ИТ-законодательство 2025: разбор изменений для бизнеса и специалистов

Цифровой ландшафт России стремительно меняется. Если раньше требования регуляторов касались в основном крупных игроков, то теперь они затрагивают практически каждого разработчика, стартапера и IT-архитектора. Поправки 2025 года — не точечные изменения, а системная перестройка отрасли.

По данным Минцифры, за первые шесть месяцев 2025 года количество проверок бизнеса со стороны Роскомнадзора выросло примерно на 40% по сравнению с 2024-м. Это не просто бюрократия — это новые требования к архитектуре ПО, методам хранения данных и даже процессу разработки. Разберёмся в изменениях законодательства и выясним, как ИТ-компаниям остаться эффективным в этих условиях.

Персональные данные: новые правила

После масштабных утечек личных данных, которые выявлены уже в этом году за первое полугодие, законодатели перешли от рекомендаций к жёсткому регулированию в этом вопросе. Поправки в 152-ФЗ, вступившие в силу с 30 мая 2025, затронули даже малые SaaS-сервисы и стартапы.

Категоризация данных и согласия, запрет иностранных сервисов для сбора аналитики и новые правила оформления документооборота — основные изменения, касающиеся любой компании, у которой есть представительство в интернете.

Штрафы выросли кратно:

• до 300 тыс. ₽ для должностных лиц и 700 тыс. ₽ для юрлиц за отсутствие согласия;
• до 6 млн ₽ за нарушения хранения данных;
• до 3 млн ₽ за несвоевременное уведомление Роскомнадзора об утечках.

Количество проверок со стороны Роскомнадзора выросло, а автоматизированные системы мониторинга с использованием ИИ ежедневно сканируют сотни сайтов на предмет нарушений.

Есть ещё один момент, на который бизнесу стоит обратить внимание. Раньше для многих компаний расчёт был простым: заплатить условные 300 тыс. ₽ штрафа за нарушение — это выгоднее, чем тратить 3–30 млн ₽ на перестройку архитектуры. Фиксированные штрафы не учитывали масштаб бизнеса — траты на санкции были по сути стоимостью ведения дел.

Ситуация изменилась радикально в 2025 году:

• Штрафы «с оборота» стали нормой. Например, за использование иностранного ПО на объектах КИИ — до 3% годовой выручки. Для компании с оборотом 10 млрд ₽ это 300 млн ₽ — сумма, сопоставимая с затратами на полную миграцию на российский софт.
• Прогрессивная шкала за повторные нарушения. Вторая локализация данных за год: 5–8% выручки. Третье нарушение: приостановка деятельности до 90 суток + аннулирование лицензий.
• Кумулятивный эффект. При одновременном нарушении нескольких норм (например, отсутствие резервов КИИ + иностранная аналитика) штрафы суммируются. Потолок — 21% годового оборота.

Вывод: бизнес больше не может считать штрафы «операционными расходами». Теперь стоимость несоблюдения закона в разы превышает цену комплаенса.

Что изменилось на практике

Трёхуровневая система согласий стала технологическим вызовом. Теперь недостаточно общего чекбокса «Я согласен». Для биометрии (голос, отпечатки) требуется отдельный документ с электронной подписью или реальной подписью на бумажном носителе.

Специальные категории (здоровье, политические взгляды) требуют письменного согласия с явным указанием целей обработки. Обычные данные (ФИО, email) — стандартная форма, но с обязательным указанием ИНН/ОГРН оператора в подвале сайта.

Запрет на скрытые трекеры ударил по аналитике. Сервисы Google Analytics и Meta* Pixel теперь приравнены к обработчикам ПДн. Их использование без явного согласия карается штрафами до 18 млн ₽ за трансграничную передачу данных. Альтернативы вроде Яндекс.Метрики и Рамблер.Топ обязаны хранить данные на российских серверах и предоставлять РКН доступ к исходному коду алгоритмов обработки.

