18 ноября 2025 года вступили в силу изменения в порядок категорирования объектов критической информационной инфраструктуры. Постановление Правительства Российской Федерации №1762 полностью перестраивает подход к определению объектов КИИ, их значимости и последующим обязанностям субъектов. Фактически государство перезапускает весь механизм категорирования: от выявления объектов до контроля соблюдения требований.

Актуальная редакция порядка категорирования объектов критической информационной инфраструктуры уже доступна в сервисе SECURITM. Но нужно отметить, что факт публикации документа — только начало. Компании столкнутся с необходимостью пересматривать методики, документы, процессы мониторинга и всю архитектуру учета объектов КИИ.

Мы разобрались, что именно меняется и как организациям подготовиться к переходу на новую систему.

Постановление №1762 меняет важное

Если раньше категорирование строилось вокруг понятия «критических процессов», которые нужно выявить, описать, оценить и на их основе определить значимость объектов ИТ-инфраструктуры, то теперь этот элемент исключён полностью. В новой редакции нет анализа процессов, значимость больше не исходит из потребностей конкретной компании и не зависит от того, как она структурирует свои сервисы.

Государство предлагает новый подход: ориентироваться на перечни типовых отраслевых объектов КИИ и дополнительную информацию, указанную в отраслевых особенностях категорирования. Фактически субъектам нужно сопоставить свою инфраструктуру с заранее определённым набором типов объектов. Однако перечни и отраслевые особенности пока не утверждены, что создаёт уникальную для отрасли ситуацию: требования уже действуют, но ориентировочные модели ещё не приняты официально.

Вообще, для субъектов КИИ наличие таких перечней не в новинку, так как ранее подобные перечни были опубликованы отдельно каждым отраслевым регулятором для каждой из 14-ти сфер деятельности. Но если раньше они имели скорее рекомендательный характер, то теперь их «статус» повышен.

Но мы всё еще ждем агрегированное постановление Правительства РФ о перечнях типовых объектов КИИ.

Транспорт, энергетика, ТЭК, связь, здравоохранение, наука, оборонка, химия, металлургия, горнодобыча, атомная отрасль — все основные направления в своё время получили свои списки. Документы открыто лежат на официальных сайтах: Минцифры — для связи, Минтранс — для транспорта, Минэнерго — для энергетики, плюс регуляторы для промышленности, науки и других сфер.

С 1 сентября 2025 года эти перечни стали официальной точкой отсчёта. Постановление №1762 закрепило это юридически: если твой тип системы есть в перечне, прятаться от категорирования стало гораздо сложнее. У субъектов КИИ теперь два уровня списков: сверху — государственные перечни типовых объектов по отраслям, снизу — ваш внутренний перечень конкретных ИС, сетей и АСУ, которые этим типам соответствуют.

Отсюда и главная проблема последующих месяцев: компании вынуждены пересматривать процессы категорирования, не имея всех необходимых исходных данных.

Как теперь выявлять объекты КИИ

С введением новой логики субъект КИИ должен находить не процессы, а системы, которые соответствуют типовым объектам для его отрасли. Допустим, компания относится к финансовому сектору. Ранее она описывала жизненный цикл платежей, обработку операций или обмен данными с регулятором. Теперь же ключевым становится поиск информационных систем, которые подпадают под типовой перечень для банковской сферы.

При этом до утверждения этих перечней организациям приходится использовать комбинацию актуальной редакции, исторических данных, проектных решений и профессионального опыта. Фактически сейчас работает переходный режим, где субъект должен проявить максимально широкий охват: все потенциально значимые системы должны быть включены в периметр анализа, чтобы исключить риск нарушения.

ФСТЭК прямо указывает на это в изменениях к составу нарушений: невыявление объектов, подпадающих под перечни, теперь является отдельным нарушением и может привести к санкциям. Поэтому универсальный подход «подождём разъяснений» не очень подходит к ситуации.

Оценка значимости теперь отраслевой: что это значит для бизнеса

Второй важный элемент изменений — необходимость учитывать отраслевые особенности категорирования (которых еще также нет). Это касается банков, промышленности, транспорта, медицины, связи, госструктур и других направлений.

Это изменение должно повысить точность оценки последствий компьютерных инцидентов. Однако оно же усложняет работу субъектов, поскольку будет недостаточно просто применять ранее разработанные методические документы. Каждая отрасль получит свой набор критериев, пороговых значений и требований к доказательной базе. В некоторых секторах добавлены совершенно новые показатели: например, для микрофинансовых организаций и бюро кредитных историй.

Когда отраслевые документы выйдут, компаниям придётся: пересматривать категорию существующих объектов; вносить изменения в акты категорирования и модели угроз;  корректировать процессы мониторинга и отчётности; исправлять несоответствия, выявленные по новым критериям.

