Категорирование объектов КИИ: порядок и сроки в 2026 году

Правила категорирования объектов критической информационной инфраструктуры (КИИ) за полтора года переписали дважды. Осенью 2024 года из них убрали и фиксированный срок в один год, и сам перечень объектов, подлежащих категорированию. В ноябре 2025 года отменили выявление критических процессов, на котором держалась вся прежняя методика. Из-за этого половина инструкций, которые выдаёт поиск, ведёт по схеме, которая уже не действует. Ниже разобран актуальный порядок по состоянию на 2026 год. Кто считается субъектом КИИ, какие объекты подлежат категорированию, как устроены категории значимости, кто входит в комиссию, в какие сроки и какие документы подаются во ФСТЭК России, и чем грозит нарушение.

Содержание

1. Что такое категорирование объектов КИИ и зачем оно нужно
2. Какие объекты подлежат категорированию
3. Критерии значимости и категории
4. Комиссия по категорированию
5. Порядок категорирования по шагам
6. Сроки категорирования
7. Акт категорирования и сведения во ФСТЭК России
8. Отраслевые особенности
9. Что делать после категорирования
10. Типичные ошибки
11. Ответственность за нарушения
12. Частые вопросы

Что такое категорирование объектов КИИ и зачем оно нужно

Категорирование устанавливает соответствие объекта критериям значимости и присваивает ему одну из категорий. Такое определение даёт Федеральный закон от 26.07.2017 № 187-ФЗ. Пока объекту не присвоена категория или не зафиксировано, что присваивать её не нужно, организация не может выстроить защиту по требованиям регулятора. От категории зависит, насколько серьёзными должны быть меры безопасности и какие приказы ФСТЭК России применять.

Субъекты и объекты КИИ

Субъектом КИИ считается организация, которая работает в одной из сфер, перечисленных в законе. К ним относятся государственные органы, государственные учреждения и российские юридические лица. С 1 сентября 2025 года индивидуальных предпринимателей из числа субъектов исключили, эту правку внёс Федеральный закон от 07.04.2025 № 58-ФЗ. Перечень сфер остался прежним. Здравоохранение, наука, транспорт, связь, энергетика, банковская сфера и иные сферы финансового рынка, топливно-энергетический комплекс, область атомной энергии, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность.

Объектом КИИ выступает принадлежащая субъекту информационная система, информационно-телекоммуникационная сеть или автоматизированная система управления. Именно объекты, а не организация целиком, проходят категорирование. У одного субъекта таких объектов может быть и один, и несколько десятков.

Нормативная база и что изменилось в 2025-2026

Опорных документов два. Сам Федеральный закон № 187-ФЗ, где категорированию посвящена статья 7, и постановление Правительства РФ от 08.02.2018 № 127. В постановлении собраны Правила категорирования и перечень показателей критериев значимости с пороговыми значениями. За последние два года эти Правила существенно изменили. Постановление Правительства РФ от 19.09.2024 № 1281 убрало отдельный перечень объектов, подлежащих категорированию, и привязанный к нему годичный срок. Постановление Правительства РФ от 07.11.2025 № 1762 пошло дальше и отменило этап выявления критических процессов, заменив его на сопоставление с типовыми отраслевыми перечнями.

Сам закон при этом обновил Федеральный закон от 07.04.2025 № 58-ФЗ. Именно он с 1 сентября 2025 года привязал категорирование к типовым отраслевым перечням и отраслевым особенностям, а механику этой привязки детализировало постановление № 1762. Поэтому материалы, написанные до конца 2025 года, описывают порядок, которого уже нет. Дальше разберём процедуру в том виде, в каком она действует сейчас.

Какие объекты подлежат категорированию

Категорирование начинается с простого вопроса. Какие именно системы организации попадают под действие закона о безопасности КИИ. В конце 2025 года ответ на этот вопрос заметно изменился, и пока сдвиг учли далеко не все. Раньше отправной точкой служили критические процессы, теперь это типовые отраслевые перечни. Ниже разберём оба подхода, чтобы было видно, что именно поменялось и почему инструкции двухлетней давности вводят в заблуждение.

