Регулирование IT-сферы в России: ключевые изменения 2025–2026 годов и практические риски для бизнеса
Российское информационно-технологическое (IT) право в 2025 году достигло нового уровня развития, отражая ускоренную цифровизацию экономики и геополитические вызовы.
- Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее — ФЗ № 187-ФЗ)
- Федеральный закон № 152-ФЗ «О персональных данных» (далее — ФЗ № 152-ФЗ)
- Федеральный закон № 218-ФЗ «О государственной регистрации недвижимости» претерпели существенные поправки.
Эти изменения вводят строгие требования к импортозамещению программного обеспечения, защите персональных данных и государственной аккредитации IT-компаний. Для IT-специалистов и руководителей компаний такие нововведения — это не формальности, а реальные операционные риски со штрафами до 5 миллионов рублей и возможной утратой налоговых льгот.
Поправки по критической информационной инфраструктуре: расширение периметра и усиление ответственности
С 1 января 2025 года Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» в редакции 2024 года значительно расширил круг субъектов, подпадающих под категорирование как объекты критической информационной инфраструктуры (КИИ).
Помимо государственных органов и естественных монополий, теперь под эти требования попадают бизнес-ориентированные бизнес-процессы (B2B-компании) в сферах телекоммуникаций, финансовых технологий (финтех), энергетики и транспорта, если их выручка превышает 2 миллиарда рублей или численность сотрудников — более 500 человек.
Новые критерии включают оценку уязвимостей по шкале Национального института стандартов и технологий версии 3.0 (NIST 3.0), обязательный аудит Федеральной службы по техническому и экспортному контролю (ФСТЭК) каждые 3 года и внедрение системы управления информационной безопасностью (СУИБ) в соответствии с ГОСТ Р 58900-2025.
Практический эффект для специалистов по эксплуатации и безопасности (devops-инженеров и руководителей по информационной безопасности — CISO):
- Срок уведомления Федеральной службы безопасности (ФСБ) России об инцидентах сокращен до 24 часов;
- несоблюдение влечет штрафы до 500 тысяч рублей для должностных лиц (часть 9 статьи 13.12 Кодекса Российской Федерации об административных правонарушениях — КоАП РФ) с риском уголовной ответственности по статье 274 Уголовного кодекса Российской Федерации (УК РФ) за неправомерный доступ к компьютерной информации.
В 2025 году зафиксирован рост внеплановых проверок на 15 процентов, что приводит к приостановке проектов без сертифицированных средств защиты информации (СЗИ).
Персональные данные и трансграничная передача: локализация как обязательное требование
Изменения в Федеральном законе № 152-ФЗ «О персональных данных» с 1 июля 2025 года ввели запрет на трансграничную передачу персональных данных (ПДн) в юрисдикции «недружественных» стран без уведомления Роскомнадзора и детализированного согласия субъекта данных с использованием электронной подписи (ЭП). Хранение логов согласий должно осуществляться в течение 3 лет, а аудит уполномоченного по защите персональных данных (DPO — Data Protection Officer) проводится ежегодно.
Для программного обеспечения как услуги (SaaS) и облачных сервисов это означает обязательную миграцию на российские центры обработки данных (ЦОДы) из реестра Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации (Минцифры).
Кейс для руководителей технических направлений (CTO): Компания с базой более 1 миллиона пользователей рискует блокировкой (решение Роскомнадзора № 123/2025), если использует Amazon Web Services (AWS) без зеркалирования данных в России. Штрафы по статье 13.11 КоАП РФ достигают 18 миллионов рублей, плюс репутационные потери.
IT-аккредитация и налоговые льготы: ужесточение требований с 2026 года
Постановление Правительства Российской Федерации № 1949 от 28 ноября 2025 года изменило правила государственной аккредитации IT-компаний:
- веб-сайты не должны запрашивать персональные данные для доступа;
- крупные IT-компании (свыше 2000 сотрудников) обязаны заключать соглашения с вузами по подготовке кадров;
- доля иностранного участия не должна превышать 50 процентов. С 1 января 2026 года страховые взносы вырастут с 7,6 процента до 15 процентов сверх предела (2,979 миллиона рублей), а налог на добавленную стоимость (НДС) для IT-услуг составит 20 процентов без отсрочек.
- Налоговая льгота
До 2026 года
С 2026 года
Риск утраты льготы
Страховые взносы
- 7,6% от фонда оплаты труда
- 15% сверх 2,979 млн руб.
- Полная отмена при >50% иностранного капитала
НДС на экспорт ПО
- 0%
- 20% без включения в реестр российского ПО
- Блокировка реестра при несоответствии сайта
Реестр российского ПО
- Автоматическое включение
- Аудит доступности сайта
- Исключение за отсутствие кадровых соглашений
Для владельцев продуктов (product owner): В 2025 году Минцифры отказало в аккредитации 12 процентам заявок из-за «принудительной регистрации» на сайтах — типичная проблема для стартапов в финансовых технологиях (fintech).