И здесь важна автоматизация: делать это вручную в крупных организациях будет чрезвычайно сложно.

Что делать, если объект создаётся с нуля и попадает под критерии, но отсутствует в перечнях

Это ещё один новый элемент порядка. Если организация строит информационную систему с нуля, и она по последствиям инцидентов подпадает под критерии значимости, но в отраслевом перечне её пока нет, субъект обязан провести категорирование и направить предложение о включении такого объекта в перечень.

Так появляется механизм «снизу вверх», когда компании могут инициировать корректировку отраслевых перечней. А значит, им придётся документировать архитектуру, риски, последствия и метрики значимости не только для собственной безопасности, но и для ведомственного учёта.

Ужесточение контроля: что теперь считается нарушением

ФСТЭК усиливает надзор.Теперь в список нарушений включены:

• несоблюдение отраслевых особенностей категорирования;

• невыявление объектов, подпадающих под перечни;

• некорректные сведения об объекте, включая отсутствие доменных имён и сетевых адресов в случаях, когда объект подключён к интернету.

Последний пункт напрямую связан с изменениями в форме подачи сведений, утверждённой приказом ФСТЭК №236. Для многих компаний это значит, что реестры придётся обновлять под новые требования и делать это в короткие сроки.

Как компании могут подготовиться к работе по новым правилам

Переходный период неизбежно создаст операционную нагрузку: от пересмотра моделей выявления объектов до корректировки внутренних регламентов. Но есть ряд шагов, которые стоит предпринять уже сейчас, не дожидаясь появления отраслевых особенностей.

Первое — провести ревизию всех систем, потенциально относящихся к КИИ. Чем шире охват, тем ниже риск пропустить объект, который позже окажется в перечне.

Второе — обновить внутренний регламент категорирования, исключив терминологию и подходы, связанные с «критическими процессами».

Третье — проверить корректность ведения реестров, особенно в части доменных имён и сетевых адресов.

Четвёртое — пересмотреть порядок взаимодействия с ИТ и службами эксплуатации. В новых условиях категорирование требует более плотного межфункционального взаимодействия, чем раньше.

Пятое — заложить ресурсы под повторное категорирование после опубликования отраслевых требований. Это произойдёт неизбежно, и лучше готовиться заранее.

Как SECURITM помогает компаниям адаптироваться к изменениям

SECURITM обновил порядок категорирования в сервисе сразу после публикации постановления №1762, что позволяет компаниям работать по актуальным требованиям уже сейчас. В системе изменена структура карточек объектов, актуализированы ссылки на нормативные документы, добавлены новые обязательные сведения и учтены положения приказа №236.

Платформа помогает субъектам выявлять потенциально значимые системы, формировать реестры, контролировать заполненность обязательных полей и фиксировать архитектуру объекта. В условиях отсутствия отраслевых перечней это позволяет сформировать предварительную модель и минимизировать риск невыявления.

Отдельное значение имеет модуль активов: он повышает прозрачность инфраструктуры, что критично в период пересмотра критериев значимости. Как только появятся отраслевые особенности, SECURITM сможет автоматически сопоставлять объекты компании с типовыми перечнями и указывать на несоответствия.

Кроме того, система поддерживает подготовку сведений по требованию приказа №236, включая наличие доменных имён и сетевых адресов, что снимает существенную часть ручной работы.

Что будет дальше и как изменится работа субъектов КИИ в 2026 году

Ожидается, что основные отраслевые особенности категорирования будут утверждены в ближайшие месяцы. После их публикации субъектам предстоит вторая волна работы: повторное категорирование; корректировка внутренних документов; переоценка значимости объектов и адаптация под новые критерии мониторинга.

Чем крупнее организация, тем выше операционная нагрузка. Поэтому автоматизация процессов категорирования и учёта объектов станет необходимостью. Компании, которые заранее настроят процессы и обеспечат прозрачность инфраструктуры, пройдут переходный период с минимальными потерями.

Постановление Правительства РФ №1762 — один из самых значимых документов для КИИ за последние годы. Оно меняет саму логику категорирования: от анализа процессов к работе с типовыми объектами, от общих критериев к отраслевым моделям, от гибкого подхода — к формализованному и более строгому.

Для бизнеса это означает необходимость обновить процессы, пересмотреть реестры, улучшить взаимодействие между ИБ, ИТ и эксплуатацией, а также подготовиться к повторному категорированию после появления отраслевых особенностей.

SECURITM уже адаптирован под новую редакцию порядка категорирования и позволяет компаниям уверенно работать в переходный период, поддерживая актуальность данных, снижая риски нарушений и обеспечивая прозрачность инфраструктуры.