Отмена критических процессов постановлением № 1762

До 16 ноября 2025 года вся логика была выстроена вокруг критических процессов. Комиссия сначала выявляла управленческие, технологические и иные процессы, нарушение которых ведёт к негативным последствиям, а затем определяла объекты, которые эти процессы обеспечивают. Именно такой порядок описан в большинстве материалов, которые до сих пор остаются в топе поисковой выдачи. Этот порядок сейчас уже не действует.

Постановление Правительства РФ от 07.11.2025 № 1762 исключило выявление критических процессов из обязанностей комиссии по категорированию. Изменения вступили в силу 16 ноября 2025 года. Теперь объект подлежит категорированию не потому, что обслуживает некий критический процесс, а потому что соответствует типу из перечня типовых отраслевых объектов КИИ. Заодно скорректированы перечень исходных данных для категорирования и состав сведений, которые субъект направляет во ФСТЭК России.

Перечень типовых отраслевых объектов

Опорным документом стал перечень типовых отраслевых объектов КИИ, утверждённый распоряжением Правительства РФ от 26.02.2026 № 360-р. Перечень охватывает здравоохранение и науку, транспорт во всех его видах от воздушного до метрополитена, связь, энергетику и топливно-энергетический комплекс, банковскую сферу и иные сферы финансового рынка, область атомной энергии, а также оборонную, ракетно-космическую, горнодобывающую, металлургическую и химическую промышленность.

Для каждого типового объекта в перечне указаны процессы и функции, выполнение которых он обеспечивает, и вид деятельности субъекта, к которому объект относится. На практике это меняет первый шаг работы комиссии. Вместо того чтобы с нуля описывать критические процессы, субъект сопоставляет свои системы с типовыми объектами из перечня. Совпал тип, значит объект относится к КИИ и включается в перечень для категорирования. Если ни одна позиция не совпала, обоснование нужно письменно зафиксировать, а не пропустить систему без объяснений.

Такой подход снимает часть споров, которые годами возникали вокруг самой формулировки «критический процесс». Но он же требует внимательно читать перечень, потому что один и тот же программный комплекс в разных отраслях может попадать под разные типовые объекты. Как из объекта КИИ получается значимый объект и какие показатели при этом считают, разберём в следующем разделе.

Критерии значимости и категории

Категорий значимости три. Правила категорирования формулируют это прямо. «Устанавливаются 3 категории значимости. Самая высокая категория — первая, самая низкая — третья». Если объект отвечает сразу нескольким показателям, ему присваивают категорию по наивысшему из достигнутых значений. Когда ни один показатель не дотягивает до порога, объект остаётся объектом КИИ, но значимым не признаётся, и отдельная категория ему не присваивается.

Пять групп показателей

Перечень показателей критериев значимости приведён в приложении к постановлению № 127 и разбит на пять групп:

• социальная значимость (ущерб жизни и здоровью, нарушение жизнеобеспечения, доступность услуг связи и государственных услуг);
• политическая значимость (последствия для интересов государства);
• экономическая значимость (ущерб субъекту, бюджету, доступность товаров и услуг);
• экологическая значимость (вредные воздействия на окружающую среду);
• значимость для обороны страны, безопасности государства и правопорядка.

Всего показателей четырнадцать. Постановление № 1762 дополнило экономическую группу позициями для микрофинансовых компаний и бюро кредитных историй, а группу обороны и безопасности расширило показателем по гособоронзаказу.

Показатели измеряют масштаб возможных последствий компьютерного инцидента. Где-то это число пострадавших людей, где-то доля потерянного дохода, где-то время, на которое система может остаться недоступной. Ниже несколько показателей для примера, чтобы была понятна сама механика порогов.

Показатель	Третья категория	Вторая категория	Первая категория
Ущерб жизни и здоровью, человек	от 1 до 50	более 50 до 500	более 500
Снижение дохода, % годового объёма	от 1 до 10	более 10 до 20	более 20
Время недоступности систем обороны и безопасности, часов	более 2 до 4	более 1 до 2	1 и менее

Как присваивается категория

Комиссия проходит по всем показателям и для каждого определяет, достигнут ли порог и какой именно категории он соответствует. Затем из всех сработавших показателей берётся самый высокий результат. Скажем, по экономическому показателю объект соответствует третьей категории, а по времени недоступности второй. Значит, итоговая категория вторая. Логика всегда в пользу более строгой защиты, и спорить с ней бессмысленно, закон устроен именно так.

