С 1 сентября 2025 года вступили поправки к закону о критической информационной инфраструктуре (КИИ), но фактический переход на отечественный софт КИИ ещё не стартовал. Правительство готовит подзаконные акты, перечни типовых объектов и порядок категорирования. Для организаций это окно подготовки: инвентаризация систем, пилоты российских решений и планирование миграции без простоев.
Что такое критическая информационная инфраструктура (КИИ) и зачем её защищать
Критическая информационная инфраструктура (КИИ) — это ИТ-системы, сети связи, базы данных и автоматизированные комплексы, от которых зависят безопасность людей, устойчивость экономики и работа государства. К КИИ относят системы госорганов, финансовых институтов, энергетики и ТЭК, транспорта, здравоохранения и других отраслей. Атака или сбой на таких объектах приводят к реальному ущербу: от остановки услуг до рисков для жизни и экологии.
Поправки закрепляют ориентир на отечественные технологии и постоянное взаимодействие с ГосСОПКА, но детальная механика внедрения ещё согласуется. Поэтому переход на отечественный софт КИИ — процесс поэтапный: сначала — методика и перечни, затем — конкретные сроки, контроль и ответственность. Важно уже сейчас описать ландшафт систем, критичность и точки интеграции, чтобы быстро «подхватить» требования, когда они выйдут.
Для читателя это означает простую вещь: государство централизует правила игры для объектов КИИ, чтобы унифицировать подходы, убрать «серые зоны» самооценки значимости и ускорить импортозамещение там, где риски выше всего.
Что уже действует, а что отложено по срокам
С 1 сентября 2025 года вступили нормы, которые принципиально требуют использования ПО из реестра Минцифры и постоянной интеграции с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Однако перечни типовых объектов, особенности их категорирования и детальные процедуры перехода отнесены к подзаконным актам. По актуальному плану, базовый документ должен быть принят не позднее 1 апреля 2026 года; до этого момента отрасли финализируют списки объектов и правила мониторинга.
Параллельно действует «долгая» рамка для госсектора: запрет на иностранный софт на значимых объектах и переход на доверенные программно-аппаратные комплексы до 1 января 2030 года. Для бизнеса это даёт ясный горизонт и время на подготовку. Переход на отечественный софт КИИ логично разбивать на волны: быстрые замены с нулевым риском, пилоты трудозатратных компонентов, затем — миграции ядра.
Ниже — краткий таймлайн, помогающий соотнести нормативные вехи и планы внедрения.
- 2017 — принят закон о КИИ, введены базовые требования безопасности.
- 14.11.2023 — установлен поэтапный переход госсектора на отечественные решения до 2030 года.
- 01.09.2025 — вступили поправки: курс на отечественный софт и интеграцию с ГосСОПКА.
- ≤ 01.04.2026 — ожидается подзаконный акт с перечнями типовых объектов и порядком категорирования.
- 01.01.2030 — дедлайн для 100% доверенных ПАК в госсекторе.
Кто за что отвечает: ведомства и отрасли в контуре КИИ
Если раньше владельцы КИИ сами присваивали категориям значимости уровни, то теперь логика централизуется государством. Правительство определяет типовые отраслевые объекты по согласованию с ФСБ (и с ЦБ — для финансов), закрепляет особенности категорирования, порядок мониторинга и сроки перехода на отечественные решения. Минцифры дорабатывает особенности для связи, ФСТЭК формирует отраслевые списки; Банк России прорабатывает планы для значимых финансовых организаций. В энергетике и ТЭК импортозамещение началось ещё до поправок — сейчас согласуются перечни и специфика категорирования; в транспорте действует поэтапная модель до 2030 года.
Такой подход снижает разнобой требований, помогает рынку понимать порог рисков и инвестировать адресно. Чтобы переход на отечественный софт КИИ прошёл без срывов, компаниям важно заранее выстроить коммуникацию с регуляторами и уточнить, какие их системы попадут в типовые списки.
| Миф | Факт |
|---|---|
| «Нельзя грустить — надо держаться» | Лёгкая грусть — нормальная реакция на завершение приятного этапа. |
| «Осенью всё станет только хуже» | Ритуалы и планирование снижают стресс и возвращают ощущение контроля. |
| «Отпуск не удался — год пропал» | Ценность создают регулярные маленькие практики, а не один «идеальный» отпуск. |
| «Мне просто лень» | Часто за этим стоят перегруз и дефицит восстановления — это можно настроить. |
Что делать компаниям уже сейчас: практический чек-лист
Пока нормативные детали дорабатываются, не стоит ждать «финального указа». Подготовительный фронт работ понятен и экономит месяцы, когда начнут тикать официальные сроки. Ниже — короткий план, который можно запустить уже на этой неделе. Он поддержит переход на отечественный софт КИИ без лишних рисков и простоев.
Заключение
Идёт перенос акцента от разрозненной самооценки к централизованным правилам. Это повышает предсказуемость и качество защиты, но требует дисциплины исполнения. Компании, которые уже сегодня описывают КИИ-ландшафт, тестируют российские решения и выстраивают мониторинг, пройдут переход на отечественный софт КИИ быстрее и дешевле — без «авралов» в 2026 году и с комфортным горизонтом до 2030.
