Критическая информационная инфраструктура (КИИ) — понятие, которое еще несколько лет назад звучало только в кабинетах регуляторов. С 2022 года все изменилось: теперь оно напрямую касается тысяч компаний — от банков и промышленных холдингов до частных клиник и телеком-операторов. Впрочем, российское законодательство в этом плане не уникально. Схожее регулирование защиты критической инфраструктуры действует в США, Евросоюзе и Китае. Но все-таки своя специфика присутствует.
Понять логику КИИ-регулирования проще всего через даты.
2017 — Государственная Дума принимает Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Документ закладывает базовые понятия и создает ГосСОПКА — государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак.
2018 — Закон вступает в силу. ФСТЭК России и ФСБ России получают полномочия по контролю и надзору.
31 марта 2022 — Указ Президента № 166: введен запрет на закупку иностранного ПО для значимых объектов КИИ без специального согласования. Под действие попадают компании, работающие по 223-ФЗ.
1 мая 2022 — Указ № 250: руководители организаций — субъектов КИИ лично несут ответственность за информационную безопасность. Назначение заместителя по ИБ или CISO становится обязательным.
1 января 2025 — Госорганы и госкомпании больше не вправе использовать иностранное ПО на значимых объектах КИИ.
1 января 2028 — Основной дедлайн перехода значимых объектов КИИ на российское ПО. При выполнении ряда условий (реализация особо значимого проекта или заключение контракта на разработку отечественного ПО до 1 сентября 2027 года) срок может быть продлен до 1 января 2031 года. Для отдельных организаций, включенных в приоритетные правительственные программы, — до 1 января 2036 года. По данным на май 2026 года, Минцифры прорабатывает именно такую дифференцированную схему сроков для значимых объектов (ЗО КИИ).
Другими словами, законодательство в области КИИ усложняется поэтапно. У компаний вроде бы еще есть время выстроить процессы правильно, но окно возможностей сужается с каждым годом.
Защита критической инфраструктуры — глобальный приоритет, а не особенность российского регулирования. Ведущие экономики мира пришли к аналогичным выводам, пусть и разными путями.
Европейский союз в 2022 году принял Директиву NIS2, которая существенно расширила список критически важных секторов (теперь их 18) и ужесточила требования к инцидент-менеджменту. Директива обязывает компании сообщать о значимых инцидентах в течение 24 часов и предусматривает личную ответственность топ-менеджеров — параллель с российским Указом № 250 очевидна.
США выстраивают защиту КИИ через Агентство по кибербезопасности и защите инфраструктуры (CISA), которое координирует работу 16 критически важных секторов. После атаки на Colonial Pipeline в 2021 году, парализовавшей топливоснабжение на восточном побережье страны, бывший президент страны Джо Байден подписал президентский указ об укреплении национальной кибербезопасности — логика та же, что у российских указов 2022 года.
Китай ввел регулирование в этой сфере еще в 2017 году одновременно с принятием Закона о кибербезопасности, а в 2021-м специально для КИИ были приняты отдельные «Правила защиты критической информационной инфраструктуры». Требования по локализации данных и ограничению иностранного ПО в ключевых секторах там действуют в схожей логике.
Таким образом, Россия движется в русле мирового тренда: государства переосмысляют риски зависимости от иностранных технологий в стратегически важных отраслях и вводят обязательные стандарты защиты. Но у российского регулирования — свои конкретные предпосылки, и они появились раньше, чем многие компании успели их заметить.
К ужесточению требований для КИИ было две конкретные предпосылки.
Первая — уход западных вендоров. Когда в 2022 году рынок покинули Microsoft, Cisco, SAP и сотни других иностранных поставщиков. В итоге значимые объекты КИИ оказались в уязвимом положении: привычная инфраструктура осталась без обновлений безопасности, без патчей, без технической поддержки. Бреши, которые раньше закрывались плановыми обновлениями вендора, превратились в постоянно растущую поверхность атаки. Именно тогда тема импортозамещения перестала быть абстрактным лозунгом в России и стала вопросом операционной выживаемости.
Вторая — системный рост кибератак. До 2022 года главной мотивацией хакеров был финансовый интерес: вымогательство, кража данных, перепродажа доступов. После — атаки на объекты критической инфраструктуры приобрели характер целенаправленных операций против целых отраслей и государственных функций. Согласно отчету «Анатомия ландшафта киберугроз» «Лаборатории Касперского», государственные учреждения в 2025 году приняли на себя 19% всех инцидентов высокой критичности, промышленность — 17%. Количество DDoS-атак на российские компании выросло на 42% в 2025 году по сравнению с 2024-м, а интенсивность атак увеличивалась каждый квартал и достигла пика в третьем квартале 2025 года, по данным Kaspersky DDoS Protection.
Понять, кого именно закон обязывает реагировать на эти угрозы, помогают три базовых понятия.
Закон 187-ФЗ оперирует несколькими ключевыми терминами, которые важно понимать точно — от этого зависит, какие требования применяются к конкретной организации. Если упростить: субъект КИИ — это компания, объект КИИ — конкретная ее система, а категория — ответ на вопрос «насколько плохо будет, если эта система перестанет работать».
