Новые правила для КИИ. Разбор Постановления Правительства РФ №1762 от 7 ноября 2025 г.

Выясняем, что именно изменилось в правилах категорирования КИИ, какие организации теперь подпадают под регулирование, где кроются подводные камни нового подхода, и как на практике компаниям адаптироваться к этим требованиям. А также разбираем конкретный кейс, чтобы все стало совсем понятно.

Суть постановления

Итак, 7 ноября 2025 года правительство внесло изменения в целый ряд своих актов, которые регулируют категорирование объектов КИИ. Основной документ, в который вносятся правки – это Правила категорирования, утвержденные еще в 2018 году. 

Из критериев категорирования исключено понятие критического процесса. 

Давайте вспомним, как было раньше. Чтобы понять, является ли ваш объект КИИ, вы смотрели на три группы критериев:

1. Социальная значимость (угроза жизни и здоровью людей, нарушение порядка, экология).
2. Политическая значимость (угроза обороноспособности, безопасности государства).
3. Экономическая значимость (ущерб экономике, нарушения в финансовой сфере).

И внутри этих групп нужно было выявить критические процессы, остановка или нарушение которых приведет к негативным последствиям. Это требовало глубокого внутреннего анализа, часто вызывало вопросы: «А действительно ли этот процесс критический? А где грань?».

Теперь эта грань определяется государством. Вместо общего критерия критического процесса вводятся отраслевые перечни значимых объектов. Фактически, если вы работаете в определенной отрасли и занимаетесь определенной деятельностью – вы автоматически попадаете в поле зрения как потенциальный объект КИИ.

Что это значит на практике? Резко снижается субъективизм на первом этапе. Не компания сама решает, есть ли у нее критический процесс, а регулятор смотрит в перечень. Ваша организация есть в этом списке видов деятельности? Значит, далее вы обязаны провести категорирование.

Второе ключевое изменение: фокус на микрофинансовых организациях (МФО) и бюро кредитных историй (БКИ). Для них вводятся новые, конкретные показатели для определения степени значимости. Это четкие числовые пороги: объем кредитного портфеля, количество запросов в БКИ, количество заемщиков. Перешагнули порог – готовьтесь к категорированию.

Что и кто теперь подпадает под новые спецификации?

Отраслевой принцип
Вы попадаете под обязательное категорирование, если ведете деятельность, включенную в новые отраслевые перечни. Какие это отрасли? 

• ТЭК (объекты генерации, магистральные трубопроводы, нефтепереработка).
• Транспорт (крупные транспортные узлы, управление движением).
• Связь (опорные сети, центры обработки данных).
• Финансовый рынок (банки, платежные системы, теперь еще и МФО/БКИ).
• Промышленность (предприятия оборонно-промышленного комплекса (ОПК), атомной промышленности, металлургии, химии).
• Здравоохранение (федеральные медицинские центры).
• Наука (ядерные исследовательские установки).

При этом важна не просто отрасль, а вид деятельности внутри нее. Например, не вся металлургия, а производство специальных сталей и сплавов для ВПК. Не вся химия, а производство взрывчатых веществ. Эти перечни становятся основным навигатором.

Специальный критерий для оборонки
Отдельно, и это прямо прописано в новых разъяснениях ФСТЭК, стоит критерий, который идет вне зависимости от отраслевых перечней. Он звучит так:

«Если компания выполняет государственный оборонный заказ (ГОЗ), то ее информационная инфраструктура является КИИ».

Это железобетонное правило. Не может являться, а является. Здесь уже не нужно смотреть в перечни. Важен факт наличия контракта с Министерством обороны, «Роскосмосом», «Росатомом» (по оборонной тематике) или с другим силовым ведомством. 

Социальная и политическая значимость
Эти критерии никуда не делись. Но теперь они будут применяться, скорее, как дополнительный фильтр или как основа для включения того или иного вида деятельности в отраслевой перечень. Например, в перечень точно попадут водоочистные сооружения мегаполиса (социальная значимость) или избирательная комиссия (политическая).