Комиссия по категорированию

Состав комиссии и приказ о её создании

Категорирование проводит не один человек, а постоянно действующая комиссия. Её создаёт своим решением руководитель субъекта, и тем же приказом утверждается состав. Возглавляет комиссию сам руководитель или уполномоченное им лицо. По пункту 11 Правил в состав включают:

• работников, отвечающих за профильную деятельность организации;
• специалистов по информационным технологиям и связи;
• специалистов по эксплуатации основного технологического оборудования, промышленной безопасности и учёту опасных веществ;
• сотрудников, на которых возложено обеспечение информационной безопасности объектов;
• работников подразделения по гражданской обороне и защите от чрезвычайных ситуаций;
• специалистов по защите государственной тайны, если объект обрабатывает такие сведения.

Постановление № 1762 дополнительно разрешило руководителю включать в комиссию и других лиц, если этого требуют отраслевые особенности категорирования.

Полномочия комиссии после изменений 2025 года

Раньше комиссия первым делом выявляла критические процессы. Теперь её задача иная. Она выявляет объекты, которые соответствуют типовым объектам из отраслевых перечней, оценивает масштаб возможных последствий по показателям критериев значимости и с учётом отраслевых особенностей, а затем присваивает каждому объекту категорию либо фиксирует, что присваивать её не нужно. Результаты работы комиссия оформляет актом.

Порядок категорирования по шагам

Если убрать формулировки Правил и оставить суть, процедура укладывается в три рабочих шага. Все они выполняются силами комиссии и завершаются актом по каждому объекту.

Шаг 1. Выявление объектов

Комиссия проходит по информационным системам, сетям и автоматизированным системам управления субъекта и сопоставляет их с типовыми объектами из отраслевых перечней. Задача определить, какие из систем подпадают под типы, для которых установлен признак значимости. Это и есть тот шаг, который сильнее всего изменился осенью 2025 года.

Шаг 2. Оценка по показателям

Для каждого выявленного объекта комиссия определяет, что произойдёт при компьютерном инциденте. Сколько людей может пострадать, какой ущерб понесёт организация и бюджет, как скажется простой на обороне и правопорядке. Эти оценки сверяются с пороговыми значениями из приложения к постановлению № 127. Здесь важно не занижать последствия ради низкой категории, потому что правильность присвоения потом проверяет ФСТЭК России.

Шаг 3. Присвоение категории или решение об отсутствии

По итогам оценки комиссия присваивает объекту одну из трёх категорий либо принимает решение, что присваивать категорию не нужно. И тот и другой исход оформляется актом категорирования. Решение об отсутствии значимости не освобождает от документального обоснования, и это частая точка придирок при проверке.

Сроки категорирования

Со сроками связана самая распространённая ошибка в чужих инструкциях. Раньше Правила отводили на категорирование не более одного года и требовали за пять рабочих дней направить во ФСТЭК России перечень объектов. Обе эти нормы отменены постановлением № 1281 ещё в сентябре 2024 года. Жёсткого годичного срока на саму процедуру в действующей редакции больше нет. Но затягивать категорирование нельзя, потому что обязанность защищать значимые объекты возникает по закону, а не по удобному графику.

Действующие сроки касаются работы с результатами. Их удобно держать в одной таблице.

Действие	Срок	Основание
Направить сведения о результатах категорирования во ФСТЭК России	10 рабочих дней со дня утверждения акта	п. 17 Правил
Направить обновлённые сведения при их изменении	не позднее 20 рабочих дней со дня изменения	п. 19(1) Правил
Проверка сведений со стороны ФСТЭК России	30 дней со дня получения	ч. 6 ст. 7 № 187-ФЗ
Пересмотр присвоенной категории	не реже одного раза в 5 лет	п. 21 Правил

Акт категорирования и сведения во ФСТЭК России

Структура акта категорирования

Акт фиксирует результат работы комиссии по каждому объекту и остаётся внутренним документом субъекта. По пункту 16 Правил он содержит сведения об объекте и о присвоенной категории значимости либо об отсутствии необходимости её присвоения. На практике туда же включают обоснование оценки по показателям. Акт подписывают члены комиссии и утверждает руководитель субъекта, а хранят его до вывода объекта из эксплуатации или до изменения категории. Именно от даты утверждения акта отсчитывается срок подачи сведений регулятору.

