Можно ли не проводить категорирование, если мы уверены, что незначимы?

Нет. Категорирование обязательно независимо от ожидаемого результата. Непредставление во ФСТЭК сведений или нарушение сроков — самостоятельное правонарушение по ч. 1 ст. 19.7.15 КоАП: должностные лица 10–50 тыс ₽, юрлица 50–100 тыс ₽.

Актуально · июнь 2026

Нормативная база и документы субъекта КИИ

Q: Систему обслуживает подрядчик / ИТ на аутсорсе — кто субъект КИИ?

Субъектом остаётся владелец (правообладатель) системы — тот, кому она принадлежит на законном основании. Передача обслуживания подрядчику не делает аутсорсера субъектом и не снимает обязанностей с владельца: ответственность за безопасность объекта остаётся на вас (п. 8 ст. 2 187-ФЗ).

Q: Система размещена в арендованном облаке или ЦОД — чей это объект?

Субъект КИИ — владелец информации и системы (заказчик), а не облачный провайдер. Провайдер не становится субъектом по факту аренды, но обязан обеспечить уровень защищённости площадки, требуемый для категории объекта. Зоны ответственности закрепляются договором (приказ ФСТЭК № 239).

Что обязан иметь субъект критической информационной инфраструктуры — и как объём требований зависит от того, есть ли у вас значимые объекты. Учтены изменения 2025–2026 гг.

187-ФЗ ПП № 1762 ФСТЭК № 235 / 239 ФСБ № 282 / 367

Объект КИИ → Категорирование → результат

Значимый (ЗОКИИ)К1К2К3

Категорирование + система безопасности, меры защиты, реестр, ГосСОПКА

Незначимый

Только категорирование и направление сведений в ФСТЭК

Это про вас? Кто такой субъект КИИ

Прежде чем разбираться с документами — поймите, относится ли закон к вам. Субъект КИИ — это госорган, государственное учреждение или российское юридическое лицо, которому на праве собственности, аренды или ином законном основании принадлежат информационные системы, сети (ИТКС) или АСУ, работающие в одной из установленных законом сфер. С 01.09.2025 индивидуальные предприниматели из числа субъектов КИИ исключены (ФЗ № 58-ФЗ).

14 сфер, в которых возникает статус субъекта КИИ

Здравоохранение Наука Транспорт Связь Энергетика Госрегистрация прав на недвижимость Банки и финрынок ТЭК Атомная энергия Оборонная промышленность Ракетно-космическая Горнодобывающая Металлургическая Химическая промышленность

Перечень закреплён в п. 8 ст. 2 187-ФЗ (в ред. ФЗ № 58-ФЗ). Субъектами признаются также юрлица, обеспечивающие взаимодействие таких систем и сетей.

≡Простыми словамиЕсли ваша организация работает в одной из этих сфер и у неё есть ИТ-системы, обслуживающие основную деятельность, — вы, скорее всего, субъект КИИ. Это не зависит от того, есть ли у вас «значимые» объекты: статус субъекта возникает раньше, на входе.

iСубъект и объект — не одно и то же. Субъект — ваша организация. Объект — конкретная система (ИС, сеть или АСУ). У одного субъекта может быть несколько объектов, и каждый проходит категорирование отдельно.

С чего начать — пошаговый маршрут

Если вы только разобрались, что относитесь к субъектам КИИ, — вот порядок действий. Сначала обязательное для всех (категорирование), затем дополнительный блок, если по итогам есть значимые объекты.

Понять статус и охват старт

Проверьте, относитесь ли вы к субъектам КИИ (см. раздел «Это про вас?»), и составьте предварительный список систем, обслуживающих вашу деятельность.

Создать комиссию и перечень объектов первые недели

Издайте приказ о комиссии по категорированию, сопоставьте свои системы с перечнем типовых отраслевых объектов (№ 360-р) и сформируйте внутренний перечень объектов КИИ. Утверждённый перечень направьте в ФСТЭК — на это 5 рабочих дней.

Категорировать и направить результаты до 1 года

Подготовьте материалы обоснования, проведите категорирование, оформите акты по каждому объекту. Сведения о результатах (в том числе «категория не присвоена») направьте в ФСТЭК — 10 рабочих дней после утверждения акта.

