ме ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ ПОСТАНОВЛЕНИЕ от 13 апреля 2026 г. № 402 МОСКВА Об утверждении отраслевых особенностей категорирования объектов критической информационной инфраструктуры Российской Федерации в сфере связи В соответствии со статьей 6 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" Правительство Российской Федерации постановляет: 1. Утвердить согласованные с Федеральной службой по техническому и экспортному контролю прилагаемые отраслевые особенности категорирования объектов критической информационной инфраструктуры Российской Федерации в сфере связи. 2. Настоящее постановление вступает в силу с 1 сентября 2026 г. и действует до 1 сентября 2032 г. pe ДОКУМЕНТ ПОДПИСАН hitting, ЭЛЕКТРОННОЙ ПОАПИСЬЮ Председатель Правительства освоив "Действителен c 26 06.2025 no 19.09.2026 Российской Федерации одела Правительтьо Робонйской М.Мишустин a У УТВЕРЖДЕНЫ постановлением Правительства Российской Федерации от 13 апреля 2026 г. № 402 ОТРАСЛЕВЫЕ ОСОБЕННОСТИ категорирования объектов критической информационной инфраструктуры Российской Федерации в сфере связи I. Общие положения 1. Настоящий документ определяет порядок установления соответствия объекта критической информационной инфраструктуры Российской Федерации в сфере связи (далее - объект критической информационной инфраструктуры) критериям значимости и показателям их значений в целях присвоения ему одной из категорий значимости и включает в себя отраслевой признак значимости объектов критической информационной — инфраструктуры, соответствующий — критериям значимости и показателям их значений, а также порядок расчета значений показателей критериев значимости с учетом особенностей функционирования объекта критической информационной инфраструктуры. 2. Настоящий документ применяется при категорировании объектов критической информационной инфраструктуры (далее - категорирование) государственными органами, государственными учреждениями, российскими юридическими лицами, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере связи, а также российскими юридическими лицами, которые обеспечивают взаимодействие указанных систем или сетей (далее - субъекты критической информационной инфраструктуры). 3. Категорирование осуществляется в соответствии со статьей 7 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации", Правилами категорирования объектов критической информационной инфраструктуры Российской Федерации и перечнем показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, утвержденными постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" (далее соответственно - Правила, перечень показателей критериев значимости), перечнем типовых отраслевых объектов критической информационной инфраструктуры Российской Федерации, утвержденным распоряжением Правительства Российской Федерации от 26 февраля 2026 г. № 360-р. 4. Отраслевым признаком значимости объекта критической информационной инфраструктуры является количество абонентов, в том числе пользователей услугами связи - юридических лиц, которым оператор связи оказывает услуги связи с использованием объекта критической информационной инфраструктуры. П. Порядок установления соответствия объекта критической информационной инфраструктуры критериям значимости и показателям их значений в целях присвоения ему одной из категорий значимости 5.Для проведения категорирования решением руководителя субъекта критической информационной инфраструктуры создается постоянно действующая комиссия по категорированию, состав которой определяется в соответствии с Правилами, с учетом следующих особенностей: а) в состав комиссий по категорированию субъектов критической информационной инфраструктуры, являющихся федеральными органами исполнительной власти, находящимися в ведении Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации, а также федеральными государственными учреждениями, функции и полномочия учредителя которых осуществляет Министерство, и федеральными государственными унитарными предприятиями, права собственника имущества которых осуществляет Министерство, по согласованию с Министерством включаются представители Министерства; б)в состав комиссий по категорированию субъектов критической информационной инфраструктуры, являющихся федеральными государственными учреждениями, функции и полномочия учредителя которых осуществляет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, и федеральными государственными унитарными предприятиями, права собственника имущества которых осуществляет Служба, по согласованию со Службой включаются представители Службы; в) в состав комиссий по категорированию субъектов критической информационной инфраструктуры, являющихся операторами универсального обслуживания, по согласованию с Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации включаются представители Министерства. 