7 апреля 2025 года Президент подписал 58-ФЗ «О внесении изменений в Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации"». Закон вступил в силу 1 сентября 2025 года. Это первая крупная реформа 187-ФЗ с момента его принятия в 2017 году.
Разбираем, что изменилось, кого затронуло и как это влияет на практику категорирования и защиты КИИ.
Контекст: почему потребовалась реформа
За 8 лет применения 187-ФЗ выявился ряд системных проблем:
- Категорирование велось непоследовательно: одни и те же типы объектов в разных организациях получали разные категории значимости
- Индивидуальные предприниматели формально были субъектами КИИ, что создавало избыточную нагрузку
- Требования об импортозамещении ПО на значимых объектах не были жёстко закреплены в 187-ФЗ
- ГосСОПКА фактически охватывала только субъектов КИИ, оставляя за бортом значительную часть государственных организаций
58-ФЗ закрывает все эти пробелы.
Ключевые изменения 58-ФЗ
1. ИП исключены из понятия «субъект КИИ»
Из пункта 8 статьи 2 187-ФЗ убраны слова «и (или) индивидуальные предприниматели».
Что это значит: индивидуальные предприниматели больше не являются субъектами КИИ. Требования 187-ФЗ на них не распространяются. Организационная форма ИП несовместима с реальным управлением критической инфраструктурой — изменение устраняет правовую коллизию.
2. Отраслевые типовые перечни объектов КИИ
Это, пожалуй, самое важное нововведение. Федеральные органы власти теперь обязаны утверждать:
- Перечни типовых отраслевых объектов КИИ — конкретные типы ИС, ИТКС и АСУ ТП по каждой отрасли (энергетика, транспорт, здравоохранение, финансы и т.д.), которые обладают признаком значимости
- Отраслевые особенности категорирования — порядок присвоения категорий с учётом специфики отрасли, отраслевые признаки значимости, методику расчёта показателей критериев
До этой нормы категорирование строилось исключительно на общих критериях из ПП-127, и каждая организация интерпретировала их самостоятельно.
Практический эффект: категорирование станет предсказуемым. Если тип вашей системы включён в отраслевой типовой перечень — значимость и категория определяются по чётким правилам, а не по усмотрению комиссии.
3. Усиленный контроль категорирования
ФСТЭК России теперь при проверке представленных сведений о категорировании обязан сверяться с:
- Перечнями типовых отраслевых объектов КИИ
- Отраслевыми особенностями категорирования
Если выявлены нарушения — сведения возвращаются с мотивированным обоснованием. ФСТЭК вправе проверять правильность отнесения объектов к значимым — это прямо закреплено в новой редакции статьи 13.
4. Обязательное российское ПО на значимых объектах
В статью 9 добавлен пункт 5 части 3 — новая обязанность субъекта КИИ:
Использовать на значимых объектах программное обеспечение:
- включённое в реестр российских программ (по 149-ФЗ); или
- применяемое в соответствующих требованиям защиты ГИС, иных ИС госорганов и ГУП
Это законодательное закрепление требований импортозамещения, которые ранее устанавливались Указом №166 и отраслевыми нормативными актами. Теперь они прямо в 187-ФЗ.
Правительство получило право установить особенности применения этой нормы до 2030 года для территорий с особым статусом (упоминаемых в Указе №757 от 19.10.2022).
5. Требования к программно-аппаратным средствам (ПАС)
Отраслевые органы власти (ФОИВ) теперь вправе утверждать требования к ПАС, используемым на значимых объектах КИИ. Субъект КИИ обязан соблюдать эти требования.
Это создаёт нормативную базу для сертификации аппаратных средств применительно к конкретным отраслям.
6. Непрерывное взаимодействие с ГосСОПКА
Добавлена новая обязанность (пункт 7 части 3 статьи 9): субъект КИИ обязан осуществлять непрерывное взаимодействие с ГосСОПКА в порядке, установленном ФСБ.
