тел:8 (800) 775-99-90

Личный кабинет

Выйти из системы

Сменить пользователя

Блог компании Cortel > Импортозамещение - ИТ на бизнес-языке > Критическая информационная инфраструктура в 2025 году: кого коснутся изменения и как избежать проблем

By 22.05.2025 Импортозамещение ИТ на бизнес-языке 0 Comments

Критическая информационная инфраструктура в 2025 году: кого коснутся изменения и как избежать проблем

Если вы думаете, что критическая информационная инфраструктура (КИИ) — это только про заводы-гиганты и госсектор, сейчас самое время передумать.

2025 год приготовил серьёзные испытания для всех, кто имеет отношение к КИИ. Думаете, это вас не коснется? Более 50 тысяч информационных систем, в том числе, частных бизнесов и предприятий, уже в списке, и он будет расширяться.

Весь этот список ждут требования к обязательному импортозамещению, усилению мер ИБ, штрафы и уголовная ответственность на главу и должностных лиц в случае невыполнения требований регуляторов.

Собрали всё, что нужно знать о КИИ в 2025 году, чтобы не нарваться на штраф и работать спокойно.

Что относится к объектам КИИ в 2025 году?

Объекты КИИ — это информационные системы, автоматизированные системы управления, либо информационно-телекоммуникационные сети. Они обеспечивают функционирование всех ключевых отраслей в России. 

Сейчас к сферам КИИ относят:

  • здравоохранение
  • науку
  • транспорт
  • связь
  • государственную регистрацию прав на недвижимое имущество и сделки с ним
  • банковскую сферу и иные сферы финансового рынка – топливно-энергетический комплекс
  • оборонную, ракетно-космическую, горнодобывающую, металлургическую и химическую промышленности
  • юридические лица, которые обеспечивают взаимодействие систем или сетей в перечисленных сферах.

Для крупного банка объектом КИИ может стать система электронных денежных переводов, а для химического производства — системы хранения и контроля опасных веществ. 
Есть вероятность, что в ближайшие годы список сфер КИИ расширится. В Госдуме уже обсуждали, что нужно дополнительно защищать сферы образования и социального обеспечения, в том числе детские сады и школы.

Правила категорирования. Что изменилось?

Любой объект КИИ нужно категорировать — чтобы государство могло установить корректные требования к безопасности. 

До 2024 года владелец объекта КИИ делал это самостоятельно: оценивал значимость объекта, а затем отправлять утвержденные акты во ФСТЭК. 

Многие предприниматели использовали это правило как лазейку для уклонения от обязанностей — подбирали данные так, чтобы доказать собственную непричастность к важным объектам КИИ.

Поэтому теперь Правительство само определяет важность объектов и распределяет их по трем категориям значимости. Для этого оно смотрит на значение организации для политики и экономики, на его роль в безопасности страны и поддержании порядка.

Если атака на объект КИИ приведёт к:

  • причинению ущерба жизни и здоровью людей;
  • нарушению предоставления государственных услуг;
  • ущербу интересам Российской Федерации в вопросах внутренней и внешней политики;
  • экономическому ущербу для государственного предприятия;
  • ущербу бюджетам Российской Федерации;
  • вредным воздействиям на окружающую среду –

– значит, оно относится к значимым объектам критической информационной инфраструктуры. К ним регуляторы и предъявляют большую часть требований по защите данных.

Таким образом, в 2025 году процесс категорирования объектов КИИ оказался чётко стандартизированным. С одной стороны, из-за единого списка сотрудникам предприятий больше не нужно самостоятельно определять значимость объекта. С другой – теперь государству легче выявлять несоответствия и вводить санкции. Мы предполагаем, что, если вы захотите опровергнуть принадлежность объекта КИИ к определенной категории, сделать это будет очень непросто.

Как разные объекты КИИ должны защищать информацию?

