Новые правила ФСТЭК 2026: готов ли ваш бизнес?

Российский регуляторный ландшафт в области информационной безопасности претерпевает серьёзные изменения, которые уже влияют не только на крупные компании, но и на организации, которые традиционно считали себя далёкими от критической инфраструктуры. Новые приказы ФСБ и ФСТЭК, вступающие в силу в 2026 году, расширяют круг обязанных лиц и создают серьёзные вызовы для бизнеса, находящегося в «серой зоне» — между полноценными объектами критической информационной инфраструктуры (КИИ) и организациями, на которые ранее требования не распространялись.

Кто попадает под новые требования: расширение круга ответственности

Первое, что необходимо понять, — это то, что новые нормативные акты существенно расширяют определение того, кто считается субъектом КИИ. С 1 сентября 2025 года вступили в силу обновленные правила категорирования объектов КИИ, которые коренным образом изменили подход к идентификации критически важных объектов. Постановление Правительства РФ от 7 ноября 2025 года вносит серьёзные изменения во все четырнадцать сфер, охватываемых регулированием. В транспортной сфере дополнительный акцент сделан на организации, осуществляющие грузовые и пассажирские перевозки. В сфере связи усилены требования к устойчивости инфраструктуры. В области государственного управления расширен круг охватываемых организаций. В финансовом секторе под регулирование дополнительно попадают операторы цифрового рубля, микрофинансовые организации и бюро кредитных историй. В оборонно-промышленном комплексе теперь учитывается роль организации в выполнении государственного оборонного заказа. Ключевой момент — введение концепции «типовых объектов КИИ». Правительство совместно с отраслевыми регуляторами утверждает типовые перечни объектов для каждой отрасли. Это означает, что даже если ваша компания не проводила категорирование или считала, что её инфраструктура не критична, она может оказаться в реестре ФСТЭК просто потому, что соответствует типовому описанию. Органы власти и организации, наделённые полномочиями по мониторингу, теперь должны сообщать во ФСТЭК России не только о нарушении сроков категорирования и недостоверных сведениях, но и о несоблюдении отраслевых особенностей, а также о выявлении информационных систем, сетей и АСУ, которые соответствуют типовым объектам КИИ и не прошли категорирование. Это означает, что «некатегорированные, но типовые» объекты формально становятся фактором риска.

Новые требования для подрядчиков: неожиданное расширение обязательств

Одно из самых значительных нововведений 2026 года касается подрядчиков, работающих с критической инфраструктурой. ФСТЭК планирует с 2026 года обязать всех исполнителей, имеющих доступ к IT-инфраструктуре критических объектов, соблюдать те же строгие требования по кибербезопасности, что и самих владельцев. Это нововведение не случайно. По данным экспертов, каждая десятая кибератака в 2025 году была реализована через уязвимости подрядчиков. За десять месяцев 2025 года ФСТЭК выявила 1100 нарушений при проверках объектов КИИ, включая применение импортных средств защиты, несоответствие данных реестру и отсутствие контроля за подрядчиками. Среди типовых проблем отмечается несоответствие состава объектов данным реестра значимых объектов КИИ, что в 98% случаев приводит к административным делам. Для компаний, которые предоставляют услуги подрядчиков другим организациям, это означает серьёзные перемены. Им придётся создавать изолированные сегменты инфраструктуры для работы с объектами КИИ, что потребует дополнительных инвестиций. Однако это позволит обслуживать клиентов с разными уровнями требований к безопасности и избежать проблем с регулятором. Практически это означает, что если ваша компания работает с любыми организациями, имеющими статус КИИ (даже если вы сами не являетесь КИИ), вам необходимо будет: - Наладить внутренний порядок предоставления доступа к системам клиентов - Вести логирование всех действий сотрудников и подрядчиков, имеющих доступ к инфраструктуре КИИ - Включить требования по информационной безопасности в договоры с клиентами - Обеспечить соответствие требованиям, установленным Приказом ФСТЭК № 239 (63 меры по защите значимых объектов КИИ)