Закрыть требования Указа № 250 параллельно

Назначьте заместителя руководителя, ответственного за ИБ, и подразделение по ИБ, обеспечьте оценку защищённости. Это нужно независимо от наличия значимых объектов.

Если есть значимые объекты (ЗОКИИ) доп. блок

Создайте систему безопасности (№ 235), реализуйте меры защиты (№ 239) и модель угроз, направьте сведения в реестр ЗОКИИ (№ 227), подключитесь к ГосСОПКА и НКЦКИ (план реагирования — 90 дней, личный кабинет — № 548), выполните импортозамещение (№ 166, № 1912).

Поддерживать в актуальном состоянии постоянно

Реагируйте на инциденты в сроки (3 часа для значимых, 24 — для остальных), пересматривайте категорию не реже раза в 5 лет и отслеживайте изменения нормативки (раздел «Изменения 2025–2026»).

≡Простыми словамиКатегорирование обязательно для всех и идёт первым. «Тяжёлый» блок (система безопасности, ГосСОПКА, импортозамещение) включается, только если по итогам категорирования у вас есть значимые объекты.

Главный принцип

У субъекта КИИ нет единого «утверждённого списка из 5 документов». Логика обратная: какие обязанности возникают по закону — такие документы и нужно иметь. Объём документации зависит от того, есть ли у вас значимые объекты КИИ.

Уровень 1

Все субъекты КИИ

Категорирование: комиссия, обоснование, акт, направление сведений в ФСТЭК.

Уровень 2

У кого есть значимые объекты

Дополнительно: система безопасности, меры защиты и взаимодействие с ГосСОПКА.

Значимые и незначимые объекты — в чём разница

Любой объект КИИ проходит категорирование. По его итогу объект попадает в одну из двух групп.

Значимый объект КИИ (ЗОКИИ) — присвоена категория

Категория присваивается, если последствия возможного компьютерного инцидента достигают пороговых значений хотя бы по одному показателю критериев значимости. Если показатели тянут на разные категории — присваивается высшая.

К1

Высшая категория

Последствия инцидента — наиболее тяжёлые

К2

Средняя категория

Последствия средней тяжести

К3

Низшая категория

Минимальные из значимых последствий

Незначимый объект КИИ — категория не присвоена

Объект прошёл категорирование, но не достиг порогов ни по одному критерию — статус «категория отсутствует». Это не освобождение от закона: объект остаётся объектом КИИ, просто без режима усиленной защиты для ЗОКИИ.

По каким критериям оценивают значимость

ССоциальная значимость — вред жизни и здоровью людей, нарушение жизнеобеспечения, транспорта, связи.

ППолитическая значимость — ущерб интересам РФ во внутренней и внешней политике.

ЭЭкономическая значимость — прямой и косвенный ущерб, влияние на бюджет.

ЭкЭкологическая значимость — вред окружающей среде.

ООборона, безопасность и правопорядок — значимость для соответствующих сфер.

⚠По ПП № 1762 «точка входа» сместилась: сначала проверяете, попадает ли система в отраслевой перечень типовых объектов (утверждён № 360-р), и только потом считаете критерии значимости. Сами критерии и категории К1–К3 при этом сохранены.

Чем отличаются обязанности

Обязанность	Незначимый	Значимый (ЗОКИИ)
Категорирование	✓	✓
Сведения в ФСТЭК	✓	✓
Включение в реестр ЗОКИИ № 227/254	—	✓
Система безопасности № 235	—	✓
Меры защиты № 239	—	✓
Модель угроз	—	✓
Подключение к ГосСОПКА, реагирование ФСБ 282/367	—*	✓
Госконтроль / надзор ФСТЭК	ограниченно	✓

* Обязанность уведомлять о компьютерных инцидентах в НКЦКИ распространяется на субъектов КИИ в целом; полноценный режим взаимодействия с ГосСОПКА и требования к средствам — для значимых объектов.

iГлавный вывод. Категорирование и направление сведений в ФСТЭК — обязанность всех. Тяжёлый «защитный» пакет (№ 235, № 239, реестр, ГосСОПКА) включается только при наличии хотя бы одного значимого объекта. Категория не «навсегда»: пересмотр — не реже одного раза в 5 лет, а также при изменении показателей значимости или после инцидента.

Нормативная база

Закон и ответственность

187-ФЗ от 26.07.2017 «О безопасности критической информационной инфраструктуры РФ» — базовый закон. Действует в редакции ФЗ № 58-ФЗ (с 01.09.2025): ИП исключены из субъектов, в перечень сфер добавлена госрегистрация прав на недвижимость.