Форма и сроки направления сведений

Сведения о результатах субъект направляет во ФСТЭК России по форме, которая утверждена приказом ФСТЭК России от 22.12.2017 № 236. На это отведено 10 рабочих дней со дня утверждения акта. В 2025 году форму обновили, и теперь в сведениях указывают в том числе доменное имя и сетевой адрес объекта, который подключён к сетям связи общего пользования. Регулятор в течение 30 дней проверяет, соблюдён ли порядок и верно ли присвоена категория.

Дальше возможны два исхода. Если порядок соблюдён и категория присвоена верно, ФСТЭК России вносит объект в реестр значимых объектов КИИ и в течение десяти дней уведомляет об этом субъекта. Если же выявлены нарушения, неверная категория или неполные сведения, регулятор за десять дней возвращает документы с мотивированным обоснованием. На устранение замечаний и повторную подачу у субъекта снова десять дней. Поэтому занижать категорию или подавать формальный акт смысла нет, проверку это не проходит.

Отраслевые особенности

Понятие отраслевых особенностей категорирования закрепило постановление № 1762. Смысл в том, что у разных сфер свои типовые объекты, свои значимые процессы и свои нюансы оценки последствий. Перечень № 360-р как раз и разводит объекты по отраслям, от здравоохранения и науки до энергетики и оборонной промышленности.

На практике это значит, что комиссия медицинской организации, оператора связи и банка будут работать с разными частями перечня и опираться на разъяснения профильных регуляторов своей отрасли. Запросы вроде категорирования в здравоохранении или у операторов связи в выдаче не случайны, у этих сфер действительно есть собственная специфика. При этом базовая процедура, показатели и сроки для всех едины, отраслевые особенности лишь уточняют, какие объекты типовые и как считать последствия.

В 2026 году отраслевые особенности начали закреплять отдельными постановлениями Правительства. Для банковской сферы и иных сфер финансового рынка это постановление Правительства РФ от 06.02.2026 № 92, для сферы науки постановление Правительства РФ от 07.03.2026 № 246. В них задан порядок установления соответствия объекта критериям значимости с учётом специфики отрасли. Список таких отраслевых актов будет пополняться, поэтому перед категорированием стоит проверить, вышло ли постановление по вашей сфере.

Что делать после категорирования

С присвоением категории работа только начинается. Объект с присвоенной первой, второй или третьей категорией после включения в реестр значимых объектов КИИ становится значимым, и на него распространяются требования регулятора. Субъект создаёт систему безопасности значимого объекта по приказу ФСТЭК России от 21.12.2017 № 235 и выполняет требования по защите по приказу от 25.12.2017 № 239. Это уже не про бумаги, а про реальные средства защиты, сегментацию, контроль доступа и мониторинг. О построении мониторинга событий безопасности читайте в статье Практика внедрения и эксплуатации SIEM, а об особенностях перехода на отечественные решения в материале Отечественные СЗИ: танцы с ФСТЭК и чашка кофе.

Любая защита начинается с понимания, от кого и от чего защищаемся. Для этого разрабатывают модель угроз, и это отдельная большая работа со своей методикой. Как её строят по подходу ФСТЭК России, читайте в материале Модель угроз безопасности информации. Второй обязательный блок касается готовности к инцидентам. На значимых объектах о компьютерных инцидентах нужно сообщать в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА), а сам порядок реагирования и уведомления подробно разобран в статье Инцидент ИБ.

Если комиссия по всем объектам приняла решение об отсутствии значимости, требования приказов № 235 и № 239 не применяются. Но ответственность с субъекта это не снимает. Решение придётся обосновать в акте и хранить, потому что при проверке регулятор смотрит именно на логику отказа.

