Изменения в законодательстве по информационной безопасности в 2026 году

Российское регулирование в области защиты информации переживает масштабную трансформацию. В материале — сводка ключевых изменений за январь 2026 года, подробное сравнение приказа ФСТЭК №117 с №17 и практические последствия для организаций.

Обзор нормативных изменений за январь 2026

Критическая информационная инфраструктура

Отраслевые особенности категорирования объектов КИИ в атомной энергетике

16 января 2026 года опубликовано постановление Правительства РФ №4, утверждающее отраслевые особенности категорирования объектов критической информационной инфраструктуры в сфере атомной энергии.

Основные положения:

• В комиссию по категорированию могут входить представители Госкорпорации «Росатом».
• Для объектов КИИ атомной отрасли не применяются отдельные показатели значимости из перечня, утверждённого постановлением №127 от 08.02.2018 (позиции 4, 10, 10¹–10⁷, 14).
• Дополнительные исходные данные включают: техническую и проектную документацию, договоры сервисного обслуживания, документы по эксплуатации и ремонту, сценарии возможных компьютерных атак и инцидентов, сведения из анкет работников.
• Методы расчёта показателей: экспертный, метод аналогий, моделирование атак и инцидентов, расчётный метод с учётом риска аварий.

При расчёте учитываются физические эффекты аварий (пожары, выбросы), параметры продукции по гособоронзаказу и иные факторы.

Отраслевые особенности категорирования объектов КИИ в банковской сфере и финансовом рынке

6 февраля 2026 года принято постановление Правительства РФ №92 «Об утверждении отраслевых особенностей категорирования объектов критической информационной инфраструктуры Российской Федерации в банковской сфере и иных сферах финансового рынка». Документ вступает в силу с 15 февраля 2026 года.

Что это и зачем нужно

Проще говоря: банки, страховые компании, НПФ, биржи, платёжные системы и другие участники финансового рынка обязаны выявлять свои информационные системы, которые относятся к критической инфраструктуре, и присваивать им категории значимости. Раньше общие правила были одни для всех отраслей. Теперь для финансовой сферы утверждены свои правила — что именно считать значимым и как это оценивать.

Кто попадает под действие

Субъекты КИИ в банковской сфере и финансовом рынке — это:

• Центральный банк РФ;
• кредитные организации (банки);
• некредитные финансовые организации (страховые, МФО, НПФ и др.);
• субъекты национальной платёжной системы;
• операторы услуг платёжной инфраструктуры;
• оператор платформы цифрового рубля;
• бюро кредитных историй;
• лица, оказывающие профессиональные услуги на финансовом рынке;
• госорганы и подведомственные им организации, выполняющие функции в банковской сфере и на финансовом рынке.

Как определяется, что система — объект КИИ

Организация проводит инвентаризацию своих информационных систем и сверяет их с перечнями типовых отраслевых объектов КИИ. Если система попадает в перечень — её нужно категорировать. Если система не в перечне, но сбой на ней может привести к серьёзным последствиям (по масштабу ущерба) — её тоже нужно категорировать и предложить добавить в перечень.

Какие системы оцениваются и по каким показателям

Документ детально расписывает, какие типы систем к какому показателю значимости относятся. Например:

• Системы ЦБ по переводу денег — по показателям 6 и 10 (объём операций, значимость функций).
• Системы дистанционного банковского обслуживания (интернет-банк, мобильный банк) — по показателю 10.
• Автоматизированные банковские системы — по показателю 10.
• Процессинг (обработка платёжных операций) — по показателю 10.
• Системы клиринга (расчёты между участниками) — по показателю 10¹ (объём исполненных обязательств в рублях).
• Системы хранения и учёта ценных бумаг — по показателю 10² (количество ценных бумаг).
• Системы НПФ (учёт пенсионных накоплений и резервов) — по показателю 10³.
• Страховые системы (учёт договоров, выплат, убытков) — по показателю 10⁴.
• Системы обмена информацией при операциях с электронными средствами платежа — по показателю 10⁵.
• Системы МФО (учёт микрозаймов) — по показателю 10⁶.
• Бюро кредитных историй — по показателю 10⁷ (количество кредитных историй).
• ЦОД, предоставляющие ресурсы для значимых объектов КИИ (кроме ЦБ, банков и т.п.) — по показателям 6 и 7.

