Law Messenger

Изменения в сфере регулирования безопасности критической информационной инфраструктуры (КИИ)

20.10.2025 г.

Ранее мы освещали вопросы ограничений на использование иностранного ПО на объектах КИИ в соответствии с Указами Президента РФ № 166 и № 250.

В 2025 году были приняты значимые поправки к Федеральному закону от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – Закон о КИИ), направленные на усиление технологической независимости и безопасности КИИ. Эти изменения, введенные Федеральным законом от 7 апреля 2025 года № 58-ФЗ (вступили в силу с 1 сентября 2025 года) и Федеральным законом от 31 июля 2025 года № 325-ФЗ (вступает в силу с 1 марта 2026 года), затрагивают состав субъектов КИИ, вводят для них новые обязанности. Предлагаем разобрать ключевые нововведения, которые требуют от компаний оперативной адаптации подходов к категорированию объектов КИИ и к составу используемого программного обеспечения.

Изменения, связанные с определением субъектов КИИ

С 1 сентября 2025 года субъектами КИИ, по общему правилу, признаются только юридические лица и государственные органы, осуществляющие деятельность в установленных сферах и владеющие объектами КИИ. Поправки исключают возможность отнесения индивидуальных предпринимателей к этой категории.
При этом изменения, вступившие в силу с 1 сентября 2025 года, распространяют отдельные обязанности (напр. информирование о компьютерных атаках и инцидентах, установка средств обнаружения, взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – ГосСОПКА)) также на российские юридические лица под контролем РФ или субъектов РФ, не являющиеся субъектами КИИ. Данное требование потенциально применимо к широкому кругу компаний – как минимум ко всем лицам, в отношении которых применяется 44-ФЗ и 223-ФЗ, активам под управлением Росимущества (в связи с возросшим применением ст.169 ГК по искам Генеральной прокуратуры, таких активов становится больше).
С 1 сентября 2025 года Правительство РФ уполномочено утверждать перечни типовых отраслевых объектов КИИ[1], а также отраслевых особенностей категорирования объектов[2]. Данное изменение может повлечь пересмотр и еще большее расширение круга юридических лиц, которые будут признаваться субъектами КИИ.

Введение новых обязанностей для субъектов КИИ

С 1 сентября 2025 года субъекты КИИ будут обязаны непрерывно взаимодействовать с ГосСОПКА, включая установку средств обнаружения компьютерных атак и инцидентов (в том числе для поиска признаков атак) и информирование уполномоченного органа о таких инцидентах.
Помимо этого, с 1 сентября 2025 года Законом о КИИ вводится обязанность субъектов КИИ использовать на значимых объектах ПО, включенное в Единый реестр российских программ для электронных вычислительных машин и баз данных[3]. Также вводятся требования к программно-аппаратным средствам, которые будут установлены в актах Правительства РФ. Переход на такие ПО и средства осуществляется в порядке и сроки, устанавливаемые уполномоченными органами (на данный момент соответствующие подзаконные акты не приняты).
При этом с 1 марта 2026 года появится альтернативный вариант исполнения данной обязанности в виде использования ПО, включенного в не существующий пока перечень российских программ для электронных вычислительных машин и баз данных, разработанных и используемых для собственных нужд российскими юридическими лицами[4]. Для того, чтобы внести ПО в данный перечень, нужно будет предоставить доказательства принадлежности прав на ПО российскому правообладателю (с учетом требований по контролю правообладателей российскими лицами). Кроме того, программа не должна составлять государственную тайну.
Напомним, что за нарушения требований Закона о КИИ юридические лица и их должностные лица могут быть привлечены к административной ответственности с назначением штрафа до 500 000 руб. на юридических лиц и до 50 000 руб. на должностных лиц. А в том случае, если несоблюдение требований повлекло причинение вреда КИИ, виновные должностные лица могут быть привлечены к уголовной ответственности вплоть до лишения свободы на срок до 5 лет с назначением штрафа в размере до 1 000 000 руб.

Наши рекомендации и чем может помочь Б1

В ближайшее время компаниям следует уделить особое внимание определению статуса субъекта КИИ, проведению категорирования с учетом типовых перечней и отраслевых особенностей, а также переходу на отечественное ПО и аппаратные средства.

Учитывая неопределенность в отношении переходных периодов, мы рекомендуем заранее планировать принятие мер для соблюдения новых требований (провести миграцию на российские сервисы или подготовить документы для регистрации российского ПО и баз данных в соответствующих реестрах и перечнях).

Команда Б1 готова оказать поддержку по различным вопросам, связанным с определением принадлежности наших клиентов к субъектам КИИ, осуществить юридическое сопровождение процедуры категорирования объектов КИИ, включая подготовку позиции для взаимодействия с органами, а также помочь с мониторингом соблюдения новых обязанностей и подготовкой необходимых документов для миграции на российское ПО.

Показать сноски

Авторы

Наталья Аристова

Партнер Б1

Отдел по оказанию юридических услуг. Эксперт по вопросам корпоративного, финансового и банковского права, а также санкционного комплаенса, энергетического и экологического законодательства

Связаться

Дмитрий Семенов

Директор Б1

Отдел по оказанию юридических услуг, департамент налогов, права и сопровождения бизнеса. Руководитель IP-практики. Специализируется на широком спектре вопросов, связанных с интеллектуальной собственностью

Связаться