Типичные ошибки

Самая частая ошибка сейчас связана с работой по устаревшей схеме. Комиссия добросовестно выявляет критические процессы и считает срок в один год, потому что так написано в скачанном два года назад шаблоне. Оба этих требования отменены, и проверку такой подход не пройдёт. Перед стартом стоит свериться с действующей редакцией постановления № 127, а не с пересказами. О практической стороне прохождения проверки читайте в статье Категорирование КИИ. Проходим проверку, не теряя здравый смысл.

На втором месте по распространённости стоит занижение категории. Соблазн понятен, чем ниже категория, тем мягче требования к защите. Но правильность присвоения проверяет ФСТЭК России, и заниженную оценку вернут на доработку. Рядом стоит обратная крайность, когда под категорирование не попадают объекты, которые явно подпадают под типовые из отраслевого перечня. Замыкают список формальные акты без внятного обоснования и срыв срока подачи сведений. Здесь штраф назначается уже за просрочку, хотя сама работа выполнена.

Ответственность за нарушения

Ответственность за нарушения в сфере КИИ разнесена по двум статьям Кодекса об административных правонарушениях и одной статье Уголовного кодекса. Их важно не путать, потому что они про разные вещи. За сведения о категорировании отвечает одна статья, за защиту уже значимых объектов другая.

Норма	За что	Наказание
ст. 19.7.15 КоАП РФ	Непредставление, просрочка или недостоверность сведений о результатах категорирования	штраф юрлицу от 50 000 до 100 000 рублей
ст. 13.12.1 КоАП РФ	Нарушение требований к безопасности значимых объектов и порядка реагирования на инциденты	штраф юрлицу от 50 000 до 500 000 рублей
ст. 274.1 УК РФ	Неправомерное воздействие на КИИ, нарушение правил эксплуатации и доступа	физическому лицу лишение свободы до 10 лет

Уголовная статья применяется к людям, а не к организации, и срок зависит от тяжести последствий. До пяти лет за создание вредоносных программ для воздействия на КИИ, до десяти лет, если деяние повлекло тяжкие последствия. Для подавляющего большинства субъектов реальным риском остаются административные штрафы и предписания регулятора, но помнить про уголовную перспективу полезно.

Частые вопросы

Нужна ли лицензия ФСТЭК России, чтобы провести категорирование

Чтобы категорировать собственные объекты, лицензия не нужна. Субъект делает это своими силами через комиссию. Лицензия ФСТЭК России потребуется, если организация захочет оказывать услуги по технической защите информации другим, но это уже отдельная история.

Можно ли провести категорирование самостоятельно

Да. Закон прямо отводит категорирование комиссии субъекта, а не внешнему подрядчику. Привлечь консультантов можно, но решение и ответственность остаются на организации. Многие именно так и поступают, особенно когда объектов немного.

Как часто пересматривать категорию

Не реже одного раза в пять лет. Дополнительно категорию пересматривают, если меняются данные, влияющие на оценку, например масштаб обрабатываемой информации или архитектура системы. Обновлённые сведения направляют во ФСТЭК России не позднее 20 рабочих дней со дня изменения.

Что делать, если значимых объектов не оказалось

Это нормальный и допустимый результат. Но оставить его без оформления нельзя. Решение об отсутствии необходимости присваивать категорию оформляется актом, а сведения о таком результате всё равно направляются во ФСТЭК России в тот же срок, 10 рабочих дней.

Заключение

Категорирование объектов КИИ за последние полтора года стало проще по логике, но требовательнее к актуальности знаний. Отказ от критических процессов и переход на типовые отраслевые перечни убрал часть давних споров, зато обесценил почти все инструкции, написанные до конца 2025 года. Кто проводит категорирование в 2026 году, должен опираться на действующую редакцию постановления № 127 с учётом изменений № 1281 и № 1762, на перечень типовых объектов № 360-р и на актуальную редакцию закона № 187-ФЗ.

Практический порядок при этом остаётся посильным. Создать комиссию, сопоставить системы с типовыми объектами, оценить последствия по показателям, присвоить категорию или обосновать её отсутствие, оформить акт и в десятидневный срок направить сведения во ФСТЭК России. Дальше для значимых объектов начинается работа по защите, и её разумно планировать заранее, не дожидаясь предписания регулятора.