Для каждой категории систем в документе приведены формулы расчёта значений показателей — с учётом объёма операций, активов, количества клиентов и т.д.

Комиссия и отчётность

Организация создаёт комиссию по категорированию, проводит оценку и присваивает категории. Сведения направляются в ФСТЭК. Дополнительно:

• В Минфин — сведения направляют госорганы, ГУП, госучреждения и организации, не являющиеся банками, платёжными системами и т.п.
• В Банк России — кредитные организации, некредитные финансовые организации, субъекты платёжной системы, профессиональные участники рынка.

Ежегодно до 10-го рабочего дня года нужно представлять актуальный перечень значимых объектов КИИ и решение о пересмотре (или об отсутствии пересмотра) категорий.

Практический смысл

Для банков и финансовых организаций документ даёт чёткий алгоритм: какие системы считать критическими, как их ранжировать и куда отчитываться. Это основа для последующего применения мер защиты по 187-ФЗ и приказу ФСТЭК №117.

Ссылки на документ

• Постановление Правительства РФ от 06.02.2026 №92 — полный текст на Контур.Норматив
• Официальная публикация — Официальный интернет-портал правовой информации (опубликовано 07.02.2026)

Персональные данные

Биометрия в системах контроля доступа

24 января опубликован проект поправок к закону №572-ФЗ от 29.12.2022 об использовании биометрических персональных данных. Изменения касаются систем контроля и управления доступом (СКУД):

• Расширяется возможность применения собственных аккредитованных систем с векторами единой биометрической системы — не только для сотрудников, но и для посетителей, аффилированных лиц, дочерних и зависимых обществ.
• Разделяются требования для объектов КИИ по категориям значимости: на территориях КЗ 1 и 2 категории допускаются ИС аккредитованных госорганов и собственные ИС (при аккредитации); на КЗ 3 категории и объектах без категории — ИС других аккредитованных организаций.

Уголовная ответственность за автоматизированную обработку ПДн

27 января опубликован проект изменений в статью 272.1 УК РФ. Вводится самостоятельный состав — «автоматизированная обработка» персональных данных, полученных неправомерно. Это позволит привлекать к ответственности за незаконную обработку независимо от последующих действий. Законопроект направлен на противодействие использованию дипфейков для мошенничества, шантажа и причинения вреда.

Административная ответственность в сфере связи

15 января опубликован проект изменений в КоАП РФ:

• Ответственность за заключение договоров об оказании услуг связи в не установленных или не соответствующих требованиям местах.
• Увеличение штрафа по ч. 4 ст. 13.29 КоАП для юридических лиц — от 500 тыс. до 1 млн рублей.
• Ответственность операторов связи за несоблюдение требований по узлам верификации ГИС «Антифрод» (в т.ч. при дальнейшем взаимодействии) — штраф для юрлиц от 600 тыс. до 1 млн рублей.
• Увеличение срока давности по ст. 13.33 КоАП (электронная подпись) до 1 года.

Законопроект может вступить в силу с 1 сентября 2026 года.

ФСТЭК России

Аттестация объектов информатизации

26 января опубликован проект приказа ФСТЭК об изменениях в порядок аттестации (приказ №77 от 29.04.2021). Проект приведён в соответствие с приказом №117 от 11.04.2025. Основное:

• Требования распространяются на ИС госорганов, ГУП и госучреждений.
• Периодический контроль можно проводить силами собственных подразделений по защите информации (после уведомления ФСТЭК).
• Новые способы аттестационных испытаний, в т.ч. моделирование актуальных угроз.
• Обязательное тестирование на проникновение для ГИС и ИС госорганов 1 и 2 классов защищённости, имеющих подключение к интернету или взаимодействие с внешними системами (с исключениями для систем, работающих только через VPN или сети шифрованной связи).
• Инфраструктура ЦОД для цифровой трансформации госуправления подлежит обязательной аттестации.
• Контроль защищённости — методами анализа уязвимостей и тестирования на проникновение по методике ФСТЭК от 25.11.2025. Отчёт (протокол) предоставляется в ФСТЭК не реже 1 раза в 3 года.