*Компания признана на территории РФ экстремистской и запрещена

Журнал обработки превратился в инструмент реального контроля. DevOps-командам теперь необходимо интегрировать системы логирования (например, ELK-стек) с реестром ПДн и обеспечивать онлайн-доступ для инспекторов РКН. Требуется фиксация: IP-адреса сотрудников, запрашивающих данные, цели запроса, временные метки.

Технические нюансы для разработчиков:

• Интеграция с ЕСИА стала обязательной для форм регистрации, собирающих паспортные данные. Библиотека Gosuslugi.Auth требует добавлять три новых параметра в запросы OAuth 2.0.
• Cookie-баннеры должны технически блокировать скрипты Google Analytics до получения согласия. Решение: динамическая загрузка тегов через API Consent Manager Platform (CMP).
• Шифрование журналов: Данные о действиях с ПДн необходимо шифровать модулями КриптоПРО TLS 1.3, иначе штраф до 1,5 млн ₽ по ч. 6 ст. 13.11 КоАП.

Вывод: Новые правила превратили комплаенс в часть SDLC (жизненного цикла разработки программного обеспечения). Тестировщикам нужно добавлять сценарии проверки согласий в регрессионные тесты, а архитекторам — закладывать 20% ресурсов на модуль аудита. Безопасность данных теперь — условие выживания продукта.

КИИ: когда код становится стратегическим объектом

С января 2025 года перечень отраслей, подпадающих под регулирование закона №187-ФЗ «О безопасности критической информационной инфраструктуры (КИИ)», расширен до 15 категорий.

Наиболее значимые нововведения:

• Медицинское оборудование с функцией удалённого управления (искусственные органы, системы ИВЛ, томографы) теперь приравнены к объектам КИИ. Для разработчиков это означает обязательную сертификацию ПО по ГОСТ Р 59560-2024 и интеграцию с Единой системой мониторинга Минздрава.
• Логистические хабы федерального значения обязаны внедрить системы киберфизической защиты. Например, ПО для управления роботизированными складами должно включать модуль автоматического отключения при попытке несанкционированного доступа.
• Агропромышленные системы с господдержкой свыше 500 млн ₽ в год подпадают под требования ФСТЭК к резервированию. Это касается IoT-платформ для управления поливом и умными теплицами.

Технические вызовы для инженеров

Переход на отечественные аналоги библиотек — лишь верхушка айсберга. Многие компании столкнулись с проблемами:

• Задержки поставок сертифицированных компонентов. Например, замена OpenSSL на КриптоПРО TLS 1.3 в системах реального времени может занимать до 6 месяцев из-за тестирования ФСТЭК.
• Конфликты зависимостей. Сертифицированные версии библиотек (например, OpenJDK Corretto для Java) часто несовместимы с legacy-кодом. 
• Жёсткие требования к восстановлению. SLA в 15 минут для систем 1-й категории означает необходимость: Автоматического переключения на hot-standby кластеры; Сквозного тестирования аварийных сценариев каждые 72 часа; Логирования всех операций в защищённом ЦОД уровня Tier III.

Нормативные нюансы 2025 года

Верификация open-source теперь требует:

• проверки всех зависимостей через Национальный реестр уязвимостей;
• подписания контрактов с вендорами на экстренные патчи (п. 4.2 Приказа ФСТЭК №183).

Автоблокировка обновлений реализуется через:

• цифровые подписи ФСТЭК для пакетов;
• интеграцию с SIEM-системами (например, RuSIEM или MaxPatrol O2).

Контроль целостности журналов стал строже: отклонение в метках времени более 50 мс считается нарушением.

Если раньше комплаенс (соответствие требованиям) был этапом перед релизом, то теперь это ежедневная практика. Каждый пулл-реквест должен проходить проверку на соответствие Приказу ФСТЭК №183. Без этого сборка не запустится.

Эти изменения делают архитектурные решения ключевым фактором выживания проектов. Код для КИИ — это уже не продукт, а стратегический актив.

