Указ президента №250

Кого касается Указ Президента РФ №250

Цель Указа — усилить информационную безопасность страны. Именно поэтому под действие Указа попадают те организации, которые влияют на стратегическую инфраструктуру России.

Одна из основных задач Указа — закрепить персональную ответственность руководства организаций за обеспечение ИБ, а также определить план действий для ФСБ и других ведомств по усилению защиты ИБ страны.

Таким образом, требования Указа распространяются на:

• Федеральные органы исполнительной власти. Это МВД, Минобороны, Федеральная антимонопольная служба (ФАС) и прочие государственные структуры.
• Органы власти субъектов РФ. Например, Совет министров республики Крым или Правительство Воронежской области.
• Государственные фонды и компании. Например, Пенсионный фонд России или «Автодор».
• Предприятия с КИИ. Компании, которые входят в критическую информационную инфраструктуру (КИИ) страны.

Если первые 3 группы в основном относятся к государственному сектору, то 4 группа затрагивает коммерческие организации, являющиеся субъектами КИИ. И чтобы понять, распространяется ли на вашу организацию Указ Президента №250, определите, является ли компания субъектом критической информационной инфраструктуры (КИИ).

Основной закон, который регулирует защиту КИИ и обязанности ее субъектов, — ФЗ №187. А актуальный перечень типовых отраслевых объектов КИИ — в Распоряжении Правительства РФ от 26.02.2026 года №360-р.

В перечень субъектов КИИ (организаций, которые владеют или эксплуатируют объекты КИИ) входят компании, занятые в сферах:

• Здравоохранение.
• Наука.
• Транспорт.
• Связь.
• Энергетика.
• Водоснабжение и водоотведение.
• И прочие сферы.

Определить, относится ли организация к субъектам КИИ можно по кодам номеров ОКВЭД, которые относятся к перечисленным сферам (например, к сфере здравоохранения относятся 84 и 86 ОКВЭД).

На практике встречаются ситуации, когда ФСТЭК России или прокуратура направляют запросы о выполнении требований №187-ФЗ организациям, у которых в ЕГРЮЛ указаны дополнительные коды ОКВЭД, относящиеся к сферам КИИ. При этом сама организация фактически может не иметь объектов КИИ.

Например, небольшая кофейня указывает дополнительный код ОКВЭД, связанный с транспортными услугами, из-за доставки собственной продукции, и формально попадает в поле внимания регуляторов, хотя по существу не эксплуатирует объекты КИИ.

Поэтому задача руководителей в первую очередь:

• перепроверить коды ОКВЭД на соответствие деятельности;
• проверить относятся ли ваши коды ОКВЭД к КИИ.

Если ваша организация входит в перечень субъектов КИИ, нужно выстроить систему информационной безопасности (ИБ), в соответствии с №187-ФЗ, Указом Президента №250 и Постановлением Правительства от 8 февраля 2018 г. №127 о правилах категорирования объектов КИИ.

Основные изменения в ИБ

• Создан перечень организаций, которым нужна экспертная оценка защищенности информационных систем (ИС). Такой перечень утвержден Распоряжением Правительства РФ №1661-р, в него попали государственные и частные компании.
• Утверждены постановления, которые будут использовать организации для создания подразделения ИБ или для назначения ответственных лиц. Их можно найти в тексте Постановления Правительства РФ №1272.
• Созданы аккредитованные центры для борьбы с кибератаками и для устранения их последствий. ФСБ уже подготовил соответствующий приказ о аккредитации таких центров и требования к ним.

Указ № 250 задал общую модель управления ИБ, а последующие подзаконные акты конкретизировали требования к структуре, ролям и взаимодействию с регуляторами.

Изменения для организаций, которые входят в КИИ

• В компании должно быть структурное подразделение, которое занимается ИБ. Численности подразделения или других уточнений в Указе нет, кибербезопасностью компании может заниматься 1 человек, но быть в штате. Причем обязанности по обеспечению ИБ можно возложить на уже существующее структурное подразделение, чаще всего это ИТ-отдел.
• За ИБ организации отвечает заместитель руководителя. Это значит, что нельзя просто дать ИТ-отделу задачи по кибербезопасности и наделить рядовых программистов полной ответственностью. Теперь предприятия должны либо выделить отдельную должность, например, директор по информационной безопасности, либо возложить эти полномочия на одного из заместителей руководителя.
• Компания может привлекать подрядчика, но с лицензией. Даже если у компании есть отдел информационной безопасности и ответственный за ИБ, не всегда они могут сами выполнить все задачи. В таком случае можно привлечь стороннюю организацию, например, для внедрения систем безопасности, но только при условии, что у них есть лицензия ФСТЭК. А если компания привлекает стороннюю организацию не для обеспечения защиты, а уже для того, чтобы исправить последствия кибератаки, то нужен подрядчик с государственной аккредитацией — их список на сайте ГосСОПКА.
• Компания должна взаимодействовать с ФСБ. А именно: давать доступ к информационным ресурсам и быстро реагировать на новые требования и решения службы безопасности.
• Руководитель компании несет личную ответственность за ИБ на предприятии. При выявленных случаях нарушений кибербезопасности ответственность будет нести не только юридическое лицо, но и руководитель.
• Нельзя пользоваться иностранным софтом для кибербезопасности. Компания не может использовать средства защиты (например, антивирусы), а также пользоваться услугами ИБ, если их реализуют недружественные страны. В оригинальном тексте Указа был запрет только на средства защиты, т.е. программы и сервисы, а в поправках к Указу за 2024 год появились и услуги. В любом случае, запрет начал действовать только с 1 января 2025 года и уже на все сразу.

Что делать дальше?

Регуляторы активно проверяют компании, которые входят в список Указа, на соответствие их системы безопасности новым требованиям. ПО данным ФСТЭК проверка 700 наиболее важных объектов КИИ в январе 2026 года выявила 1 200 нарушений.

Даже минимальные требования кибербезопасности достигнуты только 36% организаций. Эта статистика показывает, что далеко не все организации готовы к проверкам, в то время как нарушение правил защиты информации в КИИ грозит полумиллионными штрафами.

Если ваша организация относится к субъектам КИИ или есть сомнения в применимости к ней Указа № 250, то нужно оценить состав объектов КИИ, структуру управления ИБ, назначение ответственных лиц, взаимодействие с регуляторами и фактическое состояние мер защиты.

Эксперты компании «Управление информационной безопасности» помогут разобраться, распространяются ли на вашу организацию требования Указа № 250, и подготовят дорожную карту по их практическому выполнению.