26 февраля 2026 года Правительством Российской Федерации принято распоряжение № 360-р «Об утверждении единого перечня типовых отраслевых объектов критической информационной инфраструктуры Российской Федерации», который разработан в соответствии с Федеральным законом от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
Что определяет документ?
Утвержденный перечень четко определяет, какие именно информационные системы, сети и автоматизированные системы управления в ключевых сферах (сфера здравоохранения, сфера науки, сфера транспорта, сфера связи, сфера энергетики, сфера государственной регистрации прав на недвижимое имущество и сделок с ним, банковская сфера и иные сферы финансового рынка, сфера топливно-энергетического комплекса) относятся к объектам КИИ.
Для каждого типа объекта документ устанавливает:
- Выполняемые процессы (функции) – конкретные задачи, ради которых система создана и работает;
- Виды деятельности субъекта КИИ – коды ОКВЭД, по которым работают организации – владельцы этих объектов.
Категорирование и ответственность
Для организаций, чьи объекты попали в перечень, это означает обязанность провести категорирование своих систем. В зависимости от того, насколько критичен объект (социальный, политический или экономический ущерб от его остановки), ему будет присвоена одна из трех категорий значимости. Это, в свою очередь, запускает цепочку следующих требований:
- Организация отдела, который будет следить за безопасностью систем;
- Обязательное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА);
- Запрет на использование иностранного ПО и оборудования в объектах КИИ первой и второй категорий (Указ Президента Российской Федерации № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации»).
Действующим законодательством на субъектов критической информационной инфраструктуры возложена обязанность по своевременному и достоверному информированию уполномоченных органов. В соответствии со статьей 19.7.15 КоАП РФ, для должностных и юридических лиц административным правонарушением признается:
- непредставление либо несвоевременное представление сведений о результатах категорирования объектов КИИ (или об отсутствии необходимости категорирования) в уполномоченный орган, а также представление недостоверных сведений;
- непредставление либо нарушение порядка и сроков представления информации в ГосСОПКА;
- повторное совершение нарушений.
В отдельных случаях несоблюдение требований по обеспечению безопасности КИИ РФ может привести к уголовной ответственности. Это предусмотрено статьей 274.1 УК РФ «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации».
Таким образом, принятие распоряжения Правительства РФ от 26 февраля 2026 года № 360-р формирует единую нормативную базу для идентификации объектов критической информационной инфраструктуры, закрепляет обязательность их категорирования и создает правовые основания для оценки контрольно-надзорными органами полноты выполнения субъектами КИИ требований законодательства в области обеспечения безопасности.
Практическая реализация положений документа требует от организаций оперативного приведения объектов КИИ в соответствие с актуальными требованиями. Наша организация оказывает содействие в решении данных задач, предлагая комплекс мероприятий по выявлению значимых объектов КИИ и определению их категории значимости, а также проведение проверок и аттестации информационных систем для обеспечения их соответствия требованиям регуляторов. В рамках работ также осуществляется оценка уровня защищенности информационных систем, выявление уязвимостей и подготовка рекомендаций по усилению безопасности. Для предприятий промышленного сектора разработано специализированное комплексное решение по защите информации в автоматизированных системах управления технологическими процессами (АСУ ТП), учитывающее особенности эксплуатации промышленных объектов.
