Логотип компании АВБ-Форт
Защита ПД 2026

КИИ и импортозамещение: дедлайны 2026 года, которые нельзя пропустить

Официальный документ с печатью рядом с индикатором серверного оборудования — символ регуляторных требований к объектам КИИ в 2026 году

2026 год стал для субъектов критической информационной инфраструктуры точкой невозврата. Законодательство, которое несколько лет выстраивалось постепенно — через указы, поправки и подзаконные акты — перешло в фазу жёсткого правоприменения. В 2025 году количество административных дел за несоблюдение процедуры категорирования увеличилось в разы: было возбуждено более 400 дел. Представитель ФСТЭК публично заявила, что в 2026 году число контрольных мероприятий будет только расти. Для IT-директоров и руководителей это означает одно: время на подготовку заканчивается, а цена промедления резко выросла — вплоть до личной уголовной ответственности. Разбираемся, что и к какому сроку необходимо сделать.

Кого это касается: кто является субъектом КИИ

Прежде чем говорить о дедлайнах, важно понять, на кого распространяются требования 187-ФЗ. Субъектами КИИ признаются организации из 13 отраслей: здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, финансовый рынок, топливно-энергетический комплекс, атомная промышленность, оборонная и ракетно-космическая отрасли, горнодобывающая, металлургическая и химическая промышленность. Сюда же относятся компании, обеспечивающие взаимодействие этих систем.
С 1 сентября 2025 года индивидуальные предприниматели исключены из числа субъектов КИИ — требования по импортозамещению на них больше не распространяются. Однако для всех остальных организаций из перечисленных отраслей ситуация стала строже.

Важное изменение 2026 года — появление типовых отраслевых перечней объектов КИИ. Перечень типовых объектов КИИ в различных отраслях утверждён распоряжением Правительства № 360-Р от 26 февраля 2026 года. С принятием этого акта меняется подход к определению систем, относящихся к КИИ: теперь организациям, у которых есть типовые объекты из утверждённых перечней, необходимо пройти категорирование и выполнять обязанности субъектов КИИ. Иными словами, круг организаций, обязанных соответствовать требованиям закона, расширился — и многие компании могут обнаружить, что они попали под его действие, даже не подозревая об этом.

Отдельно стоит отметить новый порядок для «вновь создаваемых» объектов: если субъект КИИ выявляет систему, которая не упомянута в типовых перечнях, но по масштабу возможных последствий соответствует критериям значимости, он обязан самостоятельно присвоить ей категорию и уведомить уполномоченный орган. Это де-факто закрывает возможность откладывать учёт новых цифровых платформ до момента, когда они формально появятся в перечнях.

Дедлайны 2026 года: календарь обязательных действий

Временная шкала ключевых дедлайнов для субъектов КИИ в 2026 году: 1 марта, 1 мая, 1 июня, 1 сентября 2026 и 1 января 2030 года

Регуляторная повестка первой половины 2026 года насыщена конкретными датами, каждая из которых несёт правовые последствия.

  • 1 марта 2026 — уже наступил. С 1 марта 2026 года появился альтернативный вариант исполнения обязанности по использованию отечественного ПО: теперь субъекты КИИ могут применять программы, включённые в специальный перечень российских программ, разработанных и используемых для собственных нужд российскими юридическими лицами. Для включения в этот перечень необходимо предоставить доказательства принадлежности прав на ПО российскому правообладателю. Компании, которые разрабатывали собственные решения или работали с партнёрами, обязаны проверить: соответствует ли используемое ПО новым критериям российского происхождения.
  • До 1 мая 2026. Субъекты КИИ обязаны назначить ответственное должностное лицо — не ниже заместителя руководителя — за организацию перехода на отечественное программное обеспечение. Это не просто кадровое решение: назначение фиксирует персональную ответственность конкретного человека за соблюдение регуляторных требований.
  • До 1 июня 2026. Субъекты КИИ должны получить от уполномоченного органа отраслевой план перехода на российское ПО. В течение месяца после его получения необходимо разработать и согласовать с уполномоченным органом индивидуальный план перехода, который должен содержать перечень значимых объектов КИИ, сведения об используемом ПО, плановые доли российского ПО, прогнозные объёмы затрат и предельные сроки завершения перехода.
  • До 1 августа 2026. Если отечественных аналогов для какого-либо иностранного решения не существует или их внедрение невозможно по объективным причинам, субъект КИИ вправе направить в уполномоченный орган соответствующую информацию для получения продления срока перехода. Это легальный инструмент — но воспользоваться им можно только при наличии документально подтверждённых оснований.
  • 1 сентября 2026 — новые требования ФСТЭК. Общественное обсуждение новых актов ФСТЭК по техническому обслуживанию объектов КИИ завершается 22 апреля 2026 года, а вступление изменений в силу запланировано на 1 сентября. Документы ужесточают требования к удалённому доступу подрядчиков и вендоров к объектам КИИ — тема, которая долгое время оставалась в серой зоне.
  • До 1 января 2030 — стратегический горизонт. Жёсткий дедлайн для перехода на доверенные программно-аппаратные комплексы (ПАК) на значимых объектах КИИ установлен на 1 января 2030 года. Это кажется далёким, но с учётом сроков проектирования, закупок и внедрения в промышленных системах — времени крайне мало.

Что изменилось в части ответственности

Регуляторное ужесточение 2026 года затронуло не только требования, но и санкции за их нарушение. 9 апреля 2026 года Президент РФ подписал федеральные законы № 76-ФЗ и № 77-ФЗ, которыми в КоАП введена отдельная статья об административной ответственности за нарушение правил эксплуатации объектов КИИ.

