Перечень типовых отраслевых объектов критической информационной инфраструктуры (КИИ), утвержденный в феврале 2026 года распоряжением Правительства РФ № 360-р, сделал подход к защите КИИ более жестким. Теперь игнорирование документа грозит не только высокими штрафами, но и остановкой бизнеса.

Какие направления являются наиболее критичными? Требуется ли дальнейшая корректировка действующей в отношении субъектов КИИ законодательной базы? Об этом газете «Энергетика и промышленность России» рассказали директор департамента реализации инфраструктурных проектов «Софтлайн Решения» (ГК Softline) Виталий ПОПОВ и консультант по информационной безопасности UDV Group Ольга ЛУЦЕНКО.

— Что изменило для субъектов КИИ распоряжение №360-р?

Виталий Попов:

— Распоряжение перевело регулирование в более предметный и обязательный формат. Раньше определение объектов, подлежащих категорированию, опиралось преимущественно на внутреннюю оценку самой организации. Теперь к этому добавляется утвержденный государством перечень типовых отраслевых объектов.

То есть поле для произвольного толкования — «будем категорировать или не будем, можно вынести, а можно и не выносить» — сузилось. Попадание объекта под регулирование теперь определяется этим перечнем.

И важный момент: ранее принятые решения по составу объектов КИИ во многих случаях требуют пересмотра.

Ольга Луценко:

— Выход перечня типовых отраслевых объектов КИИ одновременно упрощает категорирование и усложняет соблюдение требований регулятора. Перечень, по сути, диктует субъектам, какие системы обязательно должны быть прокатегорированы.

Субъект КИИ, по большей части, лишен права решать, какие системы включать в перечень объектов КИИ, а какие — нет, поскольку отныне категорирование осуществляется исключительно по принципу наличия системы в перечне типовых отраслевых объектов КИИ.

Данные документы направлены на стандартизацию процессов категорирования для каждой отрасли, при организации категорирования в четком соответствии с этими требованиями у каждого субъекта КИИ может значительно расшириться перечень объектов КИИ, и, что немаловажно — значимых объектов КИИ. Данные изменения ведут к увеличению объема требований по защите информации, включая организационные и кадровые меры.

— Многие, но не все субъекты КИИ уже перешли на отечественное ПО. В чем причина промедления?

Виталий Попов:

— Одно из главных ограничений — зрелость отечественных решений. В ряде сегментов они уже готовы к промышленной эксплуатации, однако в отдельных областях функциональность все еще требует доработки. Дополнительный барьер — сложность и стоимость миграции. Ведь здесь речь идет не просто о замене лицензий, а о комплексной перестройке ИТ-ландшафта — от интеграций и процессов до обучения персонала и организации поддержки.

Отдельный риск связан с человеческим фактором. Переход на новые системы требует времени на адаптацию пользователей, и без системного обучения сопротивление изменениям может снизить эффект даже при технически корректном внедрении.

Ольга Луценко:

— Мы видим три основных группы факторов, влияющих на промедление в вопросе импортозамещения.

Во-первых, высокие трансформационные издержки и технологическая сложность. Импортозамещение в корпоративном сегменте может пройти довольно безболезненно и предсказуемо, основная проблема в переходе на импортозамещенные решения для специализированного ПО (АСУ ТП, SCADA, PLM-системы, промышленные контроллеры). Во многих отраслях энергетики годами выстраивалась цепочка, где иностранное ПО является неотъемлемой частью технологического процесса. Его замена требует полной перестройки технологических процессов и, зачастую, длительных остановок, что для многих субъектов КИИ недопустимо.

Здесь мы переходим ко второй группе факторов, косвенно связанной с первой, — экономическая модель и инвестиционный цикл. У субъектов КИИ, особенно госкомпаний, бюджеты утверждаются на 3–5 лет вперед. Выход нормативных актов об импортозамещении застал многие организации в середине их инвестиционных циклов. Кроме того, стоимость «зрелого» российского ПО для КИИ зачастую сопоставима с закупкой новых аппаратных комплексов, что требует выделения отдельных капитальных затрат, а не операционных.