Комментирует эксперт Алексей Сухоруков, сооснователь международного ИТ-рекрутингового агентства Alex Staff Agency:

С введением ряда санкций перед российскими разработчиками открылся огромный пласт задач по импортозамещению. Подавляющее большинство компаний, включая госкорпорации, по сей день не могут перейти на отечественное ПО. А оставаться на старом иностранном становится все опаснее, так как без обновлений оно становится все уязвимее с каждым днем. Не исключение и отрасли, попадающие в список КИИ. Порог входя в разработку продуктов и систем для этих отраслей закономерно стал выше. Но в то же время, компании, которые будут способны создавать продукты, соответствующие стандартам и требованиям, получат несомненное конкурентное преимущество.

RP-системы под прицелом: грядущие санкции за SAP и аналоги

Издание РБК сообщает о новой законодательной инициативе: ERP-системы планируется приравнять к объектам критической информационной инфраструктуры (КИИ). Это означает, что компании, использующие SAP, Oracle и другие иностранные решения, столкнутся с прогрессивной шкалой штрафов за несвоевременный переход на отечественные аналоги.

Суть изменений:

• Юридический статус ERP. Системы управления ресурсами предприятия (финансы, логистика, HR) теперь классифицируются как стратегические объекты. Для них станут обязательными: Использование российского ПО (1С, «Галактика ERP», «Турбо ERP»); Сертификация по ГОСТ Р 59560-2024; Интеграция с национальными системами мониторинга.
• Сроки перехода. До 2027 года для компаний с оборотом свыше 50 млрд ₽ (по данным Минцифры).
• Санкции. Прогрессивные штрафы (до 3% годовой выручки) и налоговые преференции для перешедших на отечественные решения.

Технические сложности миграции

По оценке АПКИТ (Ассоциации предприятий компьютерных и информационных технологий), 25-30% крупных компаний (включая «Северсталь», ВТБ, «Аэрофлот») всё ещё используют SAP.

Основные преграды:

• Производительность. Российские аналоги уступают SAP в скорости обработки транзакций для предприятий с >100 000 операций/день.
• Интеграция. Несовместимость legacy-систем с API отечественных ERP.
• Кадровый дефицит. Только 12% ИТ-интеграторов имеют опыт миграции сложных SAP-систем (данные «КОРУС Консалтинг»).

Реальные последствия для разработчиков:

• Спрос на специалистов. Вакансии для миграции SAP → 1С выросли на 70% за 2025 год (hh.ru).
• Архитектурные требования. Обязательное использование СУБД Postgres Pro и ОС «Ред ОС» в новых проектах.
• Риски «бумажного» замещения. ФСТЭК будет проводить внезапные аудиты для выявления двойных контуров (старая SAP + новая ERP для отчётности).

Экспертное мнение. По словам Николая Комлева, главы АКПИТ, ERP-система, установленная у владельца КИИ, в том числе в банках или на заводах, может стать мишенью для атак. По этой причине формальный переход без перестройки процессов — повод для штрафов. К 2026 году ФСТЭК внедрит инструменты автоматического детектирования SAP-трафика.

Прогноз: До 2027 года рынок ERP-миграции в России достигнет 120 млрд ₽. Ключевые бенефициары — «СберТех» (разрабатывает аналог SAP) и «1С-Рарус».

Видеоконференцсвязь для госсектора: жёсткие стандарты 2025

Согласно постановлению №984 от 30 июня 2025, все государственные ВКС-системы обязаны:

• внедрить сквозное шифрование по ГОСТ Р 34.11-2021 (режим CFB, ключ 256 бит);
• интегрировать биометрическую аутентификацию через Единую биометрическую систему (ЕБС) ФНС;
• хранить записи транслируемых данных исключительно в спецхранилищах уровня "Г" с сертификацией ФСТЭК.

