тел:8 (800) 775-99-90

Личный кабинет

Выйти из системы

Сменить пользователя

Блог компании Cortel > Импортозамещение - ИТ на бизнес-языке > Критическая информационная инфраструктура в 2025 году: кого коснутся изменения и как избежать проблем

By 22.05.2025 Импортозамещение ИТ на бизнес-языке 0 Comments

Критическая информационная инфраструктура в 2025 году: кого коснутся изменения и как избежать проблем

Если вы думаете, что критическая информационная инфраструктура (КИИ) — это только про заводы-гиганты и госсектор, сейчас самое время передумать.

2025 год приготовил серьёзные испытания для всех, кто имеет отношение к КИИ. Думаете, это вас не коснется? Более 50 тысяч информационных систем, в том числе, частных бизнесов и предприятий, уже в списке, и он будет расширяться.

Весь этот список ждут требования к обязательному импортозамещению, усилению мер ИБ, штрафы и уголовная ответственность на главу и должностных лиц в случае невыполнения требований регуляторов.

Собрали всё, что нужно знать о КИИ в 2025 году, чтобы не нарваться на штраф и работать спокойно.

Что относится к объектам КИИ в 2025 году?

Объекты КИИ — это информационные системы, автоматизированные системы управления, либо информационно-телекоммуникационные сети. Они обеспечивают функционирование всех ключевых отраслей в России. 

Сейчас к сферам КИИ относят:

  • здравоохранение
  • науку
  • транспорт
  • связь
  • государственную регистрацию прав на недвижимое имущество и сделки с ним
  • банковскую сферу и иные сферы финансового рынка – топливно-энергетический комплекс
  • оборонную, ракетно-космическую, горнодобывающую, металлургическую и химическую промышленности
  • юридические лица, которые обеспечивают взаимодействие систем или сетей в перечисленных сферах.

Для крупного банка объектом КИИ может стать система электронных денежных переводов, а для химического производства — системы хранения и контроля опасных веществ. 
Есть вероятность, что в ближайшие годы список сфер КИИ расширится. В Госдуме уже обсуждали, что нужно дополнительно защищать сферы образования и социального обеспечения, в том числе детские сады и школы.

Правила категорирования. Что изменилось?

Любой объект КИИ нужно категорировать — чтобы государство могло установить корректные требования к безопасности. 

До 2024 года владелец объекта КИИ делал это самостоятельно: оценивал значимость объекта, а затем отправлять утвержденные акты во ФСТЭК. 

Многие предприниматели использовали это правило как лазейку для уклонения от обязанностей — подбирали данные так, чтобы доказать собственную непричастность к важным объектам КИИ.

Поэтому теперь Правительство само определяет важность объектов и распределяет их по трем категориям значимости. Для этого оно смотрит на значение организации для политики и экономики, на его роль в безопасности страны и поддержании порядка.

Если атака на объект КИИ приведёт к:

  • причинению ущерба жизни и здоровью людей;
  • нарушению предоставления государственных услуг;
  • ущербу интересам Российской Федерации в вопросах внутренней и внешней политики;
  • экономическому ущербу для государственного предприятия;
  • ущербу бюджетам Российской Федерации;
  • вредным воздействиям на окружающую среду –

– значит, оно относится к значимым объектам критической информационной инфраструктуры. К ним регуляторы и предъявляют большую часть требований по защите данных.

Таким образом, в 2025 году процесс категорирования объектов КИИ оказался чётко стандартизированным. С одной стороны, из-за единого списка сотрудникам предприятий больше не нужно самостоятельно определять значимость объекта. С другой – теперь государству легче выявлять несоответствия и вводить санкции. Мы предполагаем, что, если вы захотите опровергнуть принадлежность объекта КИИ к определенной категории, сделать это будет очень непросто.

Как разные объекты КИИ должны защищать информацию?

Если вы обнаружили, что вашу ИТ-инфраструктуру могут посчитать значимой, необходимо выполнить эти действия:

  1. Продумать план мероприятий. Важно просчитать, какие именно меры — технические, организационные и правовые — будут приниматься для защиты объектов КИИ.
  2. Разработать и реализовать меры защиты, которые будут зависеть от присвоенной категории. Нужно решить, как мониторить систему, быстро реагировать на инциденты, защищаться от угроз — и при этом соответствовать требованиям законодательства.

Однако если у объекта КИИ нет категории значимости, владельцам всё равно нужно обеспечивать базовую безопасность данных и соответствовать минимальным требованиям регуляторов.
Кроме того, все без исключения объекты КИИ обязаны оповещать ГосСОПКА о компьютерных инцидентах и предоставить информацию о:

  • дате, времени и месте нахождения объекта КИИ
  • причинно-следственных связях инцидента
  • связи с другими компьютерными инцидентами, если они есть
  • составе технических параметров компьютерного инцидента
  • последствиях инцидента.

Собственникам объектов КИИ без категории значимости нужно направить данные в течение 24 часов с момента обнаружения проблемы, а значимым объектам КИИ на выполнение этой задачи даётся не более трех часов.

Какие требования к импортозамещению для КИИ в 2025 году?

Любое нападение на объекты критической информационной инфраструктуры приравнивается к угрозе национальной безопасности. Чтобы защититься от иностранных «вторжений», последние 10 лет государство толкает ИТ-отрасль переходить на отечественные решения

С 1 января 2025 года всем органам государственной власти и компаниям с госучастием запретили использовать иностранное ПО — даже если оно было произведено в дружественном государстве. 

Закон 53-ФЗ, в свою очередь, обязывает все значимые объекты КИИ — в том числе коммерческие компании — к сентябрю 2025 года использовать преимущественно российский софт и отечественные программно-аппаратные средства. ФСБ также начнёт полностью контролировать установку и эксплуатацию средств защиты, а ещё — регламентировать порядок информирования о кибератаках. 
Вдобавок закон 187-ФЗ устанавливает: мониторинг за использованием российского ПО будет проводить Правительство РФ. При этом оно может устанавливать особые правила соблюдения новых норм в определенных регионах страны.

Что будет, если не соблюдать правила?

Власти ещё не наказывали тех, кто не успел отказаться от зарубежного программного обеспечения к 1 января. Кроме того, дедлайны импортозамещения перенесли – и многие владельцы объектов КИИ успокоились.

ТребованиеКомуСроки
Полностью отказаться от использования зарубежного ПО для работы КИИПодведомственным организациям и внебюджетным фондам2027 год
Коммерческим и госзакупщикам
Госкомпаниям, задействованным в программе цифровой трансформации
Госорганам2030 год
Выполнить переход на российское ПОСубъектам РФ, владеющим ЗО КИИ2025 год
Запретить покупку новых ПАК не у доверенных лицСубъектам КИИ в РоссииДо 01.09.2024
Уведомить ФСТЭК о планах применения доверенных ПАКДо 1 января 2025
Полностью отказаться от применения ПАК, не соответствующих требованиям импортозамещениядо 2029

Отказ от импортозамещения приведет. Юрлицам нужно будет платить от 50 до 100 тысяч рублей.


Начать выполнять новые требования лучше до того, как штрафы вступят в силу. Если у вас остались вопросы о том, как с наименьшими потерями перевести объект КИИ на отечественные решения, или как соответствовать требованиям регуляторов в 2025 году – просто напишите нам. Мы перезвоним и поможем =)