И третья группа факторов — дефицит компетенций на стыке IT и технологических процессов. Мы столкнулись с ситуацией, когда отечественные разработчики создали качественный продукт, но на стороне заказчика (субъекта КИИ), да и на рынке в целом, сохраняется дефицит архитекторов и инженеров, способных мигрировать сложные гетерогенные среды без потери функциональности и с обеспечением непрерывности процессов. Перестройка процессов под новое ПО требует времени и высокого уровня квалификации.

— Требуется ли дальнейшая корректировка действующей в отношении субъектов КИИ законодательной базы?

Виталий Попов:

— Категорирование — процесс, который нуждается в уточнении. Базовое направление — детализация: более конкретное регулирование с указанием методик применения типовых объектов на практике. Нужны единообразные подходы и понятные правила пересмотра ранее проведенного категорирования, чтобы применение норм было прозрачным и однозначным.

Законодательство в этой сфере постоянно уточняется — и это нормально. Появляются новые объекты, меняется инфраструктура у заказчиков, и регуляторика просто вынуждена подстраиваться под эти изменения.

Ольга Луценко:

— На наш взгляд, стоит детально подойти к стимулированию создания «связанных» решений (стеков). Сейчас субъект КИИ часто вынужден самостоятельно связывать в единую систему российскую ОС, российские СУБД, SCADA и средства защиты. Юридически это разрешено, но технически часто возникают конфликты совместимости. Нужна корректировка законодательства в части госзакупок (44-ФЗ, 223-ФЗ), чтобы разрешать и поощрять закупку технологических стеков (полных экосистем) у одного интегратора или вендора, несущего полную ответственность за работоспособность комплекса, даже если цена такого стека выше суммы отдельных компонентов.

Кроме того, рассмотреть возможность усиления ответственности за нарушение требований для поставщиков ПО. Важно законодательно усилить ответственность разработчиков ПО за наличие недекларированных возможностей (бэкдоров) в продуктах, поставляемых для КИИ. Переход на отечественное ПО теряет смысл, если оно имеет критические уязвимости, заложенные на этапе разработки.

Также важно законодательно закрепить возможность утверждения долгосрочных дорожных карт миграции для сложных технологических объектов.

В целом, движение в сторону технологического суверенитета КИИ идет правильным курсом, но сейчас рынок и регуляторы проходят этап «болезни роста». Ключевая задача на ближайшие два года — перейти от тотальной замены к управляемой, риск-ориентированной миграции, где приоритетом будет не формальное исполнение предписания, а фактическая устойчивость инфраструктуры к киберугрозам.

— Как можно приоритизировать критичные системы, оценивая риски и запросы исключений для технически невозможных к замене компонентов?

Ольга Луценко:

— Это один из самых сложных практических вопросов. Приоритизация должна строиться на риск-ориентированном подходе. Можно использовать следующий алгоритм.

Категорирование и сегментация. В первую очередь замещению подлежат системы, которые имеют прямой выход в сети общего пользования или сопряжены с корпоративными сетями (сегменты, где риск компрометации наиболее высок). Системы, находящиеся в изолированных контурах АСУ ТП, имеют более высокий допустимый срок эксплуатации иностранного ПО при условии усиления средств защиты.

Оценка критичности бизнес-функции. Замена начинается с систем, остановка которых на период миграции наименее критична или для которых создан полный «откатный» сценарий. Самые критические системы должны замещаться в последнюю очередь, но с использованием механизма «песочниц» и тщательного нагрузочного тестирования.

Запросы исключений (ПО, технически невозможное к замене). ФЗ-187 и подзаконные акты предусматривают эту возможность. Здесь важна доказательная база и необходимость компенсационных мер.