Принятый закон вводит штрафы от 100 до 500 тысяч рублей за нарушения при эксплуатации объектов КИИ даже в отсутствие реальных инцидентов. Это принципиально важное изменение: раньше административная ответственность наступала преимущественно по факту нарушения сроков категорирования или непредоставления сведений. Теперь штраф может последовать просто за несоблюдение правил эксплуатации — без привязки к тому, случился ли реальный инцидент.

Уголовная ответственность по статье 274.1 УК РФ также никуда не исчезла. Статья применяется не только к хакерам, но и к должностным лицам, допустившим нарушение правил эксплуатации КИИ, которое повлекло вред. Максимальный срок лишения свободы по этой статье составляет 10 лет. Параллельно ожидает подписания закон об освобождении от уголовной ответственности ИБ-специалистов, которые содействовали расследованию инцидентов с неправомерным воздействием на КИИ. Это сигнал: государство разграничивает виновных в нарушениях и тех, кто помогает их расследовать.

Есть и механизм смягчения для тех, кто не успевает. Компании, которые заключат контракты на внедрение отечественных решений до 1 сентября 2026 года, могут рассчитывать на то, что санкции не будут применяться даже если реализация проекта выйдет за рамки 2028 года. Другой вариант — заключение соглашения с Правительством РФ о реализации особо значимого проекта, что позволяет сдвинуть дедлайн на два года.

Типичные ошибки, которые уже стоят денег

Анализ проверочной практики ФСТЭК позволяет выделить несколько устойчивых паттернов нарушений.

Первая и самая распространённая проблема — организации не осознают, что являются субъектами КИИ. Понятие «некатегорированных, но типовых» объектов теперь формально становится фактором риска: органы мониторинга обязаны сообщать во ФСТЭК о выявлении систем, которые соответствуют типовым объектам КИИ, но не прошли категорирование. Иначе говоря, незнание о своём статусе субъекта КИИ больше не защищает от претензий регулятора.

Вторая проблема — разрыв между формальным соответствием и реальным состоянием систем. Акт категорирования подготовлен, сведения во ФСТЭК направлены — а реальная защита объекта не соответствует присвоенной категории. Именно такие несоответствия фиксируются при проверках чаще всего.

Третья зона риска — иностранное ПО, которое продолжает использоваться без плана миграции и документального обоснования. Использование иностранных средств защиты информации без перехода на отечественные аналоги влечёт как административную, так и уголовную ответственность. При этом многие компании по-прежнему эксплуатируют зарубежные решения в режиме «авось не заметят» — стратегия, которая в 2026 году работает всё хуже.

Четвёртая ошибка касается подрядчиков. Договоры с IT-интеграторами и вендорами зачастую не учитывают ни требования по использованию российского ПО, ни ответственность за сроки перехода. В договорах с подрядчиками имеет смысл закреплять обязанности по участию в категорировании, подготовке документации для ФСТЭК и сопровождению проверок. Ответственность субъекта КИИ перед регулятором не делегируется подрядчику автоматически — это придётся прописывать отдельно.

Что делать прямо сейчас

Для IT-директора и руководителя организации, которая может быть субъектом КИИ, приоритетные шаги выглядят следующим образом.

  1. Первое — проверить, попадает ли организация под действие 187-ФЗ с учётом новых типовых перечней. После выхода распоряжения Правительства № 360-Р от февраля 2026 года это нужно сделать заново — даже если несколько лет назад компания уже проводила такой анализ и пришла к выводу, что КИИ её не касается.
  2. Второе — назначить ответственное должностное лицо по переходу на российское ПО до 1 мая. Этот шаг простой административно, но критически важен: он фиксирует цепочку ответственности внутри организации.
  3. Третье — провести аудит используемого ПО и оборудования на предмет соответствия реестру российских программ. Планы перехода должны содержать не только перечень объектов КИИ, но и сведения об используемом ПО, конкретные плановые доли российского ПО и прогнозные объёмы затрат. Без этого аудита составить реалистичный план невозможно.
  4. Четвёртое — для организаций, которые объективно не успевают завершить переход к дедлайну, важно зафиксировать этот факт документально и заключить контракт на внедрение отечественного решения до 1 сентября 2026 года. Это легальный и предусмотренный законодателем способ получить дополнительное время без штрафных последствий.

Вместо заключения

Регуляторная нагрузка на субъектов КИИ в 2026 году достигла того уровня, когда откладывать приведение инфраструктуры в соответствие становится экономически нерационально. Штрафы, уголовная ответственность для должностных лиц и активизация проверочной деятельности ФСТЭК создают среду, в которой стоимость несоответствия превышает стоимость соответствия. Для IT-директора это уже не вопрос ИБ-повестки — это вопрос корпоративного управления и личного риска.

Рубрика: Регулирование
Дмитрий М
20 записей
Предыдущая запись
Обновление модуля платформы «КиберФорт Бот»: удобный Дашборд и умный контроль обучения сотрудников
Следующая запись
Кибер-ловушки в корпоративной безопасности: как мы разрабатываем Deception-модуль для AVB Fort App
Продолжая пользоваться нашим сайтом, Вы даете согласие на обработку ваших cookie файлов. Мы используем cookie-файлы, для того, чтобы получать статистику, которая помогает показывать вам самые интересные и выгодные предложения. Вы можете отключить cookie-файлы в настройках браузера. Политика в отношении обработки ПД