187-ФЗ: касается вас или нет? Чек-лист из 6 шагов, чтобы спать спокойно

Споры про 187-ФЗ идут до сих пор. Одни уверены, что 187‑ФЗ касается только организаций оборонно-промышленного комплекса и атомной энергетики. Другие — что закон теперь обязателен для всех без исключения. На практике истина находится где-то посередине.

Поправки 58‑ФЗ, вступившие в силу с 1 сентября 2025 года, существенно изменили правила для тех, кто относится к критической информационной инфраструктуре (КИИ). Однако главный вопрос остался прежним: попадает ли ваша компания под определение субъекта КИИ и как это проверить без сложного юридического аудита.

Зачем нужен этот закон

187‑ФЗ приняли 2017 году. Он обязывает компании в определённых отраслях защищать свои информационные системы и автоматизированные системы управления технологическими процессами (АСУ ТП) так, чтобы сбой не привёл к человеческим жертвам, экологической катастрофе или остановке критических процессов. Долгое время требования исполнялись формально — разрабатывались документы, но реальных изменений в софте и оборудовании не происходило.

Ситуация изменилась с сентября 2025 года, когда начали действовать поправки к 187‑ФЗ. Теперь одного пакета документов недостаточно. Закон требует конкретных технических и организационных мер, а контролирующие органы получили инструменты для проверки их выполнения.

Изменились и последствия за нарушения. Теперь это не только штрафы. Компания может столкнуться с приостановкой работы критических объектов. В отдельных случаях предусмотрена уголовная ответственность для должностных лиц (статья 274.1 УК РФ).

Так кто реально попадает?

В этом вопросе часто возникает путаница. И здесь не важно, крупная у вас компания или маленькая, сколько средств проходит через счета. Важны только две вещи:

• в какой отрасли вы работаете;

• есть ли у вас системы, отказ которых способен причинить реальный вред — людям, экономике или окружающей среде.

Отрасли, где компании автоматически попадают в зону 187‑ФЗ (по перечням ФСТЭК и Минцифры):

• энергетика (включая электро-, тепло-, газоснабжение);

• транспорт (ж/д, авиа, метро, порты);

• связь и телеком (операторы, дата-центры);

• банки и небанковские финансовые организации (участники платёжной системы, биржи);

• топливно-энергетический комплекс, атомная энергия;

• оборонная промышленность и космос;

• горнодобыча, металлургия, химическая промышленность;

• здравоохранение и наука (если используются АСУ или медицинские системы жизнеобеспечения).

Под действие закона попадают не только юридические лица, но и индивидуальные предприниматели, если у них есть объекты КИИ. Например, городской провайдер, предоставляющий интернет жилым домам и муниципальным учреждениям.

Однако одной отрасли недостаточно. Закон также требует, чтобы у компании были информационные системы, сети связи или АСУ ТП, которые управляют реальным производственным процессом. Обычная CRM для продаж или бухгалтерская программа не подходят. А вот SCADA-система, управляющая котельной, — это уже объект, попадающий под регулирование.

Кого не касается

Требования закона не действуют для компаний из следующих сфер (при условии отсутствия у них собственных объектов КИИ, связанных с критическими отраслями):

• розничная торговля (за исключением случаев, когда бизнес напрямую обеспечивает энергетическую или транспортную инфраструктуру);

• общественное питание;

• строительство жилых и коммерческих объектов;

• лёгкая промышленность, производство товаров народного потребления;

• сфера услуг (реклама, консалтинг, IT-разработка) — при условии отсутствия собственных производственных или технологических систем, управляющих критическими процессами.

Но если компания из перечисленных сфер использует автоматизированные системы, которые влияют на работу объектов КИИ в других отраслях (например, обслуживает SCADA водоканала, поддерживает систему учёта теплоснабжения жилого квартала или предоставляет каналы связи для муниципального транспорта), она может попасть под регулирование косвенно. В таких случаях требуется дополнительный анализ.

Чек-лист «Что делать тем, кто в списке»

ШАГ 1. Узнайте свой статус.

Посмотрите, числится ли ваша компания в реестре субъектов КИИ (его ведёт ФСТЭК). Многие там формально не зарегистрированы. Но это не освобождает от обязанностей. Если сомневаетесь, то проведите категорирование по приказу ФСТЭК № 239.

ШАГ 2. Инвентаризация софта и железа.

Составьте список всех информационных систем и АСУ ТП, которые управляют критическими процессами. Отдельно стоит пометить, где стоит импортное ПО и оборудование.

ШАГ 3. План перехода на российское ПО.

С 1 сентября 2025 года на объектах КИИ нельзя использовать иностранный софт без перехода на российские аналоги из реестра Минцифры. Сроки зависят от отрасли, но тянуть больше года в любом случае не стоит.

ШАГ 4. Внедрите меры из приказов ФСТЭК.

Набор требований зависит от категории значимости объекта (первая, вторая, третья или некатегорированный). В любом случае есть базовый минимум, который нужен всем: защита от взлома и постороннего доступа; контроль, кто и куда заходит в систему; запись всех событий; антивирусы. Конкретные базовые требования отображены в приказах ФСТЭК № 239, № 31 и № 21. Их стоит изучить в первую очередь.

ШАГ 5. Подключитесь к ГосСОПКА.

Настройте передачу данных о кибератаках в государственную систему. Сделать это можно самим или через сертифицированного провайдера. Например, через центры мониторинга, которые уже интегрированы.

ШАГ 6. Соберите документы на каждый объект КИИ.

Для каждого критического объекта оформите:

• акт категорирования;

• список IP-адресов и доменов, с которых объект выходит в интернет;

• режим функционирования (проектный или штатный);

• план реагирования на инциденты.

Если этих бумаг не будет при проверке ФСТЭК, то вам выпишут штраф и дадут предписание.

Что в итоге

После поправок № 58-ФЗ требования 187-ФЗ стали не просто обязательными, но и проверяемыми. Если вы работаете в критической отрасли и у вас есть управляющие системы — закон нужно соблюдать. Игнорирование грозит остановкой и деньгами.

Если же вы из розницы, общепита, строительства или сферы услуг (без собственных производственных систем), то пока закон вас не касается.

Таким образом, следует:

• ИБ-специалистам проверить, правильно ли проведено категорирование в организации.

• Руководителям спросить у своих ИТ, ИБ и юристов: попадает ли компания под 187-ФЗ, и что с переходом на российское ПО на производстве.

Если внутри компании нет ясности, лучше заказать аудит у лицензированной организации. Она проверит и скажет точно: соблюдаете вы закон или нет. Это дешевле, чем потом останавливать производство.