Новости ИТ и ИБ: изменения в законодательстве 2025

2025 год ознаменовался существенными изменениями в законодательстве, регулирующем сферы информационных технологий (ИТ) и информационной безопасности (ИБ) в России.
Законодатели продолжают адаптировать нормативную базу к новым вызовам цифровой трансформации, ужесточая требования к бизнесу и усиливая контроль за обработкой данных, защитой критической инфраструктуры и импортозамещением. Для специалистов B2B-сегмента, руководителей ИТ-ком паний, инженеров и специалистов по ИБ эти изменения становятся определяющими для стратегического планирования и операционной деятельности.
В данной статье представлен концентрированный обзор ключевых законодательных новаций, которые определяют вектор развития отрасли ИТ и ИБ в России в 2025 году.
Ключевые изменения законодательства в сфере ИТ и ИБ
- Ужесточение регулирования критической информационной инфраструктуры (КИИ)
С 1 января 2025 года вступили в силу поправки в Федеральный закон №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Основные изменения:
- расширение перечня субъектов КИИ: теперь в число обязанных субъектов включены не только государственные и крупные коммерческие организации, но и отдельные компании из B2B-сегмента, оказывающие услуги в сфере связи, транспорта, финансов, энергетики;
- обновление критериев категорирования объектов КИИ: введены новые параметры оценки угроз и уязвимостей, а также требования по обязательному аудиту безопасности не реже одного раза в три года;
- ужесточение ответственност и: предусмотрены повышенные штрафы за несоблюдение требований по защите КИИ, включая административную и уголовную ответственность должностных лиц.
- Новые правила обработки и трансграничной передачи персональных данных
В 2025 году вступили в силу изменения в Федеральный закон №152-ФЗ «О персональных данных», которые существенно затрагивают бизнес-процессы компаний, работающих с персональными данными:
- ограничение трансграничной передачи: теперь компании обязаны уведомлять Роскомнадзор о намерении передать данные за рубеж и получать согласие на передачу в страны, не обеспечивающие необходимый уровень защиты;
- ужесточение требований к согласиям: формы согласия должны быть более детализированы, а хранение согласий — обеспечиваться с использованием средств электронной подписи;
- обязательное назначение DPO: для организаций, обрабатывающих большие объемы персональных данных или данные специальных категорий, введена обязанность по назначению ответственного по защите данных (Data Protection Officer).
- Импортозамещение в ИТ и ИБ: новые требования к про граммному обеспечению
В рамках политики технологического суверенитета, с 2025 года ужесточены требования к использованию отечественного ПО:
- государственный реестр ПО: расширен перечень видов деятельности, для которых обязательным является использование ПО из реестра отечественных программ;
- сертификация средств защиты информации: все новые решения по защите информации, внедряемые в инфраструктуру КИИ, должны проходить обязательную сертификацию ФСТЭК России;
- переходный период: для ряда отраслей установлен переходный период до конца 2025 года, после чего использование иностранных решений будет возможно только по согласованию с профильными ведомствами.
- Новые стандарты и требования к управлению инцидентами ИБ
В 2025 году утверждены новые государственные стандарты по управлению инцидентами ИБ (ГОСТ Р 58900-2025):
- обязательность внедрения СУИБ: для всех субъектов КИИ и крупных организаций введено требование по внедрению систем управления информационной безопасностью (СУИБ);
- журналирование инцидентов: введены требования по обязательному ведению электронных журналов инцидентов и их хранению не менее 5 лет;
- сроки уведомления: сокращены сроки обязательного уведомления регуляторов и пострадавших лиц о произошедших инцидентах до 24 часов с момента обнаружения.
- Введение ответственности за использование несертифицированных средств защиты
С 2025 года вступили в силу поправки в КоАП РФ, усиливающие ответственность за использование несертифицированных средств защиты информации:
- административные штрафы: для юридических лиц — до 5 млн рублей, для должностных лиц — до 500 тыс. рублей;
- обязательное изъятие несертифицированных средств: по решению суда возможно изъятие и уничтожение несертифицированных решений, используемых в инфраструктуре КИИ.
Практические рекомендации для бизнеса
В условиях новых законодательных требований компаниям B2B-сегмента рекомендуется:
- провести аудит соответствия новым требованиям: особенно в части обработки персональных данных и защиты КИИ;
- назначить ответственных лиц: по ИБ и защите персональных данных (DPO), обеспечить их обучение;
- обновит ь внутренние политики и процедуры: привести в соответствие с новыми стандартами и требованиями;
- переоснастить инфраструктуру: перейти на сертифицированные отечественные решения, особенно для защиты КИИ;
- внедрить СУИБ и системы мониторинга инцидентов: автоматизировать процессы обнаружения и реагирования на инциденты.
Тенденции развития отрасли ИТ и ИБ
- Рост роли отечественных разработчиков
В результате политики импортозамещения наблюдается существенный рост спроса на отечественные решения в области ИБ и ИТ, а также активное развитие экосистемы российских вендоров.
- Усиление государственного контроля
Регуляторы получают дополнительные полномочия по контролю за деятельностью компаний в ИТ и ИБ, включая проведение внеплановых проверок и аудит соответствия требованиям.
- Цифровая трансформация и новые угрозы
С развитием цифровой экономики и внедрением новых технологий (ИИ, IoT, облачные сервисы) увеличивается количество и сложность киберугроз, что требует от компаний постоянного совершенствования систем защиты.
Заключ ение
2025 год стал переломным для российского законодательства в сфере ИТ и ИБ. Новые требования ужесточают ответственность бизнеса за защиту информации, стимулируют переход на отечественные решения и требуют постоянного совершенствования процессов управления безопасностью. Специалистам B2B-сегмента важно своевременно реагировать на изменения, интегрировать новые стандарты и технологии, а также выстраивать системный подход к управлению рисками.