В ноябре 2025 года вышло постановление Правительства №1762, которое основательно переписало логику категорирования объектов критической информационной инфраструктуры. Если раньше многие субъекты КИИ действовали по принципу "есть важная система — давайте признаем её объектом КИИ", то теперь точка входа принципиально другая. Сначала проверяешь, попадает ли твоя система в государственный перечень типовых отраслевых объектов, и только потом начинаешь разговор о критериях значимости.
Формально это «всего лишь» несколько новых формулировок в старом добром ПП-127. Фактически — смена парадигмы. Перечни превратились из справочного инструмента в обязательный фильтр первого уровня. Давайте разберёмся, что это значит на практике, куда смотреть и как готовиться к новой реальности.
Откуда взялись перечни и зачем они нужны
Идея перечней типовых отраслевых объектов КИИ появилась не вчера. Базовая логика 187-ФЗ про КИИ такая: государство определяет критические сферы, а внутри них — конкретные объекты, сбой которых бьёт по безопасности, экономике, людям или экологии. Последние поправки к закону добавили к этому ещё один организационный слой — перечни типовых объектов по отраслям плюс отраслевые особенности категорирования.
Важно понимать разницу. Типовой объект — это не ваша конкретная «АСУ котельной №3», а строка в официальной таблице вроде «автоматизированные системы управления технологическими процессами...» с чётко описанными функциями, процессами и привязкой к видам деятельности. Ваш живой объект КИИ — это уже реальная система в реальной инфраструктуре, которая по функционалу совпадает с одним или несколькими типовыми описаниями из государственного перечня.
В 2023–2024 годах большинство отраслей свои перечни утвердили. Транспорт, энергетика, ТЭК, связь, здравоохранение, наука, оборонка, химия, металлургия, горнодобыча, атомная отрасль — все основные направления получили свои списки. Документы открыто лежат на официальных сайтах: Минцифры — для связи, Минтранс — для транспорта, Минэнерго — для энергетики, плюс регуляторы для промышленности, науки и других сфер.
С 1 сентября 2025 года эти перечни стали официальной точкой отсчёта. Постановление №1762 закрепило это юридически: если твой тип системы есть в перечне, прятаться от категорирования стало гораздо сложнее. У субъектов КИИ теперь два уровня списков: сверху — государственные перечни типовых объектов по отраслям, снизу — ваш внутренний перечень конкретных ИС, сетей и АСУ, которые этим типам соответствуют.
Как именно изменился ПП-127
Главное изменение спрятано в пункте 3 Правил. Теперь там чёрным по белому написано: категорированию подлежат только те объекты КИИ, которые соответствуют типам информационных систем, информационно-телекоммуникационных сетей и АСУ, включённым в перечни типовых отраслевых объектов. То есть сначала ваш объект должен «зайти» по типу в отраслевой перечень, и уже потом вы идёте по критериям значимости и присваиваете категорию или честно признаёте, что она не нужна.
В пункте 5 аккуратно подрезали старую логику шагов. Первый этап категорирования теперь звучит как «выявление ИС, ИТКС и АСУ, соответствующих типовым объектам КИИ, включённым в перечни». Всё. Никаких промежуточных «перечней объектов субъекта» в Правилах больше нет — можете вести их для себя, но юридически значим именно отраслевой перечень.
Новый пункт 6(1) обязывает учитывать отраслевые особенности категорирования при расчёте показателей критериев значимости. Каждая сфера получает свои методические нюансы, которые утверждает отраслевой регулятор. Это значит, что универсальных «калькуляторов категорий» больше не будет — придётся смотреть на специфику своей отрасли.
Изменилась и работа комиссии по категорированию. Пункт 14 теперь прямо требует: сначала комиссия выявляет объекты КИИ, соответствующие типовым объектам в перечнях, потом рассматривает угрозы, оценивает последствия по показателям критериев, а в финале устанавливает категорию или фиксирует, что она не требуется. Перечни превратились в обязательный «фильтр №1», через который должна пройти любая система.
Что нового в требованиях к отчётности
Ещё одно заметное изменение — состав сведений, которые субъект обязан отправлять во ФСТЭК после категорирования. В пункт 17 добавился новый подпункт «к» про доменные имена и сетевые адреса объекта КИИ, если он взаимодействует с сетями электросвязи общего пользования, включая интернет.
