо всех изменениях ниже в полной статье. Видеозапись вебинара можно посмотреть по ссылке.

Закон 187-ФЗ продолжает меняться, и осенью 2025 года компании столкнулись с очередной волной поправок. На вебинаре эксперты подробно разобрали, что именно вступило в силу, какие изменения затронут процессы категорирования и какие требования появятся у владельцев значимых объектов КИИ.

Усиление роли ГосСОПКА и изменения в 58-ФЗ
Главная точка внимания — поправки к 187-ФЗ, внесённые Федеральным законом № 58-ФЗ от 07.04.2025. Они вступили в силу 1 сентября и стали сигналом об увелечении полномочий ФСТЭК России и ГосСОПКА.
В 187-ФЗ появились полномочия, по которым в том числе значимые объекты КИИ тоже в скором времени будут обязаны подключаться к сегменту ГосСОПКА, о чем нам подробно расскажут предстоящие изменения в приказах ФСБ. Это расширяет объём работ по мониторингу, реагированию на инциденты и документированию взаимодействия.
Также была обновлена форма № 236. Теперь необходимо указывать IP-адреса и доменные имена. Это обязательное требование при категорировании и актуализации сведений.

Исключение индивидуальных предпринимателей и новые определения
Из числа субъектов КИИ исключены ИП. Это снижает нагрузку на регулятора и убирает требования к малому бизнесу, который фактически не управляет объектами, способными нанести крупный ущерб в случае инцидента. Это изменение было подчеркнуто на вебинаре, как логичное и давно назревшее.

Помимо этого, введены новые понятия:

• Отраслевые особенности,
• Единый перечень объектов КИИ, который заменит разрозненные ведомственные перечни.

Ранее в каждой из 14 сфер существовали собственные перечни, в том числе под грифом «ДСП», из-за чего компании часто не знали о их существовании, что затрудняло и без того объемную процедуру. Ожидается, что новый подход должен сделать процесс прозрачнее.

Категорирование. Сроки и практика применения
Один из самых болезненных вопросов — это сроки категорирования. Спикеры подчеркнули, что в законодательстве долгие годы не было прямого указания, в какой срок организация должна завершить процедуру. На практике ФСТЭК отправлял письмо-требование с тридцатидневным сроком, но эта цифра нигде формально не существовала.

Теперь механизм закреплён:

• ФСТЭК вправе направить требование о проведении категорирования в установленный им срок.
• Срок, как таковой, в законе не прописан, но теперь регулятор вправе его установить.

Отдельно отмечается, что понятие «критический процесс» будет исключено, и соответствующие изменения готовятся в 127-е постановление Правительства Р Ф. Данное понятие не было закреплено ни в одном ГОСТе или ином нормативно-правовом акте, что создавало разночтения и затрудняло процедуру категорирования. В связи с чем было предложено отказаться от данного понятия и трудозатратных процедур по выявлению таких процессов.

Административная и уголовная ответственность
Если на объекте КИИ происходит компьютерный инцидент или атака, которые влекут за собой последствия, ответственность за это в отношении руководителя может наступить вплоть до уголовной. Это особенно критично для систем с высокой значимостью, где простой или компрометация могут привести к ущербу или остановке деятельности. Административная ответственность также сохраняется — в рамках КоАП и требований ФСТЭК.

Импортозамещение и переход на ПАК
Отдельно поднимался вопрос импортозамещения. Были озвучены ключевые моменты:

• Ранее требования к использованию отечественного ПО и оборудования были закреплены в указах и постановлениях;
• Теперь они закреплены на уровне закона;
• Для значимых объектов КИИ требуется план перехода на программно-аппаратные комплексы (ПАК) российского производства;
• Сроки могут смещаться, но переход обязателен.

Марк Баранов — ведущий специалист по технической защите информации «АБП2Б», отметил практическую сложность: отечественные решения могут быть дорогими, а иногда несовместимыми с существующей инфраструктурой. В ряде случаев организациям приходится усиливать защиту организационными или компенсирующими мерами.

Требования к квалификации для сотрудников
Для персонала, отвечающего за безопасность КИИ, действуют требования к профессиональной подготовке: профильный диплом либо программа дополнительного образования, переподготовка не реже одного раза в три года. Эти нормы остаются актуальными и не менялись, но подчеркивались как критические при проверках.

На вебинаре был сделан важный акцент. Взаимодействие с территориальными управлениями ФСТЭК России зависит от конкретной организации и сферы, в которой она функционирует. В большинстве сфер ответы чаще дают территориальные управления. Но, например, в финансовом секторе многие вопросы решает центральный аппарат. Важно не бояться задавать вопросы регулятору — предоставление методических рекомендаций одна из его функций. Для оперативной консультации можно обращаться по телефону. Для получения официального ответа можно направить запрос в форме официального письма или указать его на сайте ФСТЭК России в рамках обращения гражданина.

Эксперты АПБ2Б рекомендуют предпринять следующие действия уже сейчас:

• Проверить актуальность сведений. Многие компании отправляют старые данные, хотя инфраструктура давно изменилась.
• Подготовить список внешних IP-адресов и доменных имён для внесения в форму 236.
• Проверить СЗИ: валидность, обновления, соответствие установленным регламентам.
• Проверить антивирус, убедиться, что обновления регулярны.
• Провести внутренний контроль: убедиться в отсутствии следов несанкционированного доступа.
• Проверить политики разграничения доступа.
• Провести повторную ревизию мер защиты.
• Подготовить план перехода на отечественные ПАК, в случае его отсутствия.
• Проверить квалификацию сотрудников, занятых в обеспечении безопасности объектов КИИ.

Изменения в 187-ФЗ делают требования к объектам КИИ более жёсткими и структурированными. Усилена роль ГосСОПКА, обновлены формы и определения, вводится единый перечень объектов, перерабатывается порядок категорирования. Компании должны заранее подготовиться к проверкам: актуализировать данные, обновить документы и обеспечить соответствие требованиям импортозамещения.
Если вашей организации требуется провести категорирование, актуализацию сведений, подготовить регламенты или оценить влияние последних изменений 187-ФЗ на инфраструктуру, вы можете обратиться к экспертам компании АБП2Б. Команда сопровождает проекты по КИИ в разных сферах, работает с требованиями ФСТЭК России в практическом режиме и помогает выстроить соответствие законодательству без лишних затрат и формальностей.