Субъекты КИИ — государственные органы, учреждения, российские юридические лица и индивидуальные предприниматели, которым принадлежат информационные системы, сети и АСУ в следующих отраслях: здравоохранение, наука, транспорт, связь, энергетика, банковская сфера и финансовые рынки, топливно-энергетический комплекс, атомная энергия, оборонная и ракетно-космическая промышленность, горнодобывающая, металлургическая и химическая отрасли, а также государственная регистрация прав на недвижимость. Важный нюанс: компания может не работать в этих отраслях напрямую, но при этом быть субъектом КИИ — если она обеспечивает взаимодействие информационных систем таких организаций. Это касается ИТ-интеграторов, провайдеров, разработчиков корпоративного ПО для критических секторов.
Объекты КИИ — конкретные системы, принадлежащие субъектам. Закон выделяет три типа: информационные системы (ИС) — ERP, CRM, медицинские информсистемы и корпоративные порталы; информационно-телекоммуникационные сети (ИТКС) — корпоративные и промышленные сети передачи данных; автоматизированные системы управления (АСУ) — АСУ ТП и SCADA-системы диспетчерского управления.
Категории значимости определяют уровень требований к защите. Если последствия потенциальной атаки признаются существенными, объект получает статус значимого (ЗОКИИ) и одну из трех категорий: 1-я — наивысшая, нарушение работы грозит катастрофическими социальными, экономическими, экологическими или оборонными последствиями; 2-я — значительный ущерб в масштабах региона или отрасли; 3-я — локальные последствия. Чем выше категория, тем строже обязательные к исполнению требования ФСТЭК России и ФСБ России. Незначимые объекты тоже входят в реестр, но требования к ним минимальны.
Законодательство в КИИ предусматривает несколько уровней ответственности.
Административная ответственность наступает по статье 13.12.1 КоАП РФ — она введена специально для нарушений в сфере безопасности КИИ. За нарушение требований к созданию систем безопасности значимых объектов штраф для юридического лица составит от 50 000 до 100 000 рублей; за нарушение порядка информирования об инцидентах или обмена данными о них — от 100 000 до 500 000 рублей. В апреле 2026 года КоАП дополнили статьей 13.12.2, которая вводит аналогичные санкции за нарушение правил эксплуатации объектов КИИ. Причем каждое выявленное нарушение — отдельный состав: одна проверка может обернуться несколькими штрафами одновременно.
Уголовная ответственность (статья 274.1 УК РФ) предусмотрена за неправомерное воздействие на КИИ и нарушение правил эксплуатации. Санкции по части 5 — лишение свободы на срок от 5 до 10 лет при наступлении тяжких последствий. Уголовное преследование применяется при умышленных действиях, однако «не знал» в качестве аргумента все менее убедительно звучит в суде при наличии прямых регуляторных требований.
Личная ответственность руководителей — прямое следствие Указа № 250. Отсутствие назначенного ответственного за ИБ или фиктивное исполнение этой роли фиксируется при проверках и квалифицируется как нарушение.
Помимо юридических санкций, инцидент на значимом объекте КИИ — это репутационные потери, которые в ряде отраслей (финансы, здравоохранение, транспорт) могут стоить дороже любого штрафа. Выстроить защиту так, чтобы не доводить до этой точки, — во многом вопрос технологического выбора.
В числе практических задач, с которыми сталкиваются субъекты КИИ, технологический выбор стоит острее всего. Строить собственную инфраструктуру или переходить в облако? Для крупных организаций — банков, промышленных холдингов, телеком-операторов — облако давно стало стандартом. Оно масштабируется, снижает операционные расходы и избавляет от необходимости содержать собственный ЦОД.
Вопрос «переходить в облако, если ты КИИ, или нет» не совсем корректен. Здесь важно понять, соответствует ли облако необходимым требованиям. Провайдер должен выполнить требования приказа №239 ФСТЭК России от 25 декабря 2017 г. иметь лицензии ФСБ России и ФСТЭК России, а также поддерживать интеграцию с ГосСОПКА. Причем значимым объектам 1-й категории публичное облако точно не подходит — им нужна выделенная или частная среда с контролируемым периметром.
Отдельным уровнем в этой цепочке является аппаратная платформа. Серверы на иностранных процессорах воспроизводят ту же зависимость от западного стека, только на уровне железа. В 2026 году на российском рынке появился готовый ответ на этот запрос — облако Astra Cloud на процессорах Baikal-S. Субъектам КИИ впервые доступно решение, где каждый компонент — от процессора до операционной системы — российского производства, а серверы включены в реестр Минпромторга.
КИИ давно перестало быть только юридическим термином. За ним стоят конкретные требования, реальные дедлайны и личная ответственность руководства. Компании, которые начинают выстраивать соответствие сегодня, выигрывают время и избегают перехода в авральном режиме — когда выбор инфраструктуры диктует не стратегия, а приближающаяся проверка регулятора.
Если вы только начинаете разбираться в теме — скачайте наш чек-лист «10 шагов для перехода на КИИ»: это практический маршрут от первичного анализа до готовности к проверке регулятора.