Обзор изменений в законодательстве за январь 2026 года

В обзоре изменений за январь 2026 года рассмотрим следующие темы:

1. Критическая информационная инфраструктура

Рассмотрим отраслевые особенности категорирования объектов КИИ в области атомной энергии.

2. Персональные данные

Разберем изменения в правилах использования биометрических ПДн в СКУД.

Изучим уголовную ответственность за незаконную автоматизированную обработку ПДн.

3. Иное

Рассмотрим изменение административной ответственности за нарушения в сфере связи.

4. ФСТЭК России

Разберем изменения в порядке аттестации объектов информатизации по требованиям защиты информации.

Рассмотрим изменения в лицензировании деятельности по ТЗКИ и разработке и производству СЗКИ.

Приведем список обновленных перечней и реестров ФСТЭК России.

Критическая информационная инфраструктура

Отраслевые особенности категорирования объектов КИИ в области атомной энергии

16 января официально опубликовано постановление Правительства Российской Федерации (далее – РФ) от 16.01.2026 № 4 «Об утверждении отраслевых особенностей категорирования объектов критической информационной инфраструктуры (далее – КИИ), функционирующих в области атомной энергии».

Особенности категорирования устанавливают порядок определения соответствия объекта КИИ критериям значимости и показателям их значений в целях присвоения ему одной из категорий значимости и порядок расчета значений показателей критериев значимости с учетом особенностей функционирования объекта КИИ.

Ключевые положения отраслевых особенностей:

• в состав комиссии по категорированию могут быть включены представители Государственной корпорации по атомной энергии «Росатом»;
• к объектам КИИ не применяются показатели значимости из позиций 4, 10, 10¹ – 10⁷ и 14 перечня показателей критериев значимости объектов КИИ РФ и их значений, утвержденных постановлением Правительства РФ от 08.02.2018 № 127;
• дополнительные исходные данные для категорирования включают:

     o техническую и проектную документацию объекта КИИ;

     o договоры сервисного обслуживания объекта КИИ;

     o документы по обеспечению эксплуатации, обслуживания и ремонта;

     o сценарии возможных и прогнозируемых компьютерных атак и инцидентов с негативными последствиями для объекта КИИ;

     o данные о ранее произошедших компьютерных атаках и инцидентах, полученные из анкет работников субъекта КИИ, обеспечивающих функционирование объекта КИИ.

• методы расчета значений показателей критериев значимости включают:

     o экспертный метод (анализ возможного ущерба);

     o метод аналогий (сравнений);

     o моделирование компьютерных атак и инцидентов;

     o расчетный метод (количественная оценка риска аварий).

При расчете показателей критериев значимости объекта КИИ РФ принимаются во внимание физические эффекты аварийных процессов (пожары, выбросы токсичных веществ), параметры выпуска продукции по гособоронзаказу и иное.

Персональные данные

Изменение правил использования биометрических ПДн в СКУД

24 января опубликован проект Федерального закона «О внесении изменения в статью 13 Федерального закона № 572-ФЗ от 29.12.2022 «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных (далее – ПДн), о внесении изменений в отдельные законодательные акты РФ и признании утратившими силу отдельных положений законодательных актов РФ».

Законопроект направлен на совершенствование правил использования биометрических ПДн в системах контроля и управления доступом (далее – СКУД).

Ключевые изменения проектной редакции закона от действующей:

• появится возможность использовать собственные аккредитованные системы с применением векторов единой биометрической системы не только в отношении сотрудников, но и своих посетителей, сотрудников и посетителей аффилированных лиц, дочерних и зависимых обществ;
• разделятся требования для аутентификации через СКУД с использованием биометрических ПДн на территории объектов КИИ в зависимости от их категории значимости:

     o на территориях контролируемых зон (далее – КЗ) 1 и 2 категории значимости допускается использование информационных систем (далее – ИС) аккредитованных государственных органов, а для Центрального банка РФ и иных организаций допускаются использование собственных ИС (при наличии аккредитации);

     o на территориях КЗ 3 категории значимости и объектах КИИ без категории значимости будет разрешено использовать ИС других аккредитованных организаций.

Уголовная ответственность за незаконную автоматизированную обработку ПДн

27 января опубликован проект Федерального закона «О внесении изменений в статью 272.1 Уголовного кодекса РФ (далее – УК РФ)».