Теперь вместе с категорией значимости и описанием мер защиты придётся формально подсветить, какие именно домены и IP связаны с этим объектом. Для кого-то это одна витрина, у кого-то целый зоопарк доменов, проксей и IP-диапазонов, завязанных на одну систему. Чем аккуратнее разберёте это сейчас, тем меньше сюрпризов будет при проверках и инцидентах.
Что делать с объектами, которых нет в перечнях
Самое неприятное для любителей «если нас нет в перечнях — значит, мы свободны» спрятано в новом пункте 22. Там прямо сказано: если субъект выявляет создаваемые объекты КИИ, которые не соответствуют типам из перечней, но по масштабу возможных последствий подпадают под показатели критериев значимости, он обязан присвоить им категорию и одновременно направить во ФСТЭК не только сведения по пункту 17, но и предложения о дополнении перечней типовых отраслевых объектов.
То есть позиция «нас ещё никто не описал, подождём» официально закрыта. Формально вы обязаны смотреть не только на таблицу типовых объектов, но и на реальные последствия по показателям критериев значимости. Если по последствиям явно тянет на значимый объект — придётся и категорировать, и предлагать дополнение перечня. Инициатива субъекта выглядит гораздо лучше, чем обнаружение проблемы регулятором постфактум.
Кто теперь будет за вами следить
Пункт 19(2) аккуратно, но жёстко расширяет круг наблюдателей. Государственные органы и российские юрлица, отвечающие за госполитику и регулирование в отрасли, теперь прямо обязаны мониторить, как субъекты КИИ представляют актуальные и достоверные сведения по пункту 17, причём именно с учётом перечней типовых объектов и отраслевых особенностей.
Это значит, что проверять вас будет не только ФСТЭК, но и «свой» отраслевой регулятор, у которого в руках уже есть готовый список, с чем он вправе вас сверять. Двойной контроль — двойная ответственность.
Практический алгоритм действий для субъекта КИИ
Хорошая новость: если у вас уже была вменяемая инвентаризация систем и нормальная комиссия по категорированию, революции не потребуется. Плохая: «делать вид, что у нас всё не так критично» станет явно сложнее.
Логика действий теперь такая: сначала смотрим в отраслевые перечни, потом выравниваем под них свою реальность, и только после этого трогаем критерии значимости. Вот пошаговый план.
Шаг 1. Найдите свои официальные перечни
Для связи — документы Минцифры, для транспорта — перечни на сайте Минтранса, для энергетики и ТЭК — открытые данные и приказы Минэнерго, плюс перечни и методики отраслевых регуляторов для промышленности, науки, здравоохранения и других сфер. Многие из этих документов давно опубликованы в открытом доступе на официальных ресурсах ведомств, а теперь их дополнительно агрегируют в правительственном постановлении о перечнях типовых объектов КИИ.
Шаг 2. Составьте сводную таблицу
Сделайте то, чего так не любят, но без чего здесь никак — нормальную «сводную таблицу». В одном столбце — все ваши ИС, ИТКС и АСУ, которые так или иначе завязаны на важные процессы. В другом — ссылка на строку в отраслевом перечне, под которую конкретный объект подпадает (а если не подпадает — честное «пока нет»). В третьем — текущий статус категорирования: дата акта, категория (или решение об отсутствии категории), факт направления сведений во ФСТЭК.
Эта таблица станет вашей «картой местности» и основой для всех дальнейших действий.
Шаг 3. Проверьте «серую зону»
Отдельно пройдитесь по тем объектам, которые вы раньше не считали КИИ, но которые теперь начинают подозрительно совпадать по функциям с новыми типовыми описаниями из перечней. Универсальный совет: если видно, что последствия инцидента хоть как-то тянут на показатели критериев значимости, лучше не экономить на комиссии и проработке, чем потом объяснять регулятору, почему вы решили, что это «не про нас».
Шаг 4. Разберитесь с нетиповыми объектами
Для новых систем, которых ещё нет в перечнях, но которые очевидно критичны по последствиям, теперь установлен прямой маршрут: провести категорирование, присвоить категорию и отправить не только сведения во ФСТЭК, но и предложение дополнить типовые перечни.
С точки зрения бюрократии это лишние документы, но с точки зрения здравого смысла — способ официально зафиксировать, что у отрасли появились новые типы инфраструктуры, которые тоже надо защищать.
Шаг 5. Соберите данные для ФСТЭК
Подготовьтесь к обновлённым требованиям по содержанию уведомлений во ФСТЭК. Придётся собрать по каждому значимому объекту КИИ доменные имена и сетевые адреса, через которые он ходит в сети общего пользования. У кого-то это одна витрина, у кого-то целый зоопарк доменов, проксей и IP-диапазонов, завязанных на одну и ту же систему.