УК РФ 274.1 — уголовная ответственность за неправомерное воздействие на КИИ.

КоАП 13.12.1 / 13.12.2, 19.7.15 — административная ответственность субъектов.

Категорирование — постановления Правительства

ПП № 1762 (от 07.11.2025, в силе с 18.11.2025) — изменения в правила категорирования. Понятие «критических процессов» отодвинуто, точка входа — отраслевые перечни типовых объектов. Единый перечень утверждён № 360-р (26.02.2026, ред. 27.05.2026) — по нему теперь и идентифицируют объекты; отраслевые особенности категорирования дорабатываются.

ПП № 127 — правила категорирования и перечень показателей критериев значимости (применяются с учётом изменений № 1762).

ПП № 1912 (14.11.2023) — переход субъектов КИИ на доверенные программно-аппаратные комплексы (импортозамещение).

Приказы ФСТЭК

Приказ	О чём	Кому актуален
№ 236 + изм. № 247 от 11.07.2025	Форма и порядок направления сведений о результатах категорирования	Всем субъектам
№ 227 + изм. № 254 с 01.09.2025	Ведение реестра значимых объектов	У кого есть ЗОКИИ
№ 235	Создание системы безопасности ЗОКИИ и её функционирование	Только при ЗОКИИ
№ 239	Состав мер по обеспечению безопасности ЗОКИИ	Только при ЗОКИИ
№ 117 с 01.03.2026	Заменил приказ № 17 (защита информации в ГИС). Числовые метрики защищённости (КЗИ/ПЗИ), жёсткие сроки устранения уязвимостей	Если объект также ГИС / госорган

Приказы ФСБ — ГосСОПКА и инциденты

ФСБ № 366 (24.07.2018) «О НКЦКИ» — утверждает Положение о НКЦКИ.

ФСБ № 367 — состав и порядок предоставления информации в ГосСОПКА.

ФСБ № 282 / 368 — порядок информирования об инцидентах и обмена информацией.

iВ декабре 2025 ФСБ переиздала пакет правил по ГосСОПКА (№ 539, 546, 547, 548, 553, 554) — он заменяет № 196 / 281 / 282 / 368. Подробно см. раздел «ГосСОПКА и НКЦКИ».

Указы Президента и импортозамещение

Помимо 187-ФЗ на субъектов КИИ напрямую действуют два указа Президента и режим перехода на отечественные решения. Это часто упускают — а требования обязательны.

Указ № 250 — кадры и ответственность 01.05.2022

Распространяется на закрытый перечень организаций — госорганы, госкорпорации, стратегические и системообразующие организации, а также всех субъектов КИИ (и со значимыми, и с незначимыми объектами). Ключевые обязанности:

1Заместитель руководителя, ответственный за ИБ — по типовому положению (ПП № 1272 от 15.07.2022).

2Структурное подразделение по ИБ (или возложение функций) — также по типовому положению ПП № 1272.

3Персональная ответственность руководителя за обеспечение ИБ — не снимается при назначении зама.

4Оценка защищённости — силами лицензиата ФСБ / ФСТЭК (по Методике ФСТЭК от 25.11.2025, включая анализ внешнего периметра) и беспрепятственный, в т.ч. удалённый, доступ ФСБ к ресурсам.

5Взаимодействие с НКЦКИ: заключить регламент, подключить личный кабинет и передать перечень внешних («белых») IP-адресов и доменных имён для мониторинга периметра ГосСОПКА; обновлять при изменениях (≈7 рабочих дней).

6Запрет средств защиты из недружественных стран (с 01.01.2025) — на объектах организаций, подпадающих под Указ.

≡Как закрыть Указ № 250Издать приказы о зам. по ИБ и подразделении (по ПП № 1272) → провести оценку защищённости лицензиатом ФСБ/ФСТЭК и устранить уязвимости → вывести из эксплуатации недружественные СЗИ → заключить регламент с НКЦКИ, завести личный кабинет и передать внешние («белые») IP-адреса и домены → обеспечить ФСБ доступ для мониторинга.

Указ № 166 — запрет иностранного ПО 30.03.2022

С 1 января 2025 года госорганам и заказчикам запрещено использовать иностранное ПО на принадлежащих им значимых объектах КИИ. Редакцией № 214 (07.04.2025) добавлена оговорка: «если иное не установлено федеральным законом».