Это коррелирует с новыми приказами ФСБ №546 и №547 от декабря 2025 года, регулирующими порядок обмена информацией о компьютерных атаках и информирования об инцидентах.
7. Расширение обязанностей ГосСОПКА за пределы субъектов КИИ
Наиболее революционное изменение — новая часть 4 статьи 9.
Обязанности по взаимодействию с ГосСОПКА (статья 9, часть 2) и по непрерывному подключению к ГосСОПКА теперь распространяются на:
- Руководителей государственных органов (кроме ФСБ, СВР, ФСО и ряда других)
- ГУП, государственные учреждения, государственные корпорации
- Иные российские юридические лица, контролируемые Россией или субъектом РФ (более 50% голосующих акций/долей)
— в части принадлежащих им информационных ресурсов.
Это означает: круг организаций, обязанных взаимодействовать с ГосСОПКА, значительно расширяется. Теперь это не только субъекты КИИ, но и государственные органы и контролируемые государством компании, которые формально не имели объектов КИИ.
Сравнение: до и после 58-ФЗ
| Аспект | До 58-ФЗ | После 58-ФЗ |
|---|---|---|
| Субъекты КИИ | Организации и ИП | Только организации |
| Категорирование | По общим критериям ПП-127 | + Отраслевые перечни и особенности |
| ПО на значимых объектах | Указ №166 (не в законе) | Прямо в 187-ФЗ |
| ГосСОПКА | Только субъекты КИИ | + Госорганы, ГУП, госкомпании |
| ПАС на КИИ | Нет требований | Отраслевые требования ФОИВ |
Что должны сделать субъекты КИИ
Немедленно:
- Проверить, не исключена ли ваша организация из субъектов КИИ (ИП)
- Отслеживать публикацию отраслевых типовых перечней объектов КИИ по вашей отрасли
- Убедиться в наличии непрерывного подключения к ГосСОПКА
До конца 2025 года (уже прошедшие сроки — действуют с 1 сентября):
- Пересмотреть категорирование с учётом отраслевых перечней и особенностей (когда они будут утверждены)
- Начать аудит используемого ПО на значимых объектах на предмет соответствия реестру российских программ
До 2030 года (с учётом переходного периода для ПО и ПАС):
- Реализовать план перехода на отечественное ПО и ПАС согласно дорожной карте, которую утвердит Правительство
Связь 58-ФЗ с другими изменениями в регулировании КИИ
58-ФЗ — часть масштабной переработки нормативной базы КИИ в 2024–2026 годах:
| НПА | Дата | Суть |
|---|---|---|
| ПП-1281 | Сентябрь 2024 | Изменения в порядок категорирования ПП-127 |
| ФСТЭК №159 | Август 2024 | Добавлены требования по защите от DDoS в №117 и №239 |
| 58-ФЗ | Апрель 2025, в силе с сентября 2025 | Реформа 187-ФЗ (данная статья) |
| ФСБ №546, №547 | Декабрь 2025 | Новый порядок взаимодействия с ГосСОПКА |
| ФСТЭК №117 | Апрель 2025, в силе с марта 2026 | Замена приказа №117 для ГИС |
Всё это единый пакет мер по модернизации российского регулирования ИБ.
Как КиберОснова SGRC помогает субъектам КИИ
SGRC-платформа автоматизирует ключевые процессы, которые усложнились с принятием 58-ФЗ.
Категорирование объектов КИИ Платформа поддерживает процесс категорирования по 187-ФЗ: формирование актов, учёт объектов КИИ, отслеживание изменений в нормативной базе — включая появление отраслевых перечней по 58-ФЗ.
Взаимодействие с ГосСОПКА Интеграция с процессами информирования об инцидентах по требованиям ФСБ №547 — одного из ключевых документов, вступивших в силу вместе с расширением обязанностей ГосСОПКА.
Управление уязвимостями с учётом КИИ Контроль уязвимостей на значимых объектах с приоритизацией по категории объекта и требованиям ФСТЭК №239.