Законопроект дополнит часть 1 статьи 272.1 УК РФ таким самостоятельным действием, как «автоматизированная обработка».

Изменение позволит квалифицировать как преступление факт незаконной автоматизированной обработки ПДн, полученных неправомерным путем, независимо от последующих действий с ними.

Проект направлен на борьбу с преступлениями, совершаемыми с использованием технологии создания поддельных аудио- и видеозаписей (дипфейков), которые могут быть использованы для мошенничества, шантажа и нанесения иного существенного вреда.

Иное

Изменение административной ответственности за нарушения в сфере связи

15 января опубликован проект Федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (далее – КоАП РФ)».

Ключевые изменения в КоАП РФ по законопроекту:

• вводится ответственность за заключение договоров об оказании услуг связи в не установленных законом местах или в местах, не соответствующих требованиям, а также увеличится размер штрафа по части 4 статьи 13.29 КоАП РФ (штраф для юридических лиц составит от 500 тысяч до 1 миллиона рублей);
• установится ответственность по части 3 статьи 13.2.1 КоАП РФ для операторов связи за несоблюдение требований по обеспечению функционирования узлов верификации не только в момент подключения, но и при дальнейшем взаимодействии с государственной информационной системой (далее – ГИС) «Антифрод» (штраф для юридических лиц составит от 600 тысяч до 1 миллиона рублей);
• увеличивается до 1 года срок давности привлечения к ответственности за правонарушения, предусмотренные статьей 13.33 КоАП РФ (в сфере электронной подписи).

Законопроект может вступить в силу 1 сентября 2026 года.

ФСТЭК России

Изменения в порядок аттестации объектов информатизации по требованиям защиты информации

26 января Федеральная служба по техническому и экспортному контролю РФ (далее – ФСТЭК России) опубликовала проект приказа «О внесении изменений в порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну (далее – порядок аттестации), утвержденный приказом ФСТЭК России от 29.04.2021 № 77».

Проект разработан для приведения порядка аттестации в соответствие с Требованиями, утвержденными приказом ФСТЭК России от 11.04.2025 № 117. Изменения направлены на уточнение требований к аттестационным испытаниям, периодическому контролю и содержанию отчетной документации.

Требования порядка аттестации дополнительно распространятся на ИС государственных органов, государственных унитарных предприятий, государственных учреждений.

Периодический контроль уровня защиты информации принадлежащих этому органу объектов информатизации можно будет проводить силами собственных структурных подразделений по защите информации (после информирования об этом ФСТЭК России).

Проектом приказа изменено проведение аттестационных испытаний при проведении работ по оценке соответствия принятых на объекте информатизации технических мер по защите информации от несанкционированного доступа (далее – НСД), приведены новые способы испытаний, в том числе путем моделирования реализации актуальных угроз с целью оценки возможностей НСД.

Тестирование на проникновение будет обязательным для ГИС и иных ИС государственных органов и унитарных предприятий 1 и 2 классов защищенности, имеющих подключение к сети «Интернет» или взаимодействующих с внешними системами (есть исключения для систем, взаимодействующих только через сети шифрованной связи или виртуальных частных сетей).

Инфраструктура центров обработки данных, используемая для цифровой трансформации государственного управления, будет подлежать обязательной аттестации на соответствие требованиям по защите информации.

Проект допускает аттестацию объекта информатизации на основе испытаний выделенного набора сегментов по аналогии с пунктом 17.3 приказа ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в ГИС».

Контроль уровня защищенности информации на аттестованном объекте информатизации должен будет проводиться методами анализа уязвимостей и тестирования на проникновение в соответствии с методикой анализа защищенности ИС, утвержденной ФСТЭК России 25.11.2025. Подробнее с методикой можно ознакомиться в обзоре за декабрь 2025 года Аналитического центра УЦСБ.

По результатам проведения контроля уровня защищенности информации на аттестованном объекте информатизации будет нужно оформить отчет (протокол) с указанием перечня сведений, который предоставляется в ФСТЭК России не реже 1 раза в 3 года.