Лицензирование разработки и производства СЗКИ

29 января опубликован проект постановления Правительства об изменениях в Положение о лицензировании (ПП №171 от 03.03.2012):

• Прямой запрет для ИП с иностранным гражданством и юрлиц, руководители которых — иностранные граждане.
• Сокращение обязательного стажа руководителей до 5 лет (ранее 7).
• Увеличение минимального числа ИТР: не менее 5 при работе с техническими средствами защиты, не менее 10 при разработке и производстве программных СЗКИ.
• Обязательное использование оборудования и ПО преимущественно отечественного производства на территории РФ.
• Наличие аттестованной (сертифицированной) ИС для обработки конфиденциальной информации по месту деятельности.
• Обязательная система производственного контроля по ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного ПО. Общие требования».

Лицензирование деятельности по ТЗКИ

29 января опубликован проект изменений в Положение о лицензировании ТЗКИ (ПП №79 от 03.02.2012):

• Те же ограничения для иностранных ИП и юрлиц с иностранными руководителями.
• Новые требования к штату: для мониторинга ИБ — не менее 15 ИТР (5 со стажем от 3 лет); для аттестационных испытаний — не менее 9 ИТР (3 со стажем от 3 лет); для иных услуг — не менее 5 ИТР со стажем от 3 лет.
• Обязательное использование преимущественно отечественного оборудования и ПО на территории РФ.
• Система производственного контроля качества для большинства видов деятельности.

Приказ ФСТЭК №117 vs №17: в чём принципиальная разница

С 1 марта 2026 года приказ №17 утрачивает силу, вместо него действует приказ ФСТЭК №117. Это не косметическое обновление, а смена логики регулирования.

Смена подхода: от «чек-листа» к риск-ориентированной модели

Приказ №17 закреплял фиксированный перечень требований. Категорирование и выбор мер во многом зависели от типа системы, а не от реальных угроз и последствий.

Приказ №117 требует выстраивать защиту на основе модели угроз, рисков и условий эксплуатации. Одинаковые по типу ИС могут требовать разного уровня защиты в зависимости от последствий инцидентов. Регулятор оценивает не только наличие мер, но и их обоснованность и эффективность.

Терминология и область применения

В приказе №117 переработан понятийный аппарат. Термины приведены в соответствие с 149-ФЗ, 187-ФЗ и подзаконными актами. Расширено понимание системы информационной безопасности: организационные, программные и технические меры рассматриваются как единое целое.

Классификация и уровни защищённости

Приказ №17: класс защищённости фактически задавал исчерпывающий набор мер.

Приказ №117: уровни формируются на основе анализа ущерба, актуальных угроз и архитектуры. Учитываются риски ИБ, а не только формальные признаки.

Модель угроз и нарушителя

Приказ №17: модель угроз часто носила формальный характер и использовалась в основном при проектировании и аттестации.

Приказ №117: особое внимание — угрозам, связанным с удалённым доступом, цепочками поставок и человеческим фактором. Модель должна отражать реальные сценарии атак.

Организационные меры

Приказ №17: организационные меры нередко сводились к наличию регламентов и приказов.

Приказ №117: политика ИБ должна быть рабочим документом с ролями, ответственностью и порядком принятия решений. Усилены требования к обучению персонала и внутреннему контролю.

Технические и программные меры

Приказ №17: акцент на перечне сертифицированных СЗИ и их наличии.

Приказ №117: фокус на результате — способности предотвращать и выявлять инциденты. Допускаются комбинированные решения при обосновании эффективности. Возрастает роль мониторинга и журналирования.

Новые направления

В приказе №117 отдельно выделены:

• защита веб-приложений и API;
• защита удалённого доступа (обязательная строгая аутентификация, VPN, контроль конфигурации удалённых рабочих мест);
• безопасность работы с подрядчиками;
• защита систем виртуализации и облачных сред;
• технологии интернета вещей, контейнеров и оркестрации.

Инфраструктура и подрядчики

Приказ №17 концентрировался на периметре ГИС. Компоненты ИТ-инфраструктуры вне периметра могли не аттестовываться.

