В марте 2026 года вступили в силу важные поправки в сфере информационных технологий. Они затрагивают безопасность данных, госзакупки ПО и работу критической инфраструктуры. Разберём ключевые новшества.

Безопасность информации: новые стандарты

С 1 марта действует приказ ФСТЭК России № 117 (заменивший приказ № 17), который меняет подход к защите данных: теперь важна не формальность, а реальная эффективность мер.

Основные требования:

• Непрерывный цикл защиты: планирование → реализация → оценка → улучшение.

• Расширенная зона ответственности: правила касаются всей ИТ‑инфраструктуры — от ГИС до личных устройств сотрудников и систем удалённого доступа.

• Жёсткие сроки устранения уязвимостей: критические — за 24 часа, высокого уровня — за 7 дней, остальные — по внутренним регламентам.

• Кадровая политика: нужно создать подразделение по ИБ. Его руководитель должен быть заместителем первого лица с профильным образованием (или переподготовкой от 360 часов), а минимум 30 % сотрудников — квалифицированы в сфере ИБ.

• Запрет на иностранное ПО и облачные сервисы для обработки критически важных данных.

• Обязательная отчётность: ежегодный расчёт защищённости, контроль системы защиты раз в 2 года с отчётом в ФСТЭК и годовой отчёт.

«Доверенное ПО» в госзакупках

С марта 2026 года приоритет в госзакупках (по 44‑ФЗ и 223‑ФЗ) отдаётся «доверенному программному обеспечению» — софту, прошедшему добровольную экспертизу на безопасность в аккредитованных центрах.

Условия для статуса «доверенного»:

• право на ПО принадлежит лицу под юрисдикцией РФ;

• правообладатель — гражданин РФ без иностранного гражданства;

• программа есть в реестре российского ПО;

• соответствие требованиям ИБ;

• отсутствие гостайны в данных.

Софт без такого статуса приравнивается к иностранному. Норма закреплена в постановлении Правительства РФ от 28.11.2025 № 1937.

Новые реестры ПО

Запущены два реестра:

• Перечень ПО для собственных нужд (постановление № 1936 от 28.11.2025): для компаний, создающих софт «для себя». Включение в перечень равноценно использованию ПО из основного реестра для целей закона о безопасности КИИ. Право должно принадлежать российскому лицу.

• Перечень доверенного ПО (постановление № 1931 от 28.11.2025): даёт приоритет при госзакупках.

Критическая информационная инфраструктура (КИИ)

Поправки ФЗ от 31.07.2025 № 325‑ФЗ запрещают иностранное участие в организациях, управляющих критически важными объектами. Субъектами КИИ могут быть только российские юрлица под контролем:

• граждан РФ;

• госорганов;

• муниципалитетов.

Минпромторг прорабатывает возможность продления эксплуатации некоторых ПАК после 2030 года в особых случаях (например, если оборудование задействовано на опасном объекте).

Прочие изменения

С 1 марта 2026 года:

• МФО обязаны внедрить биометрическую идентификацию заёмщиков при электронных договорах займа (ФЗ № 41‑ФЗ).

• Участники СРО должны сообщать о заключении контрактов по итогам конкурентных процедур.

Обновления нацелены на укрепление технологического суверенитета и информационной безопасности. IT‑компаниям и смежным организациям важно оперативно адаптироваться к новым правилам, чтобы избежать санкций и сохранить доступ к госзакупкам.

Ссылка на статью в блоге VC.RU

https://vc.ru/legal/2798302-izmeneniya-v-pravovom-pole-it-sfery