Федеральный закон № 187-ФЗ возлагает на организации из ключевых отраслей (энергетика, транспорт, финансы, промышленность, здравоохранение и др.) строгие обязательства по защите информационной инфраструктуры. Несоблюдение требований закона влечет серьезные финансовые и репутационные потери, а также уголовную ответственность для руководства.
1. Основные требования: что нужно сделать?

• Провести категорирование всех информационных систем и сетей, отнеся их к объектам КИИ.
• Внедрить защитные меры в соответствии с нормативами ФСТЭК и ФСБ (включая особые требования для АСУ ТП).
• Подключиться к ГосСОПКА и передавать данные об инцидентах в НКЦКИ ФСБ.

❗ Последствия невыполнения:

• Крупные штрафы для компании.
• Приостановка эксплуатации критически важных систем.
• Дисквалификация ответственных лиц.

2. Главные риски для бизнеса

• Финансовые потери
• Штрафы за отсутствие категорирования или недостаточную защиту – до 1 млн руб. для юрлиц.
• Убытки из-за простоев (например, при атаке на АСУ ТП).
• Репутационный ущерб
• Утрата доверия клиентов и партнеров.
• Вмешательство регуляторов и дополнительные проверки.
• Уголовная ответственность руководства
• В случае инцидентов с тяжкими последствиями (срыв госзаказов, аварии, утечки данных) – до 6 лет лишения свободы для должностных лиц (ст. 274.1 УК РФ).

3. Что делать?

1. Назначьте ответственного за compliance с 187-ФЗ (желательно – на уровне топ-менеджмента).
2. Проведите аудит ИТ-инфраструктуры на соответствие требованиям.
3. Разработайте дорожную карту по категорированию и защите КИИ.
4. Организуйте взаимодействие с ГосСОПКА и ФСБ.

⚠ Важно: Для промышленных систем (АСУ ТП) требования жестче (приказ ФСТЭК № 31) – их безопасность нужно проработать отдельно.
Вывод
187-ФЗ – не просто формальность, а обязательное условие работы для компаний из стратегических отраслей. Без своевременного выполнения требований риски многократно превышают затраты на защиту. Рекомендуем начать внедрение мер уже сейчас, чтобы избежать санкций и операционных сбоев.