Аттестат соответствия требованиям 187-ФЗ перестал быть защитой для руководителей — он может обернуться доказательством их сознательного бездействия. С усилением контроля, нарастанием киберугроз и переходом к уголовной ответственности формальный подход к безопасности критической информационной инфраструктуры (КИИ) рискует стать серьезной проблемой для первых лиц бизнеса.
На протяжении долгого времени аттестат воспринимался как юридическая страховка. Однако на сегодняшний день этот документ принял обратное значение — он может сыграть роль улики против топ-менеджеров, которые осознавали риски, но игнорировали их. Как же изменилась ситуация за последние два года и что теперь критически важно для руководителей?
Конец бумажной эры безопасности
По данным ФСТЭК России, представленных на "Инфофоруме-2026", лишь 36% проверенных значимых объектов КИИ достигли минимального уровня киберзащиты. Это значит, что почти две трети стратегических предприятий остаются уязвимыми даже перед элементарными угрозами, что указывает на серьезные управленческие недостатки.
Между 2018 и 2023 годами представители КИИ фокусировались на категоризации, стремясь оказаться в самой низкой категории, чтобы избежать высоких затрат на защиту. Нарастание кибератак в 2024-2025 годах показало, что злоумышленники не обращают внимания на категорию объектов, что ставит под угрозу всю организацию. Важно отметить, что документ, подписанный руководителем, который утверждает, что "ущерб невозможен", может стать основанием для обвинений в суде.
Новая реальность ответственности
Ключевым изменением к 2026 году стало переход от административного давления к уголовной ответственности. Если раньше штрафы были минимальными, то теперь нарушение правил может повлечь за собой реальный срок лишения свободы для генеральных директоров.
- Статья 274.1 УК РФ относится к "неправомерному воздействию на КИИ" и может применяться к сотрудникам с легальным доступом.
- Статья 293 УК РФ — "халатность" — теперь трактуется очень жестко: случаи, когда бездействие приводит к трагедии, могут закончиться тюремным сроком до 7 лет.
Такой поворот беспокоит и требует от руководителей более серьезного подхода к вопросам безопасности.
Рекомендации для руководителей
В новой реальности бездействие больше не является нейтральной позицией — оно становится преступным. Для предотвращения проблем рекомендуется:
- Создать механизмы личного контроля за ИБ: минимизировать технические метрики и сосредоточиться на бизнес-рисках.
- Пересмотреть категории безопасности с целью повышения, если это необходимо, для снижения риска.
- Закрепить в бюджете обязательные траты на информационную безопасность, что поможет предотвратить юридические претензии.
- Организовать регулярные киберучения для проверки эффективности реагирования на инциденты.
- Установить жесткие требования к подрядчикам по безопасности, включая обязательные аудиты и сертификации.
Таким образом, 2026 год требует от руководителей нового формата подхода к вопросам защиты критической информационной инфраструктуры, а традиционные методы уже не работают.
