Новости ИТ и ИБ: изменения в законодательстве 2025

2025 год ознаменовался существенными изменениями в законодательстве, регулирующем сферы информационных технологий (ИТ) и информационной безопасности (ИБ) в России.

Законодатели продолжают адаптировать нормативную базу к новым вызовам цифровой трансформации, ужесточая требования к бизнесу и усиливая контроль за обработкой данных, защитой критической инфраструктуры и импортозамещением. Для специалистов B2B-сегмента, руководителей ИТ-компаний, инженеров и специалистов по ИБ эти изменения становятся определяющими для стратегического планирования и операционной деятельности.

В данной статье представлен концентрированный обзор ключевых законодательных новаций, которые определяют вектор развития отрасли ИТ и ИБ в России в 2025 году.

Ключевые изменения законодательства в сфере ИТ и ИБ

1. Ужесточение регулирования критической информационной инфраструктуры (КИИ)

С 1 января 2025 года вступили в силу поправки в Федеральный закон №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Основные изменения:

• расширение перечня субъектов КИИ: теперь в число обязанных субъектов включены не только государственные и крупные коммерческие организации, но и отдельные компании из B2B-сегмента, оказывающие услуги в сфере связи, транспорта, финансов, энергетики;
• обновление критериев категорирования объектов КИИ: введены новые параметры оценки угроз и уязвимостей, а также требования по обязательному аудиту безопасности не реже одного раза в три года;
• ужесточение ответственности: предусмотрены повышенные штрафы за несоблюдение требований по защите КИИ, включая административную и уголовную ответственность должностных лиц.

2. Новые правила обработки и трансграничной передачи персональных данных

В 2025 году вступили в силу изменения в Федеральный закон №152-ФЗ «О персональных данных», которые существенно затрагивают бизнес-процессы компаний, работающих с персональными данными:

• ограничение трансграничной передачи: теперь компании обязаны уведомлять Роскомнадзор о намерении передать данные за рубеж и получать согласие на передачу в страны, не обеспечивающие необходимый уровень защиты;
• ужесточение требований к согласиям: формы согласия должны быть более детализированы, а хранение согласий — обеспечиваться с использованием средств электронной подписи;
• обязательное назначение DPO: для организаций, обрабатывающих большие объемы персональных данных или данные специальных категорий, введена обязанность по назначению ответственного по защите данных (Data Protection Officer).

3. Импортозамещение в ИТ и ИБ: новые требования к программному обеспечению

В рамках политики технологического суверенитета, с 2025 года ужесточены требования к использованию отечественного ПО:

• государственный реестр ПО: расширен перечень видов деятельности, для которых обязательным является использование ПО из реестра отечественных программ;
• сертификация средств защиты информации: все новые решения по защите информации, внедряемые в инфраструктуру КИИ, должны проходить обязательную сертификацию ФСТЭК России;
• переходный период: для ряда отраслей установлен переходный период до конца 2025 года, после чего использование иностранных решений будет возможно только по согласованию с профильными ведомствами.

4. Новые стандарты и требования к управлению инцидентами ИБ

В 2025 году утверждены новые государственные стандарты по управлению инцидентами ИБ (ГОСТ Р 58900-2025):

• обязательность внедрения СУИБ: для всех субъектов КИИ и крупных организаций введено требование по внедрению систем управления информационной безопасностью (СУИБ);
• журналирование инцидентов: введены требования по обязательному ведению электронных журналов инцидентов и их хранению не менее 5 лет;
• сроки уведомления: сокращены сроки обязательного уведомления регуляторов и пострадавших лиц о произошедших инцидентах до 24 часов с момента обнаружения.

5. Введение ответственности за использование несертифицированных средств защиты

С 2025 года вступили в силу поправки в КоАП РФ, усиливающие ответственность за использование несертифицированных средств защиты информации:

• административные штрафы: для юридических лиц — до 5 млн рублей, для должностных лиц — до 500 тыс. рублей;
• обязательное изъятие несертифицированных средств: по решению суда возможно изъятие и уничтожение несертифицированных решений, используемых в инфраструктуре КИИ.

Практические рекомендации для бизнеса

В условиях новых законодательных требований компаниям B2B-сегмента рекомендуется:

• провести аудит соответствия новым требованиям: особенно в части обработки персональных данных и защиты КИИ;
• назначить ответственных лиц: по ИБ и защите персональных данных (DPO), обеспечить их обучение;
• обновить внутренние политики и процедуры: привести в соответствие с новыми стандартами и требованиями;
• переоснастить инфраструктуру: перейти на сертифицированные отечественные решения, особенно для защиты КИИ;
• внедрить СУИБ и системы мониторинга инцидентов: автоматизировать процессы обнаружения и реагирования на инциденты.

Тенденции развития отрасли ИТ и ИБ

1. Рост роли отечественных разработчиков

В результате политики импортозамещения наблюдается существенный рост спроса на отечественные решения в области ИБ и ИТ, а также активное развитие экосистемы российских вендоров.

2. Усиление государственного контроля

Регуляторы получают дополнительные полномочия по контролю за деятельностью компаний в ИТ и ИБ, включая проведение внеплановых проверок и аудит соответствия требованиям.

3. Цифровая трансформация и новые угрозы

С развитием цифровой экономики и внедрением новых технологий (ИИ, IoT, облачные сервисы) увеличивается количество и сложность киберугроз, что требует от компаний постоянного совершенствования систем защиты.

Заключение

2025 год стал переломным для российского законодательства в сфере ИТ и ИБ. Новые требования ужесточают ответственность бизнеса за защиту информации, стимулируют переход на отечественные решения и требуют постоянного совершенствования процессов управления безопасностью. Специалистам B2B-сегмента важно своевременно реагировать на изменения, интегрировать новые стандарты и технологии, а также выстраивать системный подход к управлению рисками.