Большой обзор: все изменения в ИБ с 1 марта 2026 года

В ИБ изменения происходят постоянно: то ФСТЭК обновляет требования, то ФСБ уточняет порядок реагирования, то Роскомнадзор ужесточает контроль. Мы к этому привыкли.

Но март 2026 года всё же стоит отметить в календаре. В этот раз изменения комплексные: вступает в силу сразу несколько взаимосвязанных документов, которые затронут всех: от государственных учреждений до коммерческих разработчиков ПО.

Мы в ГК «IT Полюс» проанализировали новые нормативные акты и собрали в одном месте главное, к чему нужно готовиться. Для удобства мы разделили материал по группам — выбирайте ту, которая относится к вам.

Важное предупреждение

В этой статье мы собрали информацию о документах с разным статусом:

• Уже действующие нормы — документы, которые официально опубликованы и вступают в силу с 1 марта 2026 года
• Планируемые изменения — законопроекты и инициативы, которые находятся на стадии обсуждения (их статус нужно отслеживать отдельно)

1. Для всех: новые требования к мониторингу и реагированию

Приказ ФСТЭК № 117: что меняется в защите ГИС

С 1 марта утрачивает силу старый приказ № 17, и вступают в действие новые Требования о защите информации в государственных информационных системах (ГИС) и иных системах госорганов, ГУП и госучреждений .

Кого касается? Буквально всех госорганов, ГУПов и госучреждений, а также информационных систем, взаимодействующих с ГИС . Если у вас есть бухгалтерская система, кадровый реестр или документооборот — требования распространяются и на вас.

Что нового и важного?

• Преемственность: Аттестаты соответствия, выданные ранее, остаются действительными . Переаттестация по полному циклу не требуется, но новые проверки будут проходить по новым правилам.
• Мониторинг ИБ становится обязательным: В состав обязательных мероприятий входит обеспечение мониторинга информационных событий . Мониторинг должен осуществляться в соответствии с разделами 4 и 5 ГОСТ Р 59547-2021 . Хотя сам ГОСТ не является обязательным нормативным актом, приказ ФСТЭК № 117 ссылается на него как на методическую основу для организации мониторинга .
• Взаимодействие с ГосСОПКА: Приказ вводит обязательное требование обеспечения непрерывного взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) . Это значит, что мониторинг и реагирование на инциденты для ГИС становятся обязательными.
• Искусственный интеллект: В процессе мониторинга и анализа событий безопасности допускается использовать доверенные технологии искусственного интеллекта . Приказ требует обеспечивать контроль достоверности ответов ИИ и защиту от утечек . Конкретные ограничения на использование облачных ИИ-сервисов в тексте приказа прямо не прописаны — это отраслевая интерпретация требований к защите данных.
• Отчетность перед ФСТЭК: Последний в году отчет о результатах мониторинга (или итоговый отчет) направляется оператором в ФСТЭК России .
• Уведомление об уязвимостях: Согласно разъяснениям экспертов, новые требования предполагают уведомление регулятора о выявленных уязвимостях в течение 5 рабочих дней с момента их обнаружения .
• Кадровые требования: Не менее 30% сотрудников подразделения, обеспечивающего безопасность ГИС, должны иметь профильное образование или профессиональную переподготовку .

Что важно понимать: В приказе № 117 не устанавливаются жесткие сроки реагирования на инциденты (24 часа, 7 дней) — это требования других документов (например, приказа ФСБ № 282 для КИИ) . Также в нем нет прямых требований о расчете коэффициента защищенности (КЗИ) и показателя зрелости (ПЗИ) с фиксированной периодичностью — эти показатели могут использоваться в ведомственных методиках, но не являются общеобязательными по данному приказу.

Ответственность: Самым серьёзным последствием для организаций за несоблюдение новых требований может стать приостановка или запрет эксплуатации ГИС .

2. Для промышленности: особый режим КИИ

Главный вопрос: переход на доверенное ПО — обязанность или рекомендация?

Это прямая обязанность, установленная на законодательном уровне. Согласно Постановлению Правительства РФ от 14.11.2023 № 1912, субъекты КИИ обязаны перейти на преимущественное применение доверенных программно-аппаратных комплексов (ПАК) на значимых объектах КИИ.