Отечественные аналоги ищут в Едином реестре российских программ для ЭВМ и баз данных (Минцифры). Требования к ПО для значимых объектов КИИ — включение в реестр, согласование закупок иностранного ПО, переход на отечественное — установлены ПП № 1478 (22.08.2022).

Доверенные ПАК и оборудование

ПП № 1912 (14.11.2023) задаёт порядок перехода субъектов КИИ на доверенные программно-аппаратные комплексы. Общий горизонт замены иностранного железа и софта на отечественные — до 2030 года, при этом единый перечень «доверенных» решений всё ещё формируется.

iУказ № 250 касается даже субъектов без значимых объектов: зам по ИБ, ответственность руководителя и подразделение по ИБ нужны независимо от категории. Передача в НКЦКИ внешних IP/доменов — требование регламентное (Регламент НКЦКИ + приказы ФСБ № 547 / 548), опирается на пункт Указа о доступе ФСБ, а не на отдельную его норму.

Документы уровня 1 — нужны всем субъектам

Блок «Категорирование».

Приказ о создании комиссии по категорированию — с составом комиссии.
Внутренний перечень объектов КИИ (ИС / ИТКС / АСУ), сопоставленный с отраслевыми типовыми объектами, и обоснование принадлежности к вашей сфере.
Материалы обоснования категорирования — описание объекта, границ, зависимостей, оценка последствий инцидентов по критериям значимости.
Акт категорирования по каждому объекту — результат работы комиссии.
Сведения, направленные в ФСТЭК по форме № 236/247, и подтверждение отправки.
Внутренний регламент категорирования — обновлённый под № 1762 (без терминологии «критических процессов»).

⚠Даже если значимых объектов нет — категорирование и направление сведений в ФСТЭК обязательны. «Нет значимых объектов» — это тоже результат категорирования, который надо оформить и направить.

Документы уровня 2 — при наличии значимых объектов

Система безопасности № 235 / 239

Документы по созданию и функционированию системы безопасности ЗОКИИ (№ 235): приказ о назначении ответственного / подразделения, положение о системе безопасности, распределение ролей.
Организационно-распорядительные документы (ОРД): политики, регламенты, инструкции — управление доступом, реагирование, обновления, антивирусная защита.
Эксплуатационная документация на средства защиты и доказательства реализации мер (№ 239).
Модель угроз безопасности информации для значимого объекта (актуализируется под отраслевые критерии).
Сведения для реестра ЗОКИИ (№ 227/254) — включая доменные имена и сетевые адреса, если объект подключён к интернету.

Инциденты и ГосСОПКА ФСБ 282 / 367

Регламент / план реагирования на компьютерные инциденты и порядок информирования НКЦКИ.
Порядок передачи информации в ГосСОПКА, журнал учёта инцидентов и фактические уведомления.

ГосСОПКА и НКЦКИ

ГосСОПКА — государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак. Координирует её НКЦКИ (cert.gov.ru). Взаимодействие с ней — обязанность субъектов КИИ. В конце декабря 2025 ФСБ переиздала весь пакет правил — старые приказы заменены новыми.

≡Простыми словамиЗаметили взлом, утечку или подозрительную активность — обязаны сообщить государству через НКЦКИ: при инциденте на значимом объекте — в течение 3 часов, на остальных объектах КИИ — 24 часов. Молчать нельзя — за это штрафуют.

Что обязан субъект

1Информировать НКЦКИ о компьютерных инцидентах — обязанность всех субъектов КИИ.

2Реагировать и ликвидировать последствия атак — для владельцев значимых объектов.

3Непрерывное взаимодействие через личный кабинет НКЦКИ — для ЗОКИИ, госорганов и организаций.

4Иметь и эксплуатировать средства ГосСОПКА, соответствующие требованиям ФСБ.

