Безопасность КИИ. Что ждет бизнес с 2026 года?

Если раньше компании могли сообщать о кибератаках разово, например, отправив письмо по электронной почте, то теперь это должно происходить в режиме реального времени через специальный личный кабинет. 

Фактически, ФСБ получит возможность оперативного контроля и координации всех действий в случае кибератак, становясь центральным узлом в борьбе с цифровыми угрозами для критически важных объектов.

Расширяющийся круг ответственности
Параллельно с этим меняется и подход к подрядчикам. Федеральная служба по техническому и экспортному контролю (ФСТЭК) готовит нормативные акты, которые обяжут всех исполнителей, имеющих доступ к IT-инфраструктуре критических объектов, соблюдать те же строгие требования по кибербезопасности, что и самих владельцев. Это прямое следствие выявленных проблем. По мнению ведомства, отсутствие контроля за действиями подрядчиков стало для рынка серьезной брешью в защите. Если в договоре не прописана ответственность, а подрядчик не знаком с внутренними правилами безопасности заказчика, то все требования остаются лишь на бумаге.

Почти треть атак с шифрованием происходит из-за незащищенных подрядчиков
Проверки ФСТЭК уже выявили более 1100 нарушений. Среди типичных проблем — несоответствие реального положения дел данным в реестре КИИ и игнорирование указа президента №250. Этот документ запрещает использовать на критических объектах средства защиты информации из недружественных стран. Несмотря на то, что срок его исполнения наступил еще 1 января 2025 года, многие компании до сих пор не перестроились. В ФСТЭК предупреждают, что период «мягкого» внедрения закончился, и за невыполнение указа теперь будут возбуждать административные дела.

К чему готовиться бизнесу?
Для многих резко возрастет административная нагрузка и затраты на соответствие требованиям. Компаниям придется не только наладить техническую возможность непрерывной передачи данных в ФСБ, но и пересмотреть все договоры с подрядчиками, включив в них новые обязательства и жесткие границы разделения ответственности.

Вероятно, ужесточится контроль за импортозамещением в IT. Указ №250 переходит в стадию активного внедрения, так как по мнению ФСТЭК время для размышлений и выбора уже прошло. Компаниям, которые до сих пор откладывали переход на отечественное программное обеспечение для защиты информации, придется делать это в срочном порядке, что сопряжено с дополнительными расходами и рисками совместимости.

В Госдуме предложили смягчить наказание для IT-специалистов
Теперь крупные компании-владельцы КИИ будут вынуждены требовать от своих, часто более мелких, подрядчиков полного соблюдения норм 187-ФЗ. Это может привести к очистке рынка от тех, кто не готов нести дополнительные издержки на безопасность, и к укрупнению игроков в сфере IT-аутсорсинга.

В целом, государство строит централизованную и жестко регулируемую экосистему кибербезопасности для критической инфраструктуры. Бизнесу придется стать ее прозрачной и управляемой частью, что неизбежно повлечет за собой рост затрат и бюрократической нагрузки, но, по замыслу регулятора, должно повысить общую устойчивость к киберугрозам.