Сейчас российское законодательство в сфере ИБ переживает одну из самых масштабных трансформаций за последнее десятилетие. Это развитие стимулируется как цифровой трансформацией экономики, так и изменяющимися киберугрозами (повышенная активность атак, утечки данных, рост требований к защите критической инфраструктуры). Сегодня регуляторы предъявляют все более жесткие требования ко всем организациям: от крупных промышленных предприятий до государственных корпораций.
В статье разберем, каких кибер-нововведений в законодательстве бизнесу ожидать в 2026 году и как в связи с ними можно пересмотреть стратегию к защите своих данных.
Федеральный закон № 152-ФЗ «О персональных данных»: усиление требований
Федеральный закон № 152-ФЗ остается основным нормативным актом, регулирующим обработку и защиту персональных данных в России. В 2025 он претерпел важные изменения, которые существенно влияют на практику ИБ и комплаенса. Чего ждать:
- Обязательные новые правила согласия и уведомлений. С 1 сентября 2025 года вступил в силу пакет поправок, которые усиливают требования к форме согласия на обработку персональных данных и порядку уведомления субъектов данных. Новые правила существенно расширяют обязанности операторов по обеспечению легитимности обработки и защите данных, в том числе вводят четкие механизмы обезличивания.
- Локализация персональных данных. С 1 июля 2025 года усиливаются требования к локализации: обработка (сбор, хранение, обновление и извлечение) персональных данных граждан РФ не допускается с использованием баз данных, расположенных за пределами России в большинстве сценариев. Это влияет на архитектуру ИТ-систем и требует пересмотра схем хранения и обработки.
- Ужесточение административной ответственности. Размеры штрафов за нарушение требований по персональным данным значительно увеличены в КоАП РФ (вплоть до миллионов рублей), а ответственность распространяется на ИП и юридических лиц.
Эти изменения означают, что операторы ПДн должны не только обновить процессы обработки данных, но и пересмотреть модель управления данными, включая внедрение реальных механизмов контроля и отчетности.
Федеральный закон № 187-ФЗ: новые правила для объектов КИИ
Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ» также получил значительные поправки, которые вступают в силу в 2025–2026 годах. Основные моменты:
- Расширение круга объектов КИИ. С 1 сентября 2025 года вступили в силу поправки, расширяющие перечень объектов, отнесенных к критической информационной инфраструктуре, и усиливающие требования по их защите в ключевых секторах (энергетика, транспорт, финансы и др.).
- Обязанности подрядчиков и поставщиков. В 2026 году требования по безопасности КИИ распространятся не только на владельцев объектов, но и на их подрядчиков, включая ИТ-поставщиков и разработчиков. Новая практика требует, чтобы контракты включали обязательства по обеспечению ИБ на уровне владельцев объектов.
- Отраслевые подходы к безопасности КИИ. Поправки в 187-ФЗ расширили полномочия Правительства РФ по утверждению типовых отраслевых перечней объектов КИИ и отраслевых особенностей категорирования, сделав подтверждение соответствия объекта такому перечню обязательным этапом категорирования.
Эти изменения усиливают ответственность бизнеса за устойчивость и безопасность ИТ-инфраструктуры, делая комплаенс в сфере КИИ обязательной частью операционной стратегии.
Приказ ФСТЭК РФ № 117: жесткие требования к ИБ госорганов и ГИС
Новым важным элементом регулирования в ИБ стал Приказ ФСТЭК России № 117, который заменяет ранее действовавший Приказ № 17 и вступает в силу 1 марта 2026 года.
Ключевые положения ниже.
1. Ужесточение требований к защите государственных информационных систем (ГИС)
Новый приказ детализирует требования по анализу рисков, обнаружения уязвимостей, реагирования на инциденты и мероприятию по контролю уровня защищенности информации. Определена зона ответственности при передаче из государственной информационной системы информации ограниченного доступа в другие информационные системы.
Установлены требования по обязательной аттестации, правилам использования личных мобильных устройств, беспроводному и привилегированному доступам, в том числе набор базовых мер был пересмотрен, среди которых можно выделить защиту:
- виртуализации и облачных вычислений;
- технологий контейнерных сред и их оркестрации;
- сервисов электронной почты;
- веб-технологий;
- программных интерфейсов взаимодействия приложений;
- технологий интернета вещей.
2. Назначение ответственных по ИБ и обучение персонала
Специалисты по защите информации должны обладать компетенциями, необходимыми для выполнения своих обязанностей. И не менее 30% работников структурного подразделения по защите информации должны иметь профессиональное образование по специальности или направлению подготовки в области ИБ или пройти обучение по программе профессиональной переподготовки.
3. Запрет несертифицированных средств защиты и иностранного ПО
Приказ вводит строгий запрет на использование несертифицированного ПО и иностранных решений в критически важных системах без соответствующей сертификации.
Все это означает, что государственные структуры должны кардинально пересмотреть ИТ-ландшафт, обновить системы защиты и усилить процессы контроля.
Общие тренды регулирования в ИБ — 2026
Помимо конкретных изменений в ФЗ и приказах, есть и более широкие тренды:
- Рост требований к обмену угрозами и оперативной отчетности. Операторы должны уведомлять регуляторов о новых уязвимостях и инцидентах в короткие сроки, что требует построения эффективных процессов мониторинга и обмена информацией.
- Усиление роли Роскомнадзора и ФСТЭК в контроле соблюдения ИБ-требований. Регуляторы получают расширенные полномочия по проверкам, санкциям и выработке детализированных методических рекомендаций.
- Технологическая независимость. Регуляторы настоятельно поддерживают импортозамещение ПО и решений ИБ, что отражено как в требованиях 187-ФЗ, так и в смежных нормативных актах.
Таким образом, в 2026 году российское законодательство в области информационной безопасности выходит на новый уровень жесткости и детализации.
Компании, работающие с данными, ИТ-инфраструктурой и/или критически важными системами, должны включить соответствие новым требованиям в стратегическое планирование и операционные процессы. Невыполнение же требований влечет высокие штрафы, риски утечек, нарушения соответствия и угрозы репутации бизнеса.