Ключевые сроки

• Дедлайн полного перехода — 1 января 2030 года. К этой дате все значимые объекты КИИ должны работать на доверенных ПАК.
• Запрет на закупку с 1 сентября 2024 года. Уже сейчас нельзя закупать для значимых объектов КИИ ПАК, не являющиеся доверенными (исключение — при отсутствии российских аналогов по заключению Минпромторга).
• Ежегодная отчетность. Начиная с 2026 года, субъекты КИИ обязаны ежегодно, до 1 марта, направлять в уполномоченные органы отчет о ходе реализации плана перехода за предшествующий календарный год. 
  Важно: Поскольку требование об отчетности вступает в силу с 1 марта 2026 года, порядок представления первого отчета (за какой именно период) будет определен в подзаконных актах или разъяснениях уполномоченных органов. Рекомендуем следить за официальными разъяснениями Минцифры и ФСТЭК.

Что еще изменилось для КИИ с 1 марта 2026 года?

Вступает в силу Федеральный закон от 31.07.2025 № 325-ФЗ, который вносит изменения в структуру владения субъектами КИИ:

• Только российский контроль: Субъектами КИИ могут быть только российские юридические лица, находящиеся под контролем граждан РФ, органов госвласти или муниципальных образований. Исключается возможность иностранного контроля над организациями, эксплуатирующими критически важные объекты.
• Рекомендация: Проведите аудит корпоративной структуры на предмет соответствия новым требованиям в ближайшее время.

Возможны ли исключения?

Минпромторг разрабатывает механизмы, позволяющие продлить эксплуатацию некоторых ПАК после 2030 года в исключительных случаях:

• если есть действующий договор на поставку доверенных ПАК, исполнение которого выходит за пределы 2030 года
• если срок полезного использования оборудования истекает после 1 января 2030 года
• если ПАК задействован на опасном объекте и его остановка технически невозможна
• если ПАК неотделим от объекта капитального строительства

Однако даже в этих случаях потребуется выполнение дополнительных требований ФСБ и ФСТЭК.

Итог по КИИ: переход на доверенное ПО — это жесткий дедлайн с отчетностью и структурными ограничениями, а не опция. Промедление грозит не только штрафами, но и рисками приостановки деятельности.

3. Для разработчиков и заказчиков: новая система реестров ПО

С 1 марта 2026 года вступают в силу новые правила, связанные с реестрами ПО.

a) Перечень ПО для собственных нужд (Постановление Правительства № 1936)

Этот перечень создан специально для компаний, которые пишут софт «для себя» и не продают его на рынке .

Ключевые особенности:

• Статус: Включение в этот перечень приравнивается к использованию ПО из основного реестра для целей закона о безопасности КИИ
• Конфиденциальность: Сведения в этом перечне закрыты и не публикуются в открытом доступе
• Требования: Исключительное право должно принадлежать российскому лицу (РФ, субъекту, муниципалитету, гражданину или контролируемой ими компании)

b) Перечень доверенного ПО (проект Постановления Правительства № 1931)

Важное уточнение: На момент подготовки материала этот перечень существует в форме проекта. Ожидается, что новые полномочия правительственной комиссии по его формированию начнут действовать с 1 марта 2026 года .

Что предлагается:

• «Доверенное» ПО — это софт, который добровольно прошел дополнительную экспертизу на безопасность
• Проверку будут проводить аккредитованные центры тестирования
• Статус доверенного ПО может дать приоритет при госзакупках

Требования к доверенному ПО (согласно проекту):

• Совместимость хотя бы с одним отечественным процессором
• Обновления только с разрешения пользователя и без зарубежных серверов
• Техподдержка и устранение уязвимостей в 30-дневный срок

4. Для исследователей и бизнеса: планируемая легализация Bug Bounty

Важное уточнение: На момент подготовки материала речь идет о законопроектах, которые готовятся к внесению в Госдуму. Планируемая дата вступления в силу при условии принятия — 1 марта 2026 года, но окончательное решение пока не принято.

• Право на тестирование (поправки в ГК РФ): Специалисты могут получить право изучать и тестировать программы для ЭВМ и базы данных на наличие уязвимостей без согласия правообладателя, при условии, что это делается в целях повышения безопасности и без распространения информации.
• Порядок взаимодействия (поправки в закон «Об информации...»): Предлагается закрепить легальную процедуру Bug Bounty:
  • Правила привлечения исполнителей
  • Требования к платформам для тестирования
  • Порядок передачи информации об уязвимостях
• Ответственность за злоупотребления (поправки в УК и УПК): Предлагается ввести ответственность за неправомерную передачу информации об уязвимостях, которая может быть использована для кибератак.

Что это значит для бизнеса (в случае принятия законов):

• Появится возможность легально запускать программы Bug Bounty
• Потребуется пересмотреть политики взаимодействия с внешними исследователями
• Рекомендуется заранее создать выделенный канал приема информации об уязвимостях

5. Для владельцев инфраструктуры: планируемое регулирование ЦОД

Важное уточнение: На момент февраля 2026 года реестр ЦОД не создан, а соответствующие нормативные акты не приняты. Это планируемая мера, которая обсуждается в профессиональном сообществе.