Приказ №117 распространяет требования на ИТ-инфраструктуру, на которой работают ГИС. Подрядчики должны предоставлять аттестат по той же модели угроз и классу, что и заказчик. Это принципиально меняет требования к цепочке поставок.

Реагирование на инциденты

Приказ №117 уточняет процессы выявления, анализа и устранения инцидентов. Требуются средства корреляции событий и контроля целостности.

Почему вырастут затраты

Расширение области действия

Требования распространяются не только на ГИС, но и на ИС госорганов, ГУП, госучреждений и муниципальных органов. Расширена трактовка понятия ГИС — это любая система органов власти, где обрабатываются государственные данные.

Новые обязательные меры

• Обязательное тестирование на проникновение для ГИС 1 и 2 классов с выходом в интернет.
• Защита удалённого доступа с контролем конфигурации, VPN, антивирусом и дополнительными средствами.
• Защита веб-приложений и API.
• Требования к виртуализации: сертифицированные решения или наложенные СЗИ.
• Обязательная аттестация инфраструктуры ЦОД для цифровой трансформации госуправления.

Подрядчики

Подрядчикам необходимо выстраивать аттестованные сегменты и соответствовать тем же требованиям, что и заказчик. Для многих это новые задачи, требующие консалтинга и доработки инфраструктуры. Сокращается круг поставщиков, способных выполнить требования, что ведёт к росту цен.

Оценки рынка

По данным участников рынка, при внедрении решений в 2025 году возможна экономия до 30%. С 2026 года ожидается:

• рост стоимости на 25–30% из-за изменений в налоговом и сертификационном регулировании;
• увеличение затрат на аттестацию из-за новых требований;
• рост цен на лицензии и сертификацию.

Ответственность

Приказ №117 фактически расширяет зону управленческой ответственности. Ошибки в оценке угроз могут повлечь не только регуляторные, но и имущественные риски. Ответственность перестаёт замыкаться только на подразделении ИБ.

Дополнительные тренды 2026 года

152-ФЗ (персональные данные)

• Ужесточение штрафов (вплоть до миллионов рублей).
• Усиление требований к локализации ПДн граждан РФ.
• Новые правила согласия и уведомления субъектов (с 1 сентября 2025).

187-ФЗ (КИИ)

• Исключение ИП из субъектов КИИ.
• Расширение полномочий Правительства РФ.
• Требования по использованию отечественного ПО на значимых объектах.
• Распространение требований на подрядчиков и поставщиков.

Антифрод-платформа и биометрия

• С 1 марта 2026 — запуск ГИС противодействия кибермошенничеству (41-ФЗ).
• МФО обязаны аутентифицировать заёмщиков по биометрии при заключении договоров потребительского займа в электронной форме.

Законопроект о штрафах за нарушения при эксплуатации КИИ

Рассматривается введение ст. 13.12.2 КоАП: штрафы для граждан 5–10 тыс. руб., для должностных лиц 10–50 тыс. руб., для юрлиц 100–500 тыс. руб. за нарушение правил эксплуатации объектов КИИ.

Рекомендации по подготовке

1. Провести правовой аудит — сопоставить текущие меры с требованиями приказа №117, оценить обоснованность выбора мер с точки зрения угроз и последствий.
2. Актуализировать модель угроз — убедиться, что она отражает реальные сценарии атак, включая удалённый доступ, цепочки поставок и человеческий фактор.
3. Обновить локальные нормативные акты — политики и регламенты по ИБ должны соответствовать новой терминологии и логике приказа №117.
4. Закрепить распределение ответственности — роли и полномочия не только ИБ-специалистов, но и руководителей подразделений, ИТ и топ-менеджмента.
5. Проверить готовность к инцидентам — наличие процедур выявления, фиксации, анализа и принятия решений.
6. Не откладывать — аттестации по приказу №17, проведённые до 1 марта 2026 года, сохраняют силу; при планировании новых проектов целесообразно ориентироваться на требования №117.

Источники: Обзор УЦСБ за январь 2026 , Клерк.Ру о приказе 117 , Anti-Malware.ru о требованиях к ГИС , Компьютерра о трендах ИБ 2026 , Lidings об изменениях КИИ 2025–2026 , D-Russia о ПП-92