С 1 марта вступает в силу ФЗ-325, который вносит поправки в базовый закон о безопасности КИИ — № 187-ФЗ. Суть одна: субъектом КИИ отныне может быть только российское юридическое лицо, находящееся под контролем граждан РФ, госорганов или муниципальных образований.
Под «контролем» понимается возможность определять решения организации — в том числе через владение более 50% голосующих акций или иное влияние на руководство и стратегию. Иностранный контроль над субъектами КИИ исключается.

Тот же закон устанавливает, что в перечни «доверенных российских программ и баз данных» могут включаться только решения, исключительные права на которые принадлежат российским лицам или российским организациям под контролем граждан РФ.

С той же даты появляются три новых реестра.

1. Реестр доверенного ПО — попытка помочь заказчикам разобраться, какое ПО можно использовать на значимых объектах КИИ. Именно попытка: пока не до конца понятно, как он будет работать на практике и можно ли будет использовать решения, которые в него не вошли.
2. Реестр ПО для собственных нужд создан специально для крупных организаций, которые разработали собственные системы под свои задачи и не планируют их тиражировать. Представьте: компания вложила годы и деньги в собственную ERP-систему, она отлично работает — и тут выясняется, что ее нужно заменить на что-то из реестра Минцифры. Реестр дает альтернативный путь: внести свою систему туда и продолжать ее использовать. Но есть нюансы — реестр закрытый, процедура включения непрозрачна, комиссия может отказать без развернутых объяснений. Плюс система должна быть совместима с операционными системами из реестра Минцифры, а значит, все, что написано под Windows, автоматически попадает в зону риска.
3. Реестр значимых разработчиков ориентирован на тех, кто хочет заказать разработку или доработку системы в рамках расширенных сроков перехода.

Если ваша организация работает в одной из 14 отраслей КИИ и в структуре ее собственности есть иностранный контроль — вопрос юридической локализации стал срочным. Это не планы на будущее, это уже настоящее.

Реестры — история более долгосрочная. Ключевой вопрос, который пока остается открытым: нужно ли переделывать уже внедренные системы, если появится реестр с новыми критериями? Официального ответа нет. Общая логика такова: то, что внедрялось в соответствии с законодательством на момент внедрения, — легитимно. Но как это будет интерпретироваться регуляторами, покажет практика. 

Вместо ожидаемого 1 апреля правительство опубликовало перечни типовых отраслевых объектов КИИ уже 26 февраля — распоряжением № 360-р. Документ объемный: 176 страниц, все 14 отраслей, подробные списки информационных систем, которые подпадают под действие закона. До этого момента компании категорировали свои объекты самостоятельно. Теперь государство говорит: вот типовой список, найдите себя в нем.

Алгоритм действий такой: вы открываете перечень, находите свою сферу, смотрите на список информационных систем и сверяете его со своим реальным ИТ-ландшафтом. Допустим, из 10 типовых систем у вас есть 5 — именно их и нужно категорировать.
Категорирование проводится по отраслевым методикам, которые каждый регулятор выпускает для своей сферы. Результаты направляются в ФСТЭК и отраслевой регулятор.

Важно: категорирование определяет уровень требований. Если система признана «значимым объектом КИИ», к ней применяется весь комплекс требований по импортозамещению — с дедлайном 1 января 2028 года. Если ваши объекты не совпадут с утвержденным перечнем, у вас есть 60 дней, чтобы уведомить ФСТЭК и инициировать его дополнение.

Перечень вышел — значит, момент неопределенности закончился. Теперь каждая организация из 14 отраслей может взять документ и понять, попадает ли она под действие закона и что конкретно у нее является объектом КИИ.

Если категорирование еще не проводилось — это первое, что нужно сделать прямо сейчас. Не потому что «надо по закону», а потому что без понимания собственного статуса невозможно планировать ни бюджеты, ни сроки, ни переговоры с регулятором. Тем, у кого категорирование уже есть, стоит пересмотреть его с учетом нового перечня: есть риск, что часть объектов получит более высокую категорию значимости — а это автоматически означает более жесткие требования.

К 1 мая Минцифры, Минпромторг РФ и ряд других ведомств должны подготовить законопроекты о запрете использования зарубежных корпоративных облачных сервисов — Amazon Web Services, Microsoft Azure и аналогов — для хранения данных. Сам запрет планируется с 1 сентября 2027 года, но уже в мае 2026 года станут понятны его контуры и критерии.

Год до вступления запрета в силу — это немного. Миграция с иностранного облака на отечественное — не переезд из квартиры в квартиру. Это пересмотр архитектуры, интеграций, контрактов с провайдерами, обучение команд. На серьезных объемах данных такие проекты занимают от полугода до двух лет.