Мониторинг нормативной базы Система отслеживает изменения в регуляторных требованиях и уведомляет об обновлениях, затрагивающих ваши объекты КИИ.
Запросить демо — покажем процесс категорирования и работу с КИИ в системе.
Часто задаваемые вопросы
Что такое 58-ФЗ о реформе КИИ? Федеральный закон от 07.04.2025 №58-ФЗ вносит изменения в 187-ФЗ «О безопасности критической информационной инфраструктуры». Основные новации: исключение ИП из субъектов КИИ, введение отраслевых типовых перечней объектов КИИ, закрепление требований импортозамещения ПО и расширение обязанностей по взаимодействию с ГосСОПКА на государственные органы.
Когда вступил в силу 58-ФЗ? 1 сентября 2025 года.
Что изменилось в категорировании КИИ по 58-ФЗ? ФОИВ теперь обязаны утверждать отраслевые типовые перечни объектов КИИ и отраслевые особенности категорирования. Это сделает категорирование предсказуемым: если тип вашего объекта включён в отраслевой перечень — категория определяется по установленным правилам.
Обязательно ли российское ПО на объектах КИИ по 58-ФЗ? Да. Статья 9 187-ФЗ теперь прямо обязывает использовать на значимых объектах КИИ ПО из реестра российских программ или ПО, применяемое в соответствующих требованиям ГИС. Переходный период и особенности применения нормы устанавливаются Правительством.
Распространяется ли 58-ФЗ на организации, не являющиеся субъектами КИИ? Да — в части взаимодействия с ГосСОПКА. Обязанности по информированию об инцидентах и подключению к ГосСОПКА теперь распространяются на государственные органы, ГУП, госкорпорации и иные юридические лица, контролируемые государством или субъектом РФ.
Связанные материалы: Категорирование объектов КИИ в КиберОснова · Приказ ФСТЭК №239 — безопасность КИИ · Что такое SGRC
Влияние 58-ФЗ на практику категорирования
Как отраслевые перечни изменят работу комиссий
До 58-ФЗ комиссия по категорированию работала с общими критериями ПП-127: 14 показателей (социальный, экономический, экологический и др.) с пороговыми значениями, к которым нужно «привязать» конкретный объект. Интерпретация была свободной, что порождало разнобой.
После утверждения отраслевых типовых перечней процесс становится структурированным:
- Комиссия берёт отраслевой перечень своего ФОИВ
- Ищет в нём тип своего объекта (например, «система управления диспетчерской службой» в транспорте)
- Для найденного типа уже указаны признаки значимости и методика расчёта показателей
Это не лишает комиссию самостоятельности — она по-прежнему оценивает конкретный объект. Но отраслевой перечень задаёт референсный уровень, с которым ФСТЭК будет сверять результат.
Новые риски при занижении категорий
58-ФЗ усилил контрольные полномочия ФСТЭК: регулятор теперь прямо обязан сверяться с отраслевыми перечнями при проверке поданных сведений. Если организация присвоила объекту категорию ниже, чем предусматривает отраслевой перечень — это основание для возврата сведений с мотивированным обоснованием.
Практически это означает: стратегия «провести категорирование в ноль» теперь сложнее реализуема. У ФСТЭК появился конкретный инструмент проверки.
Порядок действий субъектов КИИ после 58-ФЗ
Шаг 1: Проверить статус субъекта КИИ
Если ваша организация была зарегистрирована как ИП, проверьте изменения — формально вы больше не являетесь субъектом КИИ с 01.09.2025.
Шаг 2: Отслеживать публикацию отраслевых перечней
Следите за сайтом ФСТЭК и вашего отраслевого ФОИВ. После публикации отраслевого перечня необходимо:
- Пересмотреть текущее категорирование с учётом нового документа
- При расхождениях — провести внеочередное пересмотрение категорий
- Направить обновлённые сведения во ФСТЭК в установленные сроки
Шаг 3: Провести аудит ПО на значимых объектах
Требование об использовании российского ПО теперь прямо в законе. Необходимо:
- Составить реестр ПО на каждом значимом объекте
- Сверить с реестром российских программ (reestr.digital.gov.ru)
- Для ПО, не вошедшего в реестр, разработать план миграции
Шаг 4: Настроить непрерывное взаимодействие с ГосСОПКА
Требование «непрерывного взаимодействия» означает постоянную готовность к информированию об инцидентах по порядку ФСБ (приказы №546, №547 от декабря 2025 года). Разработайте шаблоны уведомлений и установите ответственных.
