В ноябре 2025 года в силу вступили поправки к Правилам категорирования объектов критической информационной инфраструктуры — постановление Правительства №1762 переписало логику работы с КИИ так, как этого давно ждали регуляторы и, осторожно, боялись операторы. Раньше многие организации подходили к вопросу по принципу «есть важная система — признаём объектом КИИ». Сейчас точка входа изменилась: сначала вы должны сопоставить свою систему с государственным перечнем типовых отраслевых объектов, и только после этого переходить к оценке последствий и присвоению категории.
На бумаге это — правки в ПП-127. На практике — сдвиг парадигмы: перечни перестали быть справочной вкладкой в регуляторных документах и стали обязательным фильтром первого уровня. Ниже — разбор по шагам: от происхождения перечней до конкретного алгоритма действий для субъектов КИИ и списка частых «серых» ситуаций.
Откуда появились перечни и зачем они нужны
Идея типовых отраслевых перечней не новая: 187-ФЗ уже задавал общую рамку — государство определяет критические сферы, внутри которых выделяются объекты, сбой которых наносит ущерб безопасности, экономике, людям или экологии. Последние поправки добавили структурный уровень: не просто «определять», а фиксировать типовые объекты по отраслям с подробным описанием функций и привязкой к видам деятельности.
Ключевая разница простая, но важная. «Типовой объект» в перечне — это строка с описанием: например, «автоматизированные системы управления технологическими процессами» с набором функций и характеристик. Это не ваша конкретная АСУ, а её типовое описание. Живая система в вашей инфраструктуре становится объектом КИИ тогда, когда её функционал совпадает с одним или несколькими такими типовыми описаниями.
К концу 2024 — в 2025 годах основные отрасли утвердили свои перечни: транспорт, энергетика, ТЭК, связь, здравоохранение, наука, промышленность и др. Документы размещены на официальных порталах ведомств — Минцифры, Минтранса, Минэнерго и профильных регуляторов. С 1 сентября 2025 перечни официально стали «точкой отсчёта», а постановление №1762 закрепило это юридически: если тип вашей системы есть в перечне, вопрос о категорировании больше не остаётся в плоскости «хотим/не хотим».
Чем именно изменился ПП-127
Самое существенное нововведение сосредоточено в пункте 3 Правил: категорированию подлежат только те объекты КИИ, которые соответствуют типам ИС, ИТКС и АСУ, включённым в перечни типовых отраслевых объектов. Проще: сначала проверка по перечню, затем — по критериям значимости.
Пункт 5 перестроил последовательность шагов — первый этап категорирования теперь формулируется как «выявление ИС, ИТКС и АСУ, соответствующих типовым объектам КИИ, включённым в перечни». Юридически исчезла прежняя оговорка о «перечнях объектов субъекта» — вы можете вести такой список внутренне, но правовой референт теперь один: отраслевой перечень.
Новый пункт 6(1) вводит обязанность учитывать отраслевые особенности при расчёте показателей критериев значимости; эти нюансы утверждает отраслевой регулятор. Итог: универсальных «калькуляторов категорий» станет меньше — нужен отраслевой подход, учитывающий специфику процессов и последствий.
Работа комиссии по категорированию тоже изменилась: пункт 14 задаёт последовательность — сначала выявление объектов, сопадающих по типу с перечнем, затем анализ угроз и оценка последствий по критериям, и только в финале — присвоение категории или фиксация её ненужности. Перечни получили статус обязательного фильтра №1.
Новые требования к отчётности
В отчётности перед ФСТЭК появилось важное дополнение: теперь в составе сведений, подаваемых после категорирования, обязательно указывать доменные имена и сетевые адреса объекта КИИ, если он взаимодействует с сетями электросвязи общего пользования. Это прописано в пункте 17 (подпункт «к»).
Практический смысл ясен: вместе с категорией и описанием мер защиты нужно формально показать, какие домены и IP используют ваши системы при выходе в публичную сеть. Для кого-то это пара записей, для кого-то — «зоопарк» доменов, проксей и диапазонов. Чем аккуратнее соберёте эти данные сейчас, тем меньше сюрпризов возникнет при аудите или инциденте.
Что делать с объектами вне перечней
Самая болезненная новелла — пункт 22. Если вы выявляете создаваемые объекты КИИ, которые не соответствуют типам из перечней, но по масштабу возможных последствий подпадают под показатели критериев значимости, вы обязаны присвоить им категорию и одновременно направить во ФСТЭК сведения плюс предложение о дополнении перечней типовых объектов.
Иными словами, позиция «нас в перечне нет — значит, мы вне зоны» закрыта. Надо смотреть не только в таблицу, но и на реальные последствия. Если по показателям объект тянет на значимый — вы обязаны и категорировать, и инициировать обновление перечня. Такая проактивность работает в вашу пользу заметно лучше, чем пассивное ожидание обнаружения проблемы регулятором.