Технические последствия для разработки:

• Производительность. Биометрическая верификация добавляет 250-400 мс к задержке соединения из-за ГОСТ-шифрования (данные тестов Минцифры).
• Сертификация. Средний срок аттестации ФСТЭК для ВКС-решений составляет 3-4 месяца против 1,5 месяцев для обычного ПО.
• Архитектурные изменения. Требуется замена 25-35% кода медиастека для поддержки российских криптобиблиотек (КриптоПРО TLS, SignalCom).

Правовые последствия нарушений — штрафы до 800 тыс. ₽ за отсутствие шифрования, приостановка системы на срок до 30 суток.

Требования к ВКС — самый сложный техрегламент 2025 года. Без перехода на отечественные TLS-библиотеки и оптимизации QUIC-протокола соответствия требованиям достичь непросто.

Комментирует эксперт Алексей Сухоруков (IT-агентство Alex Staff):

ВКС в госсекторе — одна из наиболее незащищенных систем ввиду использования не только западного ПО, но и иностранного оборудования. Потому вызов этой области стоит не только перед разработчиками софта, но и перед разработчиками железа. Недостатка в квалифицированных специалистов для решения этих вопросов в России нет, но в плане электронных систем может недоставать необходимой технологической базы. Что дает возможность существенного развития для инженерных компаний, разрабатывающих сложные электронные устройства и компоненты, начиная от офисных микрофонов и заканчивая базовыми станциями сотовой связи и магистральными маршрутизаторами.

Штрафы: где спрятаны финансовые риски

Размер штрафов теперь зависит от оборота компании. Для IT-сектора актуальны следующие наказания:

• Неиспользование российского ПО в госзакупках. До 3% годовой выручки. Этот пункт касается объектов критической инфраструктуры в госучреждениях здравоохранения, науки, атомной и оборонной промышленности, энергетики.
• Отсутствие резервных копий КИИ. 500 тыс. - 1,5 млн ₽, приостановка проекта на 30-90 суток — до устранения нарушений и проверки ФСТЭК. Штраф применяется даже при наличии копий, если нет доказательств ежедневного тестирования восстановления.
• Нарушение локализации данных. Штраф 3–6 млн ₽ для юрлиц при выявлении обработки данных россиян за пределами РФ или использования несертифицированных иностранных облаков. Повторное нарушение (в течение года) — штраф 10–18 млн ₽ либо 5–8% годовой выручки (выбирается максимальное значение). Дополнительно — блокировка ресурса на 30 суток.

Статья 274.1 УК РФ дополнена пунктами об уголовной ответственности. За действия, приведшие к сбою КИИ — до 3 или 5 лет лишения свободы. При отягчающих обстоятельствах (корыстный умысел) — до 10 лет.

Комментирует эксперт Алексей Сухоруков (IT-агентство Alex Staff):

Изменения в законодательстве и необходимость их исполнения приводит к коррекции рынка труда. Необходимо привлекать в штат новых сотрудников с квалификацией, связанной с работой с персональными данными, шифрованием, сертификацией, миграцией. Что приводит к более высокому спросу на кандидатов, которые сочетают в себе два и более востребованных направлений навыков и компетенций.

Итоги: новые компетенции разработчика

2025 год стал поворотным: знание законодательных требований теперь столь же критично, как владение фреймворками. Реальность диктует новые профессиональные стандарты.

Три ключевых тренда на 2026 год:

• DevSecOps как новая норма. Безопасность интегрируется в каждый этап разработки — от проектирования до релиза. Системы автоматической проверки кода на соответствие Приказам ФСТЭК и ГОСТ становятся обязательными в CI/CD.
• Бум криптографии. Спрос на специалистов по ГОСТ-шифрованию (КриптоПРО, SignalCom) растет. В госсекторе и банках зарплаты экспертов достигают 600 тыс. ₽/мес.
• Compliance как конкурентное преимущество. Проекты, изначально учитывающие ФЗ-152 и ФЗ-187, получают ускоренную сертификацию.

Сегодня разработчик — не просто кодер, а архитектор защищённых решений. Однако и те, кто готовит для него ТЗ, должны учитывать нюансы новой цифровой реальности.