Если вы обнаружили, что вашу ИТ-инфраструктуру могут посчитать значимой, необходимо выполнить эти действия:

  1. Продумать план мероприятий. Важно просчитать, какие именно меры — технические, организационные и правовые — будут приниматься для защиты объектов КИИ.
  2. Разработать и реализовать меры защиты, которые будут зависеть от присвоенной категории. Нужно решить, как мониторить систему, быстро реагировать на инциденты, защищаться от угроз — и при этом соответствовать требованиям законодательства.

Однако если у объекта КИИ нет категории значимости, владельцам всё равно нужно обеспечивать базовую безопасность данных и соответствовать минимальным требованиям регуляторов.
Кроме того, все без исключения объекты КИИ обязаны оповещать ГосСОПКА о компьютерных инцидентах и предоставить информацию о:

  • дате, времени и месте нахождения объекта КИИ
  • причинно-следственных связях инцидента
  • связи с другими компьютерными инцидентами, если они есть
  • составе технических параметров компьютерного инцидента
  • последствиях инцидента.

Собственникам объектов КИИ без категории значимости нужно направить данные в течение 24 часов с момента обнаружения проблемы, а значимым объектам КИИ на выполнение этой задачи даётся не более трех часов.

Какие требования к импортозамещению для КИИ в 2025 году?

Любое нападение на объекты критической информационной инфраструктуры приравнивается к угрозе национальной безопасности. Чтобы защититься от иностранных «вторжений», последние 10 лет государство толкает ИТ-отрасль переходить на отечественные решения

С 1 января 2025 года всем органам государственной власти и компаниям с госучастием запретили использовать иностранное ПО — даже если оно было произведено в дружественном государстве. 

Закон 53-ФЗ, в свою очередь, обязывает все значимые объекты КИИ — в том числе коммерческие компании — к сентябрю 2025 года использовать преимущественно российский софт и отечественные программно-аппаратные средства. ФСБ также начнёт полностью контролировать установку и эксплуатацию средств защиты, а ещё — регламентировать порядок информирования о кибератаках. 
Вдобавок закон 187-ФЗ устанавливает: мониторинг за использованием российского ПО будет проводить Правительство РФ. При этом оно может устанавливать особые правила соблюдения новых норм в определенных регионах страны.

Что будет, если не соблюдать правила?

Власти ещё не наказывали тех, кто не успел отказаться от зарубежного программного обеспечения к 1 января. Кроме того, дедлайны импортозамещения перенесли – и многие владельцы объектов КИИ успокоились.

ТребованиеКомуСроки
Полностью отказаться от использования зарубежного ПО для работы КИИПодведомственным организациям и внебюджетным фондам2027 год
Коммерческим и госзакупщикам
Госкомпаниям, задействованным в программе цифровой трансформации
Госорганам2030 год
Выполнить переход на российское ПОСубъектам РФ, владеющим ЗО КИИ2025 год
Запретить покупку новых ПАК не у доверенных лицСубъектам КИИ в РоссииДо 01.09.2024
Уведомить ФСТЭК о планах применения доверенных ПАКДо 1 января 2025
Полностью отказаться от применения ПАК, не соответствующих требованиям импортозамещениядо 2029

Отказ от импортозамещения приведет. Юрлицам нужно будет платить от 50 до 100 тысяч рублей.

Ещё в Уголовном кодексе есть статья, которая предусматривает наказание за неправомерное воздействие на критическую инфраструктуру. Например, государство может наказать сотрудника, который вовремя не начал использовать отечественный софт и допустил хакерскую атаку.  Максимальное наказание за нарушение правил эксплуатации объекта КИИ — шесть лет лишения свободы.
Начать выполнять новые требования лучше до того, как штрафы вступят в силу. Если у вас остались вопросы о том, как с наименьшими потерями перевести объект КИИ на отечественный софт, или как соответствовать требованиям регуляторов в 2025 году – заполните форму. Наши эксперты свяжутся с вами и бесплатно проконсультируют по этой теме.