Отмечаем, что общество с ограниченной ответственностью «Уральский центр систем безопасности» (ООО «УЦСБ») успешно реализует проекты по анализу защищенности и имеет необходимую лицензию на оказание таких услуг.

Изменения в лицензировании деятельности по разработке и производству СЗКИ

29 января опубликован проект Постановления Правительства РФ «О внесении изменений в Положение о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации (далее – СЗКИ), утвержденное постановлением Правительства РФ от 03.03.2012 № 171».

Помимо иностранных юридических лиц, прямой запрет на осуществление деятельности по разработке и производству СЗКИ будет введен для:

• индивидуальных предпринимателей с иностранным гражданством;
• юридических лиц, руководители которых являются иностранными гражданами.

Для руководителей сократится обязательный стаж работы в области лицензируемой деятельности, он составит не менее 5 лет (ранее требовалось 7 лет).

Увеличится минимальное количество штатных инженерно-технических работников (далее – ИТР):

• не менее 5 человек при работе с техническими средствами защиты;
• не менее 10 человек при разработке и производстве программных (программно-технических) средств защиты информации.

Лицензиат будет обязан:

• использовать оборудование и программные средства преимущественно отечественного производства, расположенные на территории РФ;
• иметь собственную аттестованную (или сертифицированную) ИС для обработки конфиденциальной информации непосредственно по месту осуществления деятельности.

Для разработчиков СЗКИ вводится обязательное наличие системы производственного контроля, реализующей процессы безопасной разработки программного обеспечения (далее – ПО) в соответствии с национальным стандартом ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного ПО. Общие требования».

Для получения лицензии потребуется представлять более детальные сведения, включая копии аттестатов соответствия ИС и иное.

Постановление должно вступить в силу со дня его официального опубликования.

Изменения в лицензировании деятельности по ТЗКИ

29 января опубликован проект Постановления Правительства РФ «О внесении изменений в Положение о лицензировании деятельности по технической защите конфиденциальной информации (далее – ТЗКИ), утвержденное постановлением Правительства РФ от 03.02.2012 № 79».

Помимо иностранных юридических лиц, прямой запрет на осуществление деятельности в области ТЗКИ будет введен для:

• индивидуальных предпринимателей с иностранным гражданством;
• юридических лиц, руководители которых являются иностранными гражданами.

Изменятся требования к штату работников:

• для услуг по мониторингу информационной безопасности средств и систем информатизации потребуется не менее 15 ИТР, при этом 5 из них должны иметь стаж не менее 3 лет;
• для услуг по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации потребуется не менее 9 ИТР, из которых минимум 3 должны иметь стаж от 3 лет;
• для иных услуг потребуется не менее 5 ИТР со стажем от 3 лет.

Проект постановления введет обязательное использование оборудования и программных средств преимущественно отечественного производства, которые должны быть физически расположены на территории РФ.

Для большинства видов деятельности установится новое требование о наличии системы производственного контроля качества выполняемых работ и (или) оказываемых услуг.

Обновление перечней и реестров ФСТЭК России

На сайте ФСТЭК России размещены обновленные перечни и реестры:

• реестр лицензий на деятельность по ТЗКИ;
• реестр лицензий на деятельность по разработке и производству СЗКИ;
• государственный реестр сертифицированных СрЗИ;
• перечень организаций, имеющих право проведения работ по аттестации объектов информатизации;
• перечень органов государственной власти, имеющих право проведения работ по аттестации объектов информатизации;
• реестр аккредитованных ФСТЭК России органов по сертификации;
• реестр аккредитованных ФСТЭК России испытательных лабораторий;
• перечень организаций, имеющих право проведения работ по аттестации объектов информатизации, обрабатывающих информацию ограниченного доступа, не содержащей сведений, составляющих государственную тайну;
• перечень органов государственной власти, имеющих право проведения работ по аттестации объектов информатизации, обрабатывающих информацию ограниченного доступа, не содержащей сведений, составляющих государственную тайну;
• перечень сертификатов соответствия процессов безопасной разработки ПО.

ООО «УЦСБ» имеет лицензию ФСТЭК России на:

• деятельность по разработке и (или) производству СЗКИ (№Л050-00107-00/00579687 от 08 октября 2007 года);
• деятельность по ТЗКИ (№Л024-00107-00/00580547 от 08 октября 2007 года).