Новый пакет приказов ФСБ декабрь 2025

Приказ	О чём	Заменяет
№ 539 от 23.12.2025	Получение субъектами информации о способах атак и методах их предупреждения / обнаружения (через НКЦКИ, cert.gov.ru)	обновление
№ 546	Обмен информацией о компьютерных атаках и инцидентах — внутри РФ и с зарубежными организациями реагирования	№ 368
№ 547	Информирование ФСБ об атаках / инцидентах + требования к реагированию и ликвидации последствий	№ 282
№ 548 с 30.01.2026	Непрерывное взаимодействие с ГосСОПКА: личный кабинет НКЦКИ, регламент взаимодействия	новое
№ 553	Порядок и технические условия установки / эксплуатации средств ГосСОПКА	№ 281
№ 554	Требования к средствам обнаружения / реагирования и поиска признаков атак (ППКА)	№ 196

Отдельно обновлён порядок аккредитации центров ГосСОПКА. Базовые акты — Указ Президента № 31с (15.01.2013, создание ГосСОПКА), ФСБ № 366 (Положение о НКЦКИ) и ФСБ № 367 (перечень информации) — сохраняются как фундамент.

Средства ГосСОПКА — что нужно технически

SSIEM — сбор и корреляция событий безопасности.

IDSСОВ / СОА — обнаружение и предотвращение вторжений.

VСканеры уязвимостей — поиск и контроль устранения.

IRPIRP / SOAR — управление инцидентами и реагирование.

AСредства поиска признаков атак (ППКА) — анализ трафика, сертификация ФСБ.

⚠Непрерывное взаимодействие (№ 548) — личный кабинет НКЦКИ становится центральной точкой связи. После получения от НКЦКИ информации о готовящейся атаке субъект обязан в течение 24 часов направить сведения о проводимых мероприятиях по её предупреждению. Подключение — после заключения регламента взаимодействия с НКЦКИ.

Сроки и дедлайны

Памятка отвечает не только «что», но и «когда». Самое жёсткое — сроки по инцидентам: для значимого объекта это часы.

≡Простыми словамиКатегорирование измеряется днями и годами, а реагирование на инциденты — часами. Уведомление об атаке на значимый объект — это 3 часа с момента обнаружения, а не «следующий рабочий день».

Сроки реагирования на инцидент

0 — стартОбнаружение инцидента

3 часаУведомить НКЦКИ — значимый объект

24 часаУведомить НКЦКИ — иной объект КИИ

48 часовОтчёт о результатах реагирования

Отдельно: план реагирования — в течение 90 дней после включения в реестр ЗОКИИ; копия плана в НКЦКИ — 7 дней. Для банков инцидент дублируется в Банк России.

Категорирование

Действие	Срок
Направить в ФСТЭК перечень объектов, подлежащих категорированию	5 рабочих дней после утверждения
Провести категорирование объекта	не более 1 года с даты утверждения перечня
Направить в ФСТЭК сведения о результатах (акт)	10 рабочих дней после утверждения акта
Пересмотр присвоенной категории	не реже 1 раза в 5 лет + при изменениях

Инциденты и реагирование ФСБ № 547 / 548

Действие	Срок
Уведомить НКЦКИ об инциденте на значимом объекте	3 часа с момента обнаружения
Уведомить НКЦКИ об инциденте на ином объекте КИИ	24 часа с момента обнаружения
Ответить НКЦКИ о мерах по предупреждению готовящейся атаки (непрерывное взаимодействие)	24 часа после получения сведений
Разработать план реагирования (после включения в реестр ЗОКИИ)	90 дней
Направить копию плана реагирования в НКЦКИ	7 календарных дней после утверждения
Сообщить в НКЦКИ о результатах реагирования	48 часов после завершения мероприятий

⚠Для банковской сферы и финансового рынка информация об инциденте направляется также в Банк России в те же сроки. Сроки категорирования приведены по нормам ПП № 127 — сверяйтесь с действующей редакцией с учётом № 1762.

Ответственность и штрафы

ФСТЭК при проверках находит нарушения почти у каждой проверенной организации. Ответственность — административная и уголовная.

Административная — КоАП

Статья / нарушение	Должностные лица	Юридические лица
19.7.15 Непредставление, нарушение сроков или недостоверные сведения о категорировании	10–50 тыс. ₽	50–100 тыс. ₽
13.12.1 Несоблюдение требований к безопасности ЗОКИИ	10–50 тыс. ₽	50–100 тыс. ₽
13.12.1 Нарушение порядка информирования об инцидентах	—	до 500 тыс. ₽
13.12.2 Нарушение правил эксплуатации объектов КИИ / доступа (новая — с 20.04.2026, ФЗ № 77-ФЗ)	10–50 тыс. ₽	100–500 тыс. ₽

Уголовная — УК РФ

274.1 Неправомерное воздействие на КИИ — вплоть до лишения свободы до 10 лет при тяжёлых последствиях.