Что обсуждается:

• Возможность создания реестра центров обработки данных, расположенных на территории РФ
• Потенциальные требования к владельцам ЦОД (российское юрлицо, отсутствие иностранного контроля)
• Обсуждаемая мера — запрет на размещение майнинговой инфраструктуры в ЦОД, включенных в реестр

Статус: Пока это только инициативы. Следите за официальными публикациями на regulation.gov.ru и сайте Минцифры.

6. Что не вступило, но обсуждается (важные прогнозы)

В профессиональном сообществе активно обсуждаются инициативы, которые пока не стали нормами, но важны для понимания трендов:

a) Требование совместимости с двумя российскими ОС

Периодически появляется информация о планах ввести требование о совместимости ПО, включаемого в реестр, с двумя российскими операционными системами.

Статус: На момент февраля 2026 года это требование не закреплено в действующих нормативных актах. Это обсуждаемая инициатива, которая может быть реализована в будущем.

b) Поэтапные сроки внедрения

В некоторых публикациях встречаются конкретные даты:

• С 1 июня 2026 — для средств виртуализации и офисного ПО
• С 1 января 2027 — для облачного ПО, СУБД, средств ИБ
• С 1 июня 2027 — для прикладного и отраслевого ПО
• С 1 января 2028 — для промышленного ПО

Статус: Эти сроки не зафиксированы в официальных документах. Это прогнозы, которые могут измениться.

c) Маркировка доверенного ПО в реестре

Обсуждается возможность отображать в классическом реестре отечественного ПО информацию о соответствии программы требованиям доверенного ПО.

Статус: Пока это только идея. Реестр отечественного ПО и перечень доверенного ПО — это разные системы, и порядок их взаимодействия не определен.

Резюме и план действий

Чтобы март не стал месяцем авралов и штрафов, предлагаем чек-лист готовности:

Для госсектора и ГУПов

1. Провести аудит систем на соответствие новым требованиям Приказа ФСТЭК № 117.
2. Убедиться, что процессы мониторинга и взаимодействия с ГосСОПКА соответствуют установленным требованиям.
3. Проверить кадровый состав: не менее 30% сотрудников подразделения ИБ должны иметь профильное образование или переподготовку .
4. Актуализировать внутренние регламенты с учетом новых требований к уведомлению об уязвимостях (5 рабочих дней).

Для субъектов КИИ

1. Следить за официальными разъяснениями о порядке представления первого отчета по переходу на доверенные ПАК.
2. Проверить корпоративную структуру на соответствие требованиям закона № 325-ФЗ (отсутствие иностранного контроля).
3. Пересмотреть планы закупок: исключить закупку недоверенных ПАК для значимых объектов.
4. Актуализировать дорожную карту перехода на доверенные ПАК до 2030 года.

Для коммерческих компаний с собственными ИС

1. Оценить целесообразность включения вашей «самописной» системы в перечень ПО для собственных нужд.
2. Следить за появлением подзаконных актов, уточняющих порядок.

Для разработчиков ПО

1. Следить за статусом законопроектов о доверенном ПО — готовиться к возможному появлению новых требований.
2. Отслеживать судьбу инициатив о «белых хакерах» — в случае их принятия откроются новые возможности для Bug Bounty.

Для владельцев ЦОД

1. Следить за обсуждением инициативы о создании реестра ЦОД.
2. Мониторить проекты нормативных актов на regulation.gov.ru.

Где следить за изменениями

Чтобы быть в курсе точных формулировок и сроков, рекомендуем мониторить официальные источники:

• ФСТЭК России: fstec.ru (раздел «Документы»)
• Минцифры: digital.gov.ru (раздел «Документы» / «Проекты»)
• Портал проектов нормативных актов: regulation.gov.ru
• Официальный интернет-портал правовой информации: publication.pravo.gov.ru

Нужна помощь?

Друзья, мы понимаем, что объем изменений велик, а многие формулировки требуют адаптации под конкретные бизнес-задачи. Регуляторная нагрузка растет, но с ней можно справиться, если действовать системно.

ГК «IT Полюс» готова помочь вам:

• Провести аудит текущего состояния на соответствие новым требованиям
• Разработать дорожную карту перехода
• Помочь с подготовкой документов для включения ПО в реестры

Если нужна консультация или помощь — пишите на почту или звоните. Будем разбираться с новыми требованиями вместе!

*Материал подготовлен с учетом актуальных требований на февраль 2026 года. Для получения официальных разъяснений рекомендуем обращаться к текстам нормативных актов на портале правовой информации.