Отраслевые особенности категорирования: что это значит на практике
Понятие «отраслевые особенности категорирования» — ключевая новация 58-ФЗ. По замыслу законодателя, отраслевой ФОИВ разрабатывает документ, который содержит:
- Признаки значимости — конкретные показатели, характерные для данной отрасли (например, в здравоохранении — число обслуживаемых пациентов; в энергетике — объём поставляемой мощности)
- Методику расчёта показателей критериев — как считать в баллах для отраслевых объектов
- Пороговые значения — при каких значениях присваивается та или иная категория
До выхода этих документов комиссии используют общие критерии ПП-127. После — обязаны применять отраслевой документ.
Связь 58-ФЗ с другими реформами КИИ
58-ФЗ — часть масштабной переработки нормативной базы КИИ. Понимание общего контекста помогает выстраивать приоритеты:
- ПП-1281 (сентябрь 2024) — изменения в порядок категорирования, которые 58-ФЗ законодательно закрепил
- ФСТЭК №159 (август 2024) — добавлены требования по DDoS-защите в приказы №117 и №239
- 58-ФЗ (в силе с 01.09.2025) — реформа 187-ФЗ: ИП, отраслевые перечни, ПО, расширение ГосСОПКА
- ФСБ №546, №547 (декабрь 2025) — новый порядок взаимодействия с ГосСОПКА, коррелирует с обязанностями по 58-ФЗ
- ФСТЭК №117 (в силе с 01.03.2026) — замена приказа №117 для ГИС
Всё это формирует новый ландшафт регулирования КИИ, существенно более требовательный, чем в 2017 году.
Заключение
58-ФЗ системно реформирует правовую базу КИИ. Главные практические последствия для субъектов КИИ: категорирование станет предсказуемым (отраслевые перечни), импортозамещение ПО стало законодательным требованием, обязанности по ГосСОПКА расширились на госкомпании. Для организаций, не являющихся субъектами КИИ, но контролируемых государством, появились новые обязанности по взаимодействию с ГосСОПКА.
КиберОснова SGRC автоматизирует категорирование объектов КИИ с поддержкой отраслевых перечней, учёт ПО и СЗИ на значимых объектах и взаимодействие с ГосСОПКА. Запросите демо — оцените готовность к требованиям 58-ФЗ в вашей организации.
Связанные материалы: Приказ ФСТЭК №239 — безопасность КИИ · Категорирование объектов КИИ · Что такое SGRC
Ключевые определения: что изменилось в понятийном аппарате
58-ФЗ не только добавил новые нормы, но и уточнил базовые понятия 187-ФЗ. Это важно для правильного применения закона.
Объект КИИ — уточнение понятия
Статья 2 187-ФЗ содержит определение объекта КИИ. 58-ФЗ уточнил, что к объектам КИИ относятся не только информационные системы (ИС), информационно-телекоммуникационные сети (ИТКС) и автоматизированные системы управления (АСУ), но и технологические сети — сети технологической связи, связанные с управлением технологическими процессами.
Это расширение важно для производственных субъектов КИИ: теперь инфраструктура промышленного интернета вещей (IIoT) явно входит в область регулирования.
Информационные ресурсы в контексте ГосСОПКА
Понятие «информационные ресурсы» в новой части 4 статьи 9 охватывает широкий спектр активов: серверы, базы данных, сайты, сервисы, API. Это означает, что обязанность информировать ГосСОПКА об инцидентах может распространяться не только на АСУ ТП или ГИС, но и на веб-ресурсы государственных органов.