293 Халатность — применяется к должностным лицам при наступлении ущерба из-за бездействия.

i«Я не субъект КИИ» — самое дорогое заблуждение. По экспертным оценкам, значительная доля организаций ошибочно так считают; после утверждения перечня типовых объектов эта позиция стала особенно рискованной. Персональная ответственность за ИБ — на руководителе (Указ № 250).

КИИ, ГИС и персональные данные — как не делать тройную работу

Один и тот же объект часто подпадает сразу под три режима: значимый объект КИИ, государственная информационная система и информационная система персональных данных. Требования во многом пересекаются — это можно использовать, чтобы не готовить три отдельных комплекта документов.

Режим	Ключевые акты	Что специфично только для него
КИИ / ЗОКИИ	№ 239, 187-ФЗ	Категорирование, реестр ЗОКИИ, взаимодействие с ГосСОПКА
ГИС / ИС госоргана	ФСТЭК № 117 (с 01.03.2026)	Обязательная аттестация системы
ПДн (ИСПДн)	152-ФЗ, ПП № 1119, ФСТЭК № 21	Согласия, уведомление Роскомнадзора

Что можно сделать один раз на все режимы

✓Единая модель угроз на базе БДУ ФСТЭК — одна, покрывает все режимы.

✓Единый комплект ОРД (политики, регламенты, приказы) — с учётом всех режимов сразу, а не три отдельных.

✓Единая система защиты. Наборы мер (№ 21, № 239, № 117) во многом совпадают — проектируют по наиболее строгому требованию.

✓Одна аттестация. Если значимый объект КИИ одновременно является ГИС, аттестация по требованиям ГИС закрывает и форму оценки по № 239.

Что остаётся отдельным

!КИИ: категорирование, включение в реестр ЗОКИИ, подключение к ГосСОПКА и НКЦКИ.

!ПДн: правовые основания обработки, уведомление Роскомнадзора, уведомления об утечках.

!ГИС: обязательная аттестация на соответствие требованиям защиты информации.

⚠Почему это особенно важно для ПДн. С 30.05.2025 за утечку персональных данных — крупные штрафы: за первичную 3–15 млн ₽ юрлицам (в зависимости от объёма), а за повторную — оборотный штраф 1–3% годовой выручки, но не менее 20 млн и не более 500 млн ₽ (ч. 15 ст. 13.11 КоАП, ФЗ № 420-ФЗ). Это часто дороже всех санкций по линии КИИ.

iАттестация обязательна для ГИС. Для значимого объекта КИИ — только если он одновременно является ГИС; иначе по № 239 допустимы иные формы оценки. Для ИСПДн отдельной обязательной аттестации нет — достаточно оценки эффективности принятых мер.

Что изменилось в 2025–2026

Что и когда вступает в силу

30.01.2026ФСБ № 548 — ЛК НКЦКИ

26.02.2026№ 360-р — перечень типовых объектов

01.03.2026Приказ № 117 — защита ГИС

20.04.2026Ст. 13.12.2 КоАП — эксплуатация объектов КИИ

27.05.2026№ 360-р — действующая редакция

Сужен круг субъектов · ФЗ № 58-ФЗ

С 01.09.2025 индивидуальные предприниматели исключены из субъектов КИИ; в перечень сфер добавлена государственная регистрация прав на недвижимое имущество.

Новая логика категорирования · ПП № 1762

Ищем не «процессы», а системы, попадающие под отраслевые типовые перечни. Точка входа — перечень типовых объектов.

Утверждён перечень типовых объектов · № 360-р

Распоряжением Правительства от 26.02.2026 № 360-р утверждён единый перечень типовых отраслевых объектов КИИ (≈400 позиций, 14 сфер). Ранее категорированные объекты, возможно, придётся пересмотреть.

Невыявление объекта — отдельное нарушение

Если объект из перечня не выявлен, это самостоятельное нарушение с санкциями.

Домены и сетевые адреса обязательны

В сведениях об объекте, если он подключён к интернету.

Приказ № 117 · с 01.03.2026

Для ГИС / госорганов — числовые метрики защищённости и жёсткие сроки закрытия уязвимостей. Если объект одновременно ЗОКИИ и ГИС — регламенты пишут сразу под оба требования.