Выбирать провайдера нужно с оглядкой на требования КИИ: не в каждое облако можно «заехать» с данными значимых объектов. Если вы отдаете часть инфраструктуры в облако, требования по импортозамещению и информационной безопасности распространяются и на облачного провайдера — в том сегменте, который он обслуживает. Это сужает выбор, зато делает его более предметным.

Практический совет: не ждите публикации законопроектов в мае. Начинайте инвентаризацию зависимостей от зарубежных облаков прямо сейчас.

До 1 июня уполномоченные органы — Минпромторг, Минтранс, Минздрав, ЦБ РФ и другие отраслевые регуляторы — обязаны разработать и передать субъектам КИИ отраслевые планы импортозамещения.

В течение одного месяца после получения плана организация должна разработать собственный план перехода и согласовать его с регулятором. В плане фиксируются: перечень значимых объектов КИИ, используемое ПО с разбивкой по доле российского и импортного, прогнозные затраты и предельный срок завершения перехода.

Если на рынке нет подходящего российского аналога, Правительственная комиссия по цифровому развитию может продлить срок перехода — но не позднее 1 декабря 2030 года. Для ПАК с встроенным ПО допускается эксплуатация до истечения бухгалтерского срока полезного использования, но не позднее 1 января 2035 года.

Дорожная карта модернизации — не бюрократическая формальность, а реальный инструмент управления переходом, и строить ее нужно тщательно.

Типичная ошибка — написать план, не проверив техническую совместимость компонентов. Потом выясняется, что компонент А не дружит с компонентом Б, вся архитектура рушится, и вы идете к регулятору объяснять, почему план нужно переделать. Дедлайн при этом никуда не сдвигается.

Не менее важен правильный выбор партнера по реализации. Если требования начнут применяться жестко и массово, интеграторы окажутся перегружены. Те, кто выстроил отношения с квалифицированным партнером заранее, окажутся в принципиально другой позиции. Диалог с регулятором тоже лучше начинать сейчас — когда в июне к нему придут тысячи организаций одновременно, попасть в его «окно» станет сложнее.

Здесь важно учитывать отраслевую специфику. Ситуация с готовностью рынка и с позицией регуляторов заметно различается в зависимости от сферы. В финансовом секторе рынок отечественных решений относительно зрелый, а ЦБ — один из наиболее последовательных регуляторов: диалог с ним ведется в четких рамках, и пространства для затяжных переговоров здесь меньше. В промышленности картина другая: зрелых отечественных решений объективно меньше, а значит, у Минпромторга больше оснований для гибкости — и компании из этих отраслей чаще согласовывают с регулятором нестандартные сценарии перехода. Правоприменительная практика в целом еще только формируется, и характер взаимодействия с конкретным регулятором нередко значит не меньше, чем буква закона.

Основной дедлайн перехода субъектов КИИ на отечественные программные и аппаратные решения — 1 января 2028 года. Для тех, кто объективно не успевает, законодательство предусматривает механизм легальной отсрочки, но воспользоваться им можно только при одном условии: до 1 сентября 2026 года необходимо заключить контракт на внедрение отечественного аналога.

Тогда у компании появляется до 48 месяцев на реализацию контракта. Минцифры готово рассматривать продление, если обоснованный срок превышает этот период. Дедлайн, указанный в контракте, становится валидным.

Есть и другие варианты расширить горизонт. Первый — инициировать «особо значимый проект» по внедрению российского ПО, заключив соглашение с Правительством. Это дает еще два года и возможность привлечь господдержку, но требует взять на себя публичные обязательства. Второй вариант — для ПАК — эксплуатировать зарубежное оборудование до конца амортизации, однако с 1 января 2028 года закупать и устанавливать можно будет только российские решения.

Первое, что нужно сделать, — провести комплексный аудит систем: понять, какие решения вас удовлетворят, есть ли на рынке то, что нужно, или придется заказывать доработку. Только после этого можно честно ответить на вопрос: успеваете ли вы завершить переход к январю 2028 года?

Если ответ «нет» — сентябрь 2026 года становится вашим ближайшим дедлайном: именно до этой даты нужно успеть заключить контракт на внедрение отечественного аналога, чтобы получить право на легальную отсрочку. С учетом типичных сроков тендерных процедур, согласований и переговоров времени остается немного.

Осознанный выбор решения и выбор партнера для его реализации возможен только тогда, когда вы понимаете собственный ИТ-ландшафт и доступные опции. И вжано принимать решения не под давлением дедлайна, а с пониманием, куда и зачем двигаетесь.