Технические требования и обязательства: что нужно внедрить

Приказ ФСТЭК № 239 устанавливает 63 меры по защите значимых объектов КИИ. Хотя этот приказ формально адресован объектам КИИ, практика проверок ФСТЭК уже требует от организаций, работающих с КИИ, обеспечения выполнения этих требований. К основным требованиям относятся: Идентификация и аутентификация — организации должны внедрить надёжные механизмы проверки личности пользователей, включая многофакторную аутентификацию для критичных систем. Управление доступом — необходимо разработать и внедрить политику управления доступом, которая ограничивает права пользователей в соответствии с принципом наименьших привилегий. Регистрация и мониторинг событий — все события, связанные с доступом к критичным системам, должны логироваться и подвергаться анализу. Антивирусная защита — обязательное использование средств защиты от вредоноса, включённых в реестр Минцифры. Управление уязвимостями — регулярное сканирование систем на предмет уязвимостей и их своевременное устранение. Резервное копирование — регулярное создание резервных копий критичных данных с проверкой их целостности. Анализ защищённости — проведение регулярных тестов на проникновение и оценки уровня защиты. Обучение персонала — обязательное обучение сотрудников основам информационной безопасности. Кроме того, с января 2026 года в силу вступают требования к взаимодействию с системой ГосСОПКА — системой ФСБ для мониторинга и реагирования на кибератаки. На критически важных площадках предстоит внедрить специальные средства для обнаружения и блокировки атак, а также инструменты для анализа их признаков и последствий. Это означает, что компаниям придётся наладить техническую возможность непрерывной передачи данных в ФСБ.

Импортозамещение и отечественное программное обеспечение

Параллельно с расширением требований по безопасности ужесточается контроль за импортозамещением в IT. Указ № 250 переходит в стадию активного внедрения, так как по мнению ФСТЭК время для размышлений и выбора уже прошло. Компаниям, которые до сих пор откладывали переход на отечественное программное обеспечение для защиты информации, придётся делать это в срочном порядке. Это сопряжено с дополнительными расходами и рисками совместимости. Необходимо переходить на отечественные решения для: - Средств защиты информации - Систем мониторинга и анализа - Инструментов резервного копирования - Решений для управления доступом Многие компании сталкиваются с проблемой совместимости отечественных решений с существующей инфраструктурой, поэтому переход требует тщательного планирования и может занять значительное время.

Практические шаги для компаний «серой зоны»

Организациям, которые не совсем уверены, попадают ли они под новые требования, необходимо предпринять следующие шаги: Проведите инвентаризацию — составьте полный список всех информационных систем, сетей и автоматизированных систем управления в вашей организации. Определите, какие из них участвуют в критических бизнес-процессах. Ознакомьтесь с типовыми перечнями — отслеживайте публикацию типовых перечней объектов КИИ для вашей отрасли. По плану правительство должно опубликовать эти перечни к апрелю 2026 года. Проверьте, соответствуют ли ваши системы типовым описаниям. Проведите категорирование — если вы определили, что ваша организация может быть отнесена к КИИ, проведите категорирование в соответствии с новыми правилами. Новый порядок упрощает этот процесс: после определения объектов КИИ, участвующих в критических процессах, вы сразу приступаете к оценке масштаба возможных последствий инцидентов в соответствии с перечнем показателей критериев значимости. Направьте сведения во ФСТЭК — после проведения категорирования направьте сведения о результатах во ФСТЭК России в установленной форме. ФСТЭК проверяет соблюдение порядка категорирования в течение 30 дней со дня получения сведений. Обновите договоры — если вы работаете с подрядчиками или сами являетесь подрядчиком, обновите договоры, включив в них новые обязательства по информационной безопасности и жесткие границы разделения ответственности. Начните внедрение требований — не ждите, пока регулятор выявит нарушения. Начните постепенное внедрение требований Приказа ФСТЭК № 239, начиная с наиболее критичных мер. Обучите персонал — обеспечьте обучение сотрудников основам информационной безопасности и требованиям новых нормативных актов.

Риски и последствия несоответствия

Компаниям, которые игнорируют новые требования, грозят серьёзные последствия. Регулятор получил расширенные полномочия для контроля за правильностью категорирования и выполнением требований безопасности. ФСТЭК активно проводит проверки и выявляет нарушения. Если организация не представит сведения о категорировании во ФСТЭК, регулятор направит требование представить информацию с указанием срока около 60 календарных дней. Несоблюдение этого требования может привести к административным делам и штрафам. Кроме того, регулятор предъявляет требования через общие формулировки типа «обеспечить выполнение требований информационной безопасности в отношении лиц, имеющих доступ к значимым объектам КИИ». Если в договорах с подрядчиками отсутствуют соответствующие обязательства, это считается нарушением. Компаниям, которые работают с объектами КИИ, необходимо понимать, что они берут на себя часть ответственности за безопасность этих объектов. Нарушения могут привести не только к штрафам, но и к репутационному ущербу и потере клиентов. В условиях активизации регуляторного контроля и расширения требований, компаниям, находящимся в «серой зоне», необходимо действовать проактивно. Лучше предпринять необходимые шаги сейчас, чем столкнуться с требованиями регулятора позже. Инвестиции в информационную безопасность и соответствие требованиям нормативных актов — это не просто обязательство перед регулятором, но и защита собственных интересов бизнеса.