Итак, алгоритм для компании теперь такой:

1. Смотрите, есть ли у вас контракт по ГОЗ? Если ДА – вы объект КИИ, переходите к этапу категорирования.
2. Если нет, смотрите, входите ли вы в новый отраслевой перечень по своему основному виду деятельности? Если ДА – вы потенциальный объект КИИ, обязаны провести категорирование.
3. Если вы МФО или БКИ – сверяетесь с количественными показателями. Превышаете – категорирование обязательно.

Узкие места и вопросы трактовки

Узкое место №1: Оборонные заказы
Критерий с ГОЗ кажется простым. Но что считать оборонным заказом?

Прямой контракт с Минобороны на поставку бронежилетов – очевидно, ДА. А контракт с дочкой «Ростеха», которая является субподрядчиком по тому же бронежилету? Вы – субсубподрядчик. Вы делаете нитки для бронежилета. Вы – КИИ? Формально, ваш продукт идет в цепочке ГОЗ. С высокой вероятностью регулятор скажет ДА. А если вы поставляете канцелярские скрепки для офиса этого завода? Тоже КИИ? Вот здесь начинается зона неопределенности. Трактовка может быть очень широкой.

Узкое место №2: Гибридные компании
Представьте крупный холдинг. У него есть гражданское направление (производство удобрений) и небольшое, но важное направление по ГОЗ (производство спецхимии). Инфраструктура у них частично общая: один ЦОД, общие каналы связи, общие системы управления предприятиями (ERP). Весь холдинг теперь КИИ? Или нужно вычленить и защитить только сегмент, связанный с ГОЗ? На практике выделить сегмент очень сложно, и регулятор, скорее всего, будет рассматривать всю инфраструктуру как объект защиты, что повлечет колоссальные расходы.

Узкое место №3: Динамичность отраслевых перечней
Отрасли развиваются. Появляются новые технологии, новые виды услуг. Будет ли оперативно обновляться перечень? Компания, которая сегодня не в списке, завтра может разработать прорывную технологию для той же энергетики и де-факто стать критической, но де-юре не подпадать под регулирование. 

Узкое место №4: Пороги для МФО/БКИ
Представим МФО, которое в результате успешной работы за квартал перескакивает порог. И теперь должно в срочном порядке (по закону сроки категорирования строго лимитированы) провести сложнейшую работу: инвентаризацию, категорирование, внедрение систем защиты. Это требует резкого увеличения затрат и может поставить бизнес в крайне сложное положение. 

Узкое место №5: Ответственность за трактовку
Раньше компания могла провести внутренний анализ и прийти к выводу, что критических процессов нет. Теперь, если ее вид деятельности есть в перечне, она обязана категорировать. Но кто и как будет верифицировать, что ее деятельность точно соответствует формулировке из перечня? Опять возможны споры. Например, перечень говорит «обслуживание аэропортов федерального значения». А если компания обслуживает только IT-системы кафе в таком аэропорту? 

Кейс. Стекольный завод и бронированные стекла

Допустим, есть компания – стекольный завод «Прозрачность». 90% его продукции – это стекла для гражданского строительства, автомобилей, мебели. Завод современный, автоматизированный. Все управляется через систему ERP, есть CAD-системы для разработки, автоматизированные линии.
Однажды они выигрывают тендер Министерства обороны РФ на поставку бронированных стекол для военной техники. Они создают отдельную технологическую линию, но используют общую сеть завода, общие серверы для конструкторской документации, общую систему управления.

По старым правилам	По новым правилам
Компания должна была бы проанализировать, является ли процесс производства бронированных стекол критическим. Можно было бы пытаться аргументировать, что это лишь малая часть бизнеса, что гражданские процессы не критичны, и т.д. Была бы лазейка для дискуссии. Риск невыполнения требований по КИИ существовал, но был не 100%-ным.	Тут все однозначно. Критерий №1: наличие ГОЗ. У завода есть контракт с Минобороны. Значит, информационная инфраструктура завода является объектом КИИ. Далее, нужно определить категорию значимости. Здесь будут учитываться последствия сбоя. Срыв поставок бронированных стекол для нужд обороны – это прямая угроза обороноспособности страны (политическая значимость – высший балл).