Чем аккуратнее разберёте это сейчас, тем меньше сюрпризов будет потом при проверках и инцидентах.
Частые вопросы и серые зоны
Ситуация 1: объект явно есть в перечне, но по показателям критериев значимости он вроде бы «не дотягивает».
Важно помнить: перечень сам по себе ещё не делает объект значимым — он только говорит «в эту систему нужно смотреть внимательнее». Если по всем показателям вы честно выходите на нули, никто не заставляет присваивать категорию «из уважения к отрасли». Но и попытка формально «сбросить» объект, не проведя нормальный расчёт и не задокументировав логику, теперь выглядит особенно рискованно.
Ситуация 2: вашего объекта в перечне нет, но страшно представить, что будет, если он встанет.
Новая редакция ПП-127 как раз для этого и написана. Формально вы обязаны смотреть не только на таблицу типовых объектов, но и на реальные последствия по показателям критериев значимости. Если по последствиям явно тянет на значимый объект, запас по времени небольшой: придётся и категорировать, и предлагать дополнение перечня. Инициатива субъекта выглядит гораздо лучше, чем обнаружение проблемы регулятором постфактум.
Ситуация 3: компания работает сразу в нескольких отраслях.
Типичный пример: инфраструктурный провайдер или крупный холдинг, у которого одна и та же ИТ-платформа обслуживает объекты связи, транспорта и энергетики. Придётся смотреть, под какие типовые объекты из разных отраслевых перечней попадают ваши системы, а при категорировании учитывать последствия для каждой сферы отдельно.
Старые нормы ПП-127 про объекты, используемые для управления чужим оборудованием, никуда не делись, просто теперь они живут в связке с перечнями и отраслевыми особенностями.
Ситуация 4: когда именно нужно пересматривать категории?
Перечни типовых объектов и поправки к 187-ФЗ стартовали с 1 сентября 2025 года, постановление №1762 с изменениями в ПП-127 опубликовано в ноябре 2025-го. Формально никто не обязывает немедленно пересматривать все акты категорирования только из-за смены формулировок, но ждать ближайших пяти лет тоже не лучшая идея.
Как минимум имеет смысл синхронизировать плановый пересмотр категорий со вступлением в силу отраслевых особенностей и обновлённых перечней — чтобы не делать одну и ту же работу дважды.
Главное, что нужно запомнить
Перечни типовых отраслевых объектов КИИ — это не просто справочник для галочки. Это новая обязательная точка входа в процесс категорирования. Если раньше субъект мог сам решать, что считать критичным, то теперь государство сначала спросит: «А ваша система вообще в перечне есть?» И только потом начнётся разговор о критериях значимости.
Все эти перечни и правила не отменяют необходимости понимать собственную инфраструктуру. Перечень не заменяет голову. Он помогает регулятору и даёт вам опору в спорных кейсах, но не отвечает на вопросы «как именно устроены наши процессы» и «что реально случится, если вот эта конкретная АСУ внезапно перестанет работать».
Если к перечням добавить живую карту систем, нормальную инвентаризацию и вменяемую комиссию по категорированию — получится работающий инструмент, а не очередная таблица для вида.
Чек-лист действий
- Найдите и изучите отраслевые перечни типовых объектов КИИ для вашей сферы
- Составьте сводную таблицу: ваши объекты → типы из перечней → статус категорирования
- Проверьте «серую зону»: системы, которые раньше не считали КИИ, но которые попадают в перечни
- Подготовьте данные о доменных именах и IP-адресах для объектов КИИ
- Для нетиповых критичных объектов подготовьте предложения по дополнению перечней
- Синхронизируйте плановый пересмотр категорий с вступлением в силу отраслевых особенностей
- Убедитесь, что ваша комиссия по категорированию понимает новую логику работы
В сухом остатке всё довольно приземлённо. От субъектов КИИ ждут не геройства, а скучной, но системной работы: найти себя в отраслевых перечнях, привести в порядок список объектов, честно пройти по критериям значимости, не прятать новые объекты «между строк» и научиться жить с тем, что регулятор теперь видит вашу инфраструктуру гораздо детальнее.
Чем раньше вы подстроите свои процессы под эту новую реальность, тем меньше шансов, что следующий запрос «про перечни» прилетит уже в сопровождении проверки.