Новый пакет ФСБ по ГосСОПКА · декабрь 2025

Приказы № 539, 546, 547, 548, 553, 554 переиздают правила взаимодействия с НКЦКИ. Закреплено непрерывное взаимодействие через личный кабинет (№ 548, с 30.01.2026).

Новая ст. 13.12.2 КоАП · с 20.04.2026

Отдельная административная ответственность за нарушение правил эксплуатации объектов КИИ и порядка доступа к ним: должностные лица 10–50 тыс ₽, юрлица 100–500 тыс ₽ (ФЗ № 77-ФЗ от 09.04.2026). Раньше эти составы пытались подвести под ст. 13.12.1.

Вторая волна работы впереди

После утверждения отраслевых особенностей — повторное категорирование, пересмотр актов и моделей угроз.

Быстрый чек-лист

Отмечайте по мере готовности — прогресс считается автоматически.

Все субъекты

обязательный минимум

Приказ о комиссии по категорированию

Внутренний перечень объектов КИИ (под № 1762 / № 360-р)

Материалы обоснования + оценка последствий

Акты категорирования

Сведения направлены в ФСТЭК (форма № 236/247)

Регламент категорирования обновлён под № 1762

Назначен зам. по ИБ и подразделение по ИБ (Указ № 250)

Проведена оценка защищённости (Указ № 250)

Регламент с НКЦКИ + переданы внешние IP/домены (Указ № 250)

0 / 8 готово

Дополнительно при ЗОКИИ

только для значимых объектов

Назначен ответственный / подразделение (№ 235)

ОРД по защите (политики, регламенты, инструкции)

Меры защиты реализованы и задокументированы (№ 239)

Модель угроз

Сведения в реестр ЗОКИИ (№ 227/254), с доменами и IP

План реагирования на инциденты

Взаимодействие с ГосСОПКА + журнал инцидентов (№ 282/367)

Подключён личный кабинет НКЦКИ, регламент взаимодействия (№ 548)

Иностранное ПО на ЗОКИИ заменено на отечественное (Указ № 166)

0 / 9 готово

Практический совет

Держите документацию в двух папках — так проще проходить проверки и поддерживать актуальность.

Папка 1

Категорирование

Для всех субъектов: приказ о комиссии, обоснование, акты, сведения в ФСТЭК.

Папка 2

Значимый объект

При подтверждённой значимости: № 235 / 239 + № 282 / 367.

iСледите за актуальностью форм и редакций — нормативка по КИИ в 2025–2026 меняется активно: формы № 236/247, реестр № 227/254, отраслевые перечни по № 1762.

Частые вопросы

Систему обслуживает подрядчик / ИТ на аутсорсе — кто субъект КИИ?

Субъектом остаётся владелец (правообладатель) системы — тот, кому она принадлежит на законном основании. Передача обслуживания подрядчику не делает аутсорсера субъектом и не снимает обязанностей с владельца: ответственность за безопасность объекта остаётся на вас (п. 8 ст. 2 187-ФЗ).

Система размещена в арендованном облаке или ЦОД — чей это объект?

Субъект КИИ — владелец информации и системы (заказчик), а не облачный провайдер. Провайдер не становится субъектом по факту аренды, но обязан обеспечить уровень защищённости площадки, требуемый для категории объекта. На практике зоны ответственности закрепляются договором: вы отвечаете за выполнение требований к объекту в целом, провайдер — за защищённость предоставляемой инфраструктуры (№ 239).

У нас нет значимых объектов — нужно ли вообще что-то делать?

Да. Категорирование обязательно для всех субъектов, а его результат — в том числе вывод «категория не присвоена» — нужно направить во ФСТЭК. Дополнительно действуют обязанности по Указу № 250 (ответственный за ИБ, подразделение по ИБ) и обязанность уведомлять НКЦКИ о компьютерных инцидентах (ст. 9 187-ФЗ).

Можно ли не проводить категорирование, если мы и так уверены, что незначимы?

Нет. Категорирование обязательно независимо от ожидаемого результата. Непредставление во ФСТЭК сведений о результатах (включая «категория не присвоена») или нарушение сроков — самостоятельное правонарушение по ч. 1 ст. 19.7.15 КоАП: должностные лица 10–50 тыс ₽, юрлица 50–100 тыс ₽.

