Лицензия ФСБ — помощь в получении
Стандарт надёжности в лицензировании
Москва
Ежедневно с 10:00 до 20:00
8 800 707-81-25

Изменения в 187-ФЗ: ключевые поправки

Время прочтения: 5 мин.

Обновление законодательства в сфере КИИ России вступит в силу с 1 сентября 2025 года

25 марта 2025 года Государственная Дума приняла в третьем чтении законопроект, вносящий существенные изменения в Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Поправки не просто уточняют формулировки — они меняют сам подход к регулированию одной из самых уязвимых и значимых сфер в цифровом суверенитете страны. Теперь будет действовать отраслевой подход к категорированию объектов КИИ, уточнены понятия инцидентов и атак, а требования к импортозамещению становятся не рекомендацией, а жёсткой нормой.

Реформа, по сути, являет собой новый этап построения системы цифровой обороны государства. Упраздняется прежний формализм, вводятся 30-дневные проверки ФСТЭК по существу, и ужесточаются правила по взаимодействию с ГосСОПКА. Индивидуальные предприниматели выведены из-под действия закона — знак того, что регулирование концентрируется на крупном бизнесе и госсекторе.

Все изменения вступят в силу уже 1 сентября 2025 года, а значит, у субъектов КИИ остаётся совсем немного времени, чтобы подготовиться: пересмотреть категорирование, проверить программное обеспечение, перестроить процессы взаимодействия с госструктурами. Те, кто не успеют — рискуют не просто попасть под санкции, но и оказаться за бортом системы национальной безопасности.

1. Отраслевой подход к категорированию объектов КИИ

Правительство РФ теперь получило полномочия утверждать перечни типовых отраслевых объектов КИИ и устанавливать особенности их категорирования (п. 4–5 ст. 6 в ред. 58-ФЗ). Это позволит учесть специфику здравоохранения, транспорта, энергетики и других отраслей.

Цитата из закона:
«…перечни типовых отраслевых объектов критической информационной инфраструктуры… отраслевые особенности категорирования объектов критической информационной инфраструктуры» (ст. 6, ч.2, п. 4–5, 187-ФЗ).

Что делать:

  • До 1 сентября 2025 года руководствоваться Постановлением Правительства № 127 от 08.02.2018.
  • После вступления изменений в силу — переоценить объекты КИИ с учётом новых отраслевых правил.

2. Отмена 10-дневного срока на возврат сведений о КИИ

Упразднён 10-дневный срок для рассмотрения ФСТЭК сведений о категорировании объектов КИИ. Также исключена возможность возврата документов из-за «необоснованного присвоения категории».

Цитата из закона:
«Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, в тридцатидневный срок со дня получения сведений, указанных в части 5 настоящей статьи, проверяет соблюдение порядка осуществления категорирования с учётом перечней типовых отраслевых объектов критической информационной инфраструктуры, отраслевых особенностей категорирования объектов критической информационной инфраструктуры и правильность присвоения объекту критической информационной инфраструктуры одной из категорий значимости.» (ст. 7, ч. 6, 187-ФЗ).

Что изменилось:

  • Устранены формальные поводы для возврата документов.
  • Акцент на содержательную проверку с учётом отраслевых методик.

3. Импортозамещение и технологическая независимость

Вводятся новые требования к ПО и техническим средствам для значимых объектов КИИ, включая обязательный переход на российское ПО.

Цитата из закона:
«Использовать на значимых объектах критической информационной инфраструктуры программное обеспечение… сведения о котором включены в единый реестр российских программ для электронных вычислительных машин и баз данных» (ст. 9, ч. 3, п. 5, 187-ФЗ).

Что делать:

  • Оценить используемое ПО и оборудование на соответствие будущим требованиям.
  • Заложить бюджет перехода на отечественные решения.

4. Уточнение понятий: инцидент и атака

Закон закрепляет различия между компьютерным инцидентом и атакой (ст. 2, 187-ФЗ). Также расширяется круг организаций, где могут быть установлены средства ГосСОПКА.

Цитата из закона:
«Компьютерная атака — целенаправленное воздействие программных и (или) программно-аппаратных средств на объекты критической информационной инфраструктуры… компьютерный инцидент — факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры…» (ст. 2, п. 4–5 187-ФЗ).

5. Непрерывное взаимодействие с ГосСОПКА

Усилены требования к подключению к ГосСОПКА. Возможны два варианта:

  1. Через отраслевые центры с соглашениями НКЦКИ.
  2. Напрямую (API, личный кабинет, email).
Цитата из закона:
«Осуществлять непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации…» (ст. 9, ч. 3, п. 7, 187-ФЗ).

6. Исключение ИП из числа субъектов КИИ

Из определения субъектов КИИ исключены индивидуальные предприниматели (ст. 2, п. 8, 187-ФЗ).

Цитата из закона:
«…государственные органы, государственные учреждения, российские юридические лица…» (п. 8 ст. 2 в ред. 58-ФЗ).

Почему это важно:

  • Снижение нагрузки на малый бизнес.
  • Концентрация регулирования на крупных организациях.

Что делать ИП:

  • Уточнить статус объектов КИИ после 1 сентября 2025 года.
  • При передаче систем юрлицам — обеспечить их соответствие требованиям 187-ФЗ.

Рекомендации для субъектов КИИ

До 1 сентября 2025 года необходимо:

  1. Пересмотреть категории объектов КИИ по новым правилам.
  2. Проверить соответствие ПО и оборудования требованиям импортозамещения.
  3. Организовать подключение к ГосСОПКА.
  4. Отслеживать выход подзаконных актов, конкретизирующих поправки.

Обновлённый 187-ФЗ усиливает контроль за критической инфраструктурой, делая акцент на отраслевую специфику и технологический суверенитет. Субъектам КИИ важно начать подготовку уже сейчас.

Хотите избежать ошибок? Проконсультируем бесплатно!

Опишите ситуацию — мы подскажем, как действовать по закону и без лишних затрат.