Что изменится для поставщиков ИТ-решений для КИИ
58-ФЗ создаёт новые требования не только для субъектов КИИ, но и для их поставщиков.
Требования к ПАС (программно-аппаратным средствам): отраслевые органы власти теперь вправе утверждать требования к ПАС на значимых объектах КИИ. Это означает, что поставщики оборудования и программных комплексов для КИИ должны быть готовы к появлению отраслевых требований сертификации и соответствия.
Реестр российского ПО: если продукт предназначен для применения на значимых объектах КИИ, его включение в реестр российских программ становится конкурентным преимуществом, а в ряде случаев — обязательным условием выбора.
Практические рекомендации для разных отраслей
Здравоохранение
Ожидается, что Минздрав утвердит отраслевой перечень с такими типами объектов КИИ, как региональные медицинские информационные системы (РМИС), лабораторные информационные системы (ЛИС), системы PACS (архивирование медицинских изображений). Медицинским организациям рекомендуется заблаговременно инвентаризировать используемые ИС и ИТ-инфраструктуру.
Финансовый сектор
Банки, страховые компании и НПФ, являющиеся субъектами КИИ, должны учесть требования Банка России, которые будут интегрированы в отраслевой перечень. Значительная часть требований пересекается с требованиями ГОСТ 57580.
Транспорт
В транспортной отрасли ожидается наибольший охват — от авиации до железнодорожного транспорта. Росавиация и Росжелдор будут утверждать свои перечни, учитывающие специфику отраслевых АСУ и диспетчерских систем.
Заключение
58-ФЗ завершает формирование системного подхода к регулированию КИИ: от общих критериев к отраслевой конкретике, от рекомендаций по импортозамещению к законодательному требованию, от охвата только субъектов КИИ к включению государственных структур в систему защиты. Субъектам КИИ необходимо активно мониторировать публикацию отраслевых перечней своего ФОИВ и заблаговременно готовиться к пересмотру категорирования.
Связанные материалы: Приказ ФСТЭК №239 · Категорирование КИИ · Сравнение приказов ФСТЭК
Чек-лист: что нужно сделать субъекту КИИ после 58-ФЗ
Используйте этот перечень для планирования работ:
Немедленно (статус ИП):
- Проверить, не утратила ли ваша организация статус субъекта КИИ в связи с исключением ИП
В течение 3 месяцев после публикации отраслевых перечней:
- Ознакомиться с отраслевым типовым перечнем объектов КИИ своего ФОИВ
- Сравнить тип своих объектов с типами из перечня
- Провести внеочередной пересмотр категорирования, если текущие результаты не соответствуют отраслевым правилам
- Направить обновлённые сведения во ФСТЭК (если категории изменились)
До конца 2026 года:
- Провести инвентаризацию ПО на значимых объектах КИИ
- Сверить с реестром российских программ
- Составить план миграции на российское ПО для иностранных продуктов
- Убедиться в наличии непрерывного взаимодействия с ГосСОПКА по новым порядкам ФСБ (приказы №546, №547)
Для организаций, попавших под расширение ГосСОПКА (госорганы, ГУП, госкомпании):
- Оценить, относится ли организация к категории, обязанной взаимодействовать с ГосСОПКА
- Разработать внутренний порядок информирования об инцидентах
- Обеспечить техническую возможность подключения к ГосСОПКА
КиберОснова SGRC поддерживает все процессы, связанные с выполнением требований 58-ФЗ: категорирование с учётом отраслевых перечней, реестр ПО и СЗИ на объектах КИИ, управление инцидентами с интеграцией по требованиям ФСБ.
Мониторинг нормативных изменений — обязательная часть управления соответствием требованиям КИИ. После публикации отраслевых перечней субъектам КИИ потребуется конкретный анализ их влияния на категорирование — следите за обновлениями профильного ФОИВ и ФСТЭК.
Актуально на март 2026 года. Источники: 58-ФЗ (07.04.2025), 187-ФЗ, Приказ ФСТЭК №239, ФСБ №547.