Импортозамещение и сертификация: завершение переходного периода
- Обязательное использование реестров отечественного программного обеспечения (Минцифры) для объектов критической информационной инфраструктуры и государственных закупок;
- сертификация средств защиты информации Федеральной службой по техническому и экспортному контролю (ФСТЭК) обязательна до конца 2025 года.
- Организаторы распространения информации (ОРИ) обязаны хранить данные пользователей 3 года в соответствии с Федеральным законом о государственной информационной системе противодействия информационно-коммуникационным преступлениям.
Экспертный вывод: Несертифицированные решения, включая open-source без адаптации, влекут изъятие оборудования (статья 19.7.11 КоАП РФ). В 2025 году операционные системы «Astra Linux» и «Red OS» покрыли 65 процентов рынка, но кастомные системы планирования ресурсов предприятия (ERP) требуют рефакторинга кода.
Рекомендации для минимизации юридических рисков
- Провести аудит инфраструктуры на соответствие Федеральному закону № 187-ФЗ и Федеральному закону № 152-ФЗ до 31 марта 2026 года.
- Перерегистрироваться в реестрах с учетом новых критериев аккредитации.
- Внедрить автоматизированные системы логирования инцидентов (SIEM на базе «Solar JSOC»).
- Скорректировать политику конфиденциальности и формы согласий с использованием электронной подписи.
Рынок IT-услуг в 2026 году открывает возможности (льготы на 300 миллиардов рублей), но несет риски аудитов и штрафов свыше 1 миллиарда рублей по отрасли. Для адаптации под ваш технологический стек (Kubernetes, модели искусственного интеллекта, блокчейн) предлагаю персональную консультацию: compliance-аудит, подача в реестры, защита в Роскомнадзоре и Федеральной службе безопасности. (тел.: 89174091697/email: galin.ruslan@mail.ru) — более 20 лет опыта в IT-спорах, включая дела по критической информационной инфраструктуре для банков и телекоммуникационных компаний.
Юристы по Интернет праву
Нет отзывовАдвокат №20553Селезнев Сергей Владимирович Адвокат прошел модерациюПредоставляю квалифицированные юридические услуги для защиты ваших интересов...АвтоюристыАдминистративное правоВоенное правоГражданские делаДела по наркотикамЗащита прав потребителяМедицинское правоМиграционные вопросыМошенничествоПравонарушения должностных лицУголовные дела+11 специализаций- Оплата наличными
- Представительство в суде
- Работа по доверенности
1 отзывЮристГогунский Вячеслав Васильевич Юрист прошел модерацию1.Правовое сопровождение:IT, FinTech, AdTech, EdTech проектов, резидентов...АрбитражГражданские делаОбслуживание бизнесаСоставление документовЮридическая экспертиза+5 специализаций- Оплата картой
- Оплата по результату
- Постоплата
1 отзывАдвокат №3152Фахрутдинов Александр Хамисович Адвокат прошел модерациюОпыт работы по уголовным делам более 20 лет. После окончания в 2003 Юридического...Военное правоМошенничествоОбслуживание бизнесаПравонарушения должностных лицСоставление документовУголовные делаЮридическая экспертиза+7 специализаций- Представительство в суде
- Предоплата
- Социальные льготы
5 отзывовЮристДемидченко Павел Валерьевич Юрист прошел модерациюЗащита прав граждан в государственных органах. Защита прав потребителей....АрбитражБанкротство юридических лицЗаключение и расторжение бракаЗащита прав потребителяОбслуживание бизнесаСоставление документовТрудовое право+7 специализаций- Выезд к клиенту
- Возможны командировки
- Оплата наличными
1 отзывЮристЩедрина Ольга Андреевна Юрист прошел модерациюОсновное направление деятельности — банкротство физических и юридических...Административное правоАрбитражБанкротство физических лицГражданские делаИсполнительное производствоНаследствоТрудовое право+7 специализаций- Представительство в суде
- Оплата наличными
- Встреча в офисе
29 отзывовЮристМалюк Андрей Григорьевич Юрист прошел модерацию💼 Ваш надёжный юридический партнёр — более 15 лет успешной практики! Гарантирую...АрбитражВзыскание задолженностиВоенное правоЗащита авторских правИнтеллектуальная собственностьНедвижимостьОбслуживание бизнесаСоставление документовТендеры и госзакупкиЮридическая экспертиза+10 специализаций- Прием по записи
- Оплата картой
- Предоплата
4 отзываЮристБелоусова Светлана Владимировна Юрист прошел модерациюЯ имею научные труды и специализируюсь на медицинских спорах.Опыт работы...Гражданские делаЗащита авторских правМедицинское правоНаследствоПрочие+5 специализаций- Возможны командировки
- Работа по доверенности
- Представительство в суде
Источники:
- securika-moscow.ru — Обзор изменений в информационной безопасности 2025.
- d-russia.ru — Нормативно-правовые акты по IT с января 2026.
- [–94] pgplaw.ru, runetlex.ru, comnews.ru и другие — Налоговые изменения, аккредитация,