«Мы точно не субъект КИИ» — насколько это безопасная позиция?

Рискованная. После перехода на отраслевые перечни типовых объектов (№ 1762) невыявление объекта, который должен был быть учтён, рассматривается как нарушение. Если организация работает в одной из 14 сфер (см. раздел «Это про вас?») — статус субъекта нужно проверять предметно, а не «по ощущению».

Сокращения и термины

КИИ: Критическая информационная инфраструктура.
ЗОКИИ: Значимый объект КИИ — объект с присвоенной категорией К1–К3.
Категорирование: Оценка объекта по критериям значимости и присвоение категории.
ФСТЭК: Федеральная служба по техническому и экспортному контролю.
ФСБ: Федеральная служба безопасности.
НКЦКИ: Национальный координационный центр по компьютерным инцидентам (cert.gov.ru).
ГосСОПКА: Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак.
ГИС: Государственная информационная система.
ПДн: Персональные данные (152-ФЗ).
ОРД: Организационно-распорядительные документы.
ПАК: Программно-аппаратный комплекс.
ИС / ИТКС / АСУ: Информационная система / информационно-телекоммуникационная сеть / автоматизированная система управления.
Модель угроз: Документ с описанием актуальных угроз безопасности объекта.
SIEM: Сбор и корреляция событий безопасности.
СОВ / СОА: Средства обнаружения вторжений / атак (IDS / IPS).
IRP / SOAR: Управление инцидентами и автоматизация реагирования.
ППКА: Средства поиска признаков компьютерных атак.
КоАП / УК РФ: Кодекс об административных правонарушениях / Уголовный кодекс.
ФинЦЕРТ: Центр реагирования на компьютерные атаки в финансовой сфере Банка России.

Источники и разборы по каждому НПА

По каждому акту — отдельная страница простым языком: о чём он, кого касается, что требует. Перед применением сверяйтесь с действующей редакцией по официальному источнику.

Ничего не найдено. Попробуйте другой запрос.

Акт	О чём коротко	Разбор
187-ФЗ	Базовый закон о безопасности КИИ	открыть →
УК РФ 274.1	Уголовная ответственность за воздействие на КИИ	открыть →
КоАП 13.12.1	Нарушение требований к безопасности ЗОКИИ	открыть →
КоАП 13.12.2	Нарушение правил эксплуатации объектов КИИ (с 2026)	открыть →
КоАП 19.7.15	Сведения о категорировании во ФСТЭК	открыть →
ФЗ № 58-ФЗ	Поправки 2025: круг субъектов и сферы	открыть →
ПП № 127	Правила категорирования и критерии значимости	открыть →
ПП № 1762	Новая логика категорирования (отраслевые перечни)	открыть →
№ 360-р	Перечень типовых отраслевых объектов КИИ (26.02.2026)	открыть →
ПП № 1912	Переход на доверенные ПАК	открыть →
ПП № 1478	Требования к ПО на значимых объектах	открыть →
ФСТЭК № 235	Создание системы безопасности ЗОКИИ	открыть →
ФСТЭК № 239	Меры по обеспечению безопасности ЗОКИИ	открыть →
ФСТЭК № 236	Форма сведений о категорировании (+ изм. № 247)	открыть →
ФСТЭК № 227	Реестр значимых объектов (+ изм. № 254)	открыть →
ФСТЭК № 117	Защита ГИС с 2026 (заменил № 17)	открыть →
Методика ФСТЭК 25.11.2025	Анализ защищённости ИС (поиск уязвимостей)	открыть →
ФСБ № 547	Информирование об инцидентах и реагирование	открыть →
ФСБ № 548	Непрерывное взаимодействие через ЛК НКЦКИ	открыть →
ФСБ № 366 / 367	НКЦКИ и перечень информации для ГосСОПКА	открыть →
Указ № 250	Кадры и ответственность за ИБ	открыть →
ПП № 1272	Типовые положения о зам. по ИБ и подразделении	открыть →
Указ № 166	Запрет иностранного ПО на ЗОКИИ (+ № 214)	открыть →
Указ № 31с	Создание ГосСОПКА	открыть →

Полный список приказов ФСБ нового пакета (№ 539, 546, 547, 548, 553, 554) и заменённых ими актов разобран на странице ФСБ № 547 и в разделе «ГосСОПКА и НКЦКИ».