Кто теперь мониторит и сверяет
Пункт 19(2) расширяет круг наблюдателей: мониторить корректность сведений по пункту 17 обязаны не только ФСТЭК, но и отраслевые регуляторы, ответственные за политику в конкретных сферах. Это даёт им инструмент сверки — у регулятора есть перечень, и он вправе сопоставлять ваши данные с ним. Итог — двойной контроль и двойная ответственность.
Пошаговый практический алгоритм для субъекта КИИ
Плохая новость: притворяться, что ничего не изменилось, станет сложнее. Хорошая: если у вас уже упорядоченная инвентаризация и рабочая комиссия по категорированию, массовой революции не потребуется. Делать нужно последовательно:
- Найдите свои отраслевые перечни — Минцифры для связи, Минтранс для транспорта, Минэнерго/приказы для энергетики и ТЭК, регуляторы — для промышленности, науки, здравоохранения и т.д. Документы открыты в доступе и теперь — часть правовой основы.
- Составьте сводную таблицу («карта местности») — столбцы: ваши ИС/ИТКС/АСУ → ссылка на строку отраслевого перечня (или «нет в перечне») → статус категорирования (дата акта, категория или решение об отсутствии) → факт направления сведений во ФСТЭК. Эта таблица станет отчетной опорой и основой для работы комиссии.
- Проверьте «серую зону» — пройдитесь по системам, которые раньше не считались КИИ, но их функции теперь совпадают с типовыми описаниями. Если последствия инцидента тянут на показатели значимости — делайте комиссию и расчёты, а не отмалчивайтесь.
- Разберитесь с нетиповыми объектами — если объект не в перечне, но потенциально критичен — проведите категорирование, присвойте категорию и направьте предложение о дополнении перечня. Это бюрократия, но и способ зафиксировать новые виды инфраструктуры.
- Соберите сведения для ФСТЭК (домены и IP) — подготовьте перечень доменов, проксей, IP-диапазонов, через которые объект взаимодействует с сетями общего пользования. Чёткая структура сведений уменьшит риски при проверках и инцидентах.
Частые вопросы и типичные «подводные» камни
Ситуация: объект есть в перечне, но по критериям «не дотягивает»
Перечень сам по себе не делает объект значимым — он означает необходимость внимательного рассмотрения. Если расчёт показателей показывает «ноль» — категория не обязует. Но попытки формально «сбросить» объект без документированного расчёта и логики выглядят рискованно.
Ситуация: объекта нет в перечне, но остановка его работы критична
Новая редакция прямо учитывает такие случаи: обязаны смотреть на показатели критериев значимости и, если они соответствуют, категорировать и инициировать дополнение перечней. Проактивность будет оценена лучше, чем объяснения после инцидента.
Ситуация: компания работает в нескольких отраслях
Если одна платформа обслуживает объекты связи, транспорта и энергетики, придётся проанализировать попадание под разные отраслевые типы и учитывать последствия для каждой сферы в отдельности.
Когда пересматривать уже принятые акты категорирования?
Перечни и поправки начали действовать с 1 сентября 2025, постановление №1762 опубликовано в ноябре 2025. Формально массового обязательного автоматического пересмотра всех актов прямо «сейчас» нет, но откладывать синхронизацию на годы — плохая идея. Рационально привязать плановый пересмотр актов к вступлению в силу отраслевых особенностей и обновлённых перечней, чтобы работу не делать дважды.
Перечни типовых отраслевых объектов КИИ перестали быть справочной вкладкой — они превратились в обязательный фильтр при категорировании. Государство теперь сначала спрашивает: «А ваша система вообще входит в перечень?» и только потом — «А насколько она значима?» При этом перечень не заменяет понимание собственной инфраструктуры: он помогает регулятору и служит опорой в спорных случаях, но не отвечает за то, как конкретно устроены ваши процессы и какие реальные последствия вызовет их сбой.
Рекомендации на быстрое внедрение
— Соберите и структурируйте отраслевые перечни для вашей сферы.
— Сделайте сводную таблицу: ваши объекты → типы в перечне → статус категорирования.
— Идентифицируйте «серую зону» и проработайте её комиссией.
— Для нетиповых критичных объектов подготовьте и отправьте предложения по дополнению перечней.
— Подготовьте домены и IP для включения в уведомления во ФСТЭК.
— Синхронизируйте плановый пересмотр актов категорирования с внедрением отраслевых методик.
В сухом остатке это не драма, а дисциплина: регулятор хочет видеть системный подход, не просто набор актов «под выверку», а актуальную карту инфраструктуры, подтверждённую расчётами и реальными данными. Чем раньше вы согласуете свою инвентаризацию с новыми перечнями и подтянете отчётность — тем ниже вероятность, что следующий «запрос про перечни» придёт вместе с проверкой.