Скорее всего, заводу будет присвоена первая, самая высокая, категория значимости. Это повлечет за собой:

• Обязательство создать Систему безопасности КИИ (СБ КИИ) высшего класса защищенности.
• Установку средств защиты информации от компьютерных атак (СЗИ от КА).
• Жесткие требования к резервированию, инцидент-менеджменту, аттестации.
• Постоянный надзор со стороны ФСТЭК.

Вся ИТ-инфраструктура завода, включая гражданские сегменты, теперь подпадает под требования КИИ. Бухгалтерия, отдел продаж оконных стекол – все должно быть защищено по стандартам оборонного предприятия. Это колоссальные капитальные и операционные расходы. Возможно, экономически целесообразно будет физически и логически разделить инфраструктуру: построить отдельный завод для оборонного заказа со своей изолированной сетью, своими серверами. Но это тоже огромные затраты.

Выполнение даже небольшого ГОЗа превращает любую  компанию в стратегический объект защиты. Важно понимать это до подписания контракта и закладывать эти расходы в его стоимость.

Что делать, если вы попадаете под регулирование? 

Шаг 0. Прежде чем брать госзаказ или выходить на новые рынки из перечня, оценить будущие затраты на соответствие КИИ. 

Шаг 1. Назначить руководителя и ответственного за КИИ. 

Шаг 2. Категорирование:

• Выделить технологические процессы, связанные с критической деятельностью.
• Определить критические информационные ресурсы, их поддерживающие.
• Определить границы информационной инфраструктуры, где эти ресурсы находятся.
• Рассчитать количественные показатели значимости и присвоить категорию (I, II или III).

Шаг 3. Направить в ФСТЭК результаты категорирования. 

Шаг 4. Защита:

	Срок с момента внесения в реестр
Разработать и согласовать Модель угроз с ФСТЭК. Без согласования  нельзя переходить к защите	≤ 90 дней
Утвердить План защиты, включающий меры, бюджет, график, ответственных	≤ 120 дней
Внедрить СЗИ из реестра Минцифры (СОВ, АВ, сканеры, при необходимости DLP)	≤ 12 месяцев
Построить СБ КИИ: организационные регламенты, сегментацию сети, резервирование, мониторинг (24/7 для категории I)	≤ 12 месяцев
Пройти аттестацию через аккредитованную лабораторию. Получить Акт о соответствии. Без него эксплуатация запрещена	≤ 12 месяцев
Направить первый отчет в ФСТЭК. Далее отчитываться ежегодно	≤ 30 дней после аттестации

Шаг 5. Эксплуатация и поддержание соответствия: мониторинг, реагирование на инциденты, обновление.

Последствия неисполнения

• Административная ответственность: для юрлиц – штрафы до 1 млн рублей, приостановление деятельности.
• Уголовная ответственность (по ст. 274.1 УК РФ) за непредставление сведений или нарушение правил эксплуатации, повлекшее тяжкие последствия.
• Репутационные риски: потеря доверия государства, исключение из реестра поставщиков для ГОЗ.
• Операционные риски: без защиты объект КИИ – легкая мишень для целевых кибератак, которые могут привести к физическому ущербу и остановке.

Выводы

Круг субъектов КИИ четко очерчивается. Это снижает неопределенность для бизнеса. Основные критерии попадания под регулирование: наличие ГОЗ и попадание в отраслевой перечень. Финансовый сектор получил цифровые метрики.

Узкие места есть, и они связаны с трактовкой гибридных моделей, динамикой бизнеса и скачкообразным попаданием под действие закона при достижении порогов.

ГОЗ – это не только выручка, но и огромная ответственность и затраты. Бизнесу необходимо закладывать в бизнес-планы и контракты расходы на соответствие требованиям КИИ, а также выстраивать проактивный диалог с регуляторами.