6. Комиссия по категорированию на основе анализа исходных данных, указанных в пункте 10 настоящего документа, осуществляет оценку масштаба возможных последствий в случае возникновения компьютерных инцидентов на объекте критической информационной инфраструктуры и моделирует ущерб от возникновения компьютерного инцидента, произошедшего в результате компьютерной атаки. Комиссия по категорированию осуществляет оценку масштаба возможных последствий в случае возникновения компьютерных инцидентов на объекте критической информационной инфраструктуры посредством соотнесения показателей масштаба возможных последствий в случае возникновения компьютерных инцидентов Ha объекте критической информационной инфраструктуры с показателями критериев значимости, применимыми к субъекту критической информационной инфраструктуры в соответствии с пунктом 8 настоящего документа, и их значениями. Показатель масштаба возможных последствий в случае возникновения компьютерных инцидентов на объекте критической информационной инфраструктуры оценивается (исчисляется) комиссией по категорированию путем последовательной реализации следующих этапов: анализ сведений о технологических (в том числе информационных) процессах, осуществляемых с использованием объекта критической информационной инфраструктуры; анализ потенциального ущерба от возникновения компьютерного инцидента, произошедшего в результате компьютерной атаки, в соответствии с показателями критериев значимости, применимыми к субъекту критической информационной инфраструктуры в соответствии с пунктом 8 настоящего документа, и их значениями; оценка потенциального ущерба от возникновения компьютерного инцидента, произошедшего в результате компьютерной атаки, который наносится технологическим (в том числе информационным) процессам, осуществляемым с использованием объекта критической информационной инфраструктуры, посредством соотнесения такого ущерба с показателями критериев значимости, применимыми к субъекту критической информационной инфраструктуры в — соответствии с пунктом 8 настоящего документа, и их значениями. 7. На основании оценки масштаба возможных последствий в случае возникновения компьютерных инцидентов на объекте критической информационной инфраструктуры комиссия по категорированию устанавливает по каждому из показателей критериев значимости, применимых к субъекту критической информационной инфраструктуры в соответствии с пунктом 8 настоящего документа: а) невозможность применения показателя критерия значимости и его значений; 6) применимость показателя критерия значимости и его значений. 8.К объектам критической информационной инфраструктуры применимы показатели критериев значимости, указанные: а) в субпозиции "а" позиции 4 и в позиции 9 перечня показателей критериев значимости, - в отношении всех субъектов критической информационной инфраструктуры; 6) в субпозиции "б" позиции 4 перечня показателей критериев значимости, - в отношении субъектов критической информационной инфраструктуры, являющихся участниками закупок, при наличии действующих контрактов на оказание услуг связи, в том числе государственных и муниципальных контрактов на оказание услуг связи, или договоров об оказании услуг связи, заключенных с Центральным банком Российской Федерации; в) в позиции 6 перечня показателей критериев значимости, - в отношении субъектов критической информационной инфраструктуры, являющихся участниками закупок, при наличии действующих контрактов на оказание услуг связи, в том числе государственных и муниципальных контрактов на оказание услуг связи, или договоров об оказании услуг связи, заключенных с Центральным банком Российской Федерации, в случае, если в условиях отсутствия услуг связи, предусмотренных указанными контрактами или договорами, государственный орган и (или) организация, созданная на основании федерального закона, не смогут осуществлять возложенную на них функцию (полномочие); г) в позиции 8 перечня показателей критериев значимости, - в отношении субъектов критической информационной инфраструктуры, которые являются государственной корпорацией, государственным унитарным предприятием, государственной компанией, организацией оборонно-промышленного комплекса либо включенным в перечень стратегических предприятий и стратегических акционерных обществ, утвержденный Указом Президента Российской Федерации от 4 августа 2004г. № 1009 "Об утверждении перечня стратегических предприятий и стратегических акционерных обществ", стратегическим предприятием или стратегическим акционерным обществом. 9. Показатели критериев значимости, не указанные в пункте 8 настоящего документа, рассматриваются субъектами критической информационной инфраструктуры в случае, предусмотренном пунктом 142 Правил. 10. Исходными данными для категорирования помимо данных, указанных в пункте 10 Правил, являются: а) техническая и проектная документация (при наличии) на объект критической информационной инфраструктуры; 6) возможные типы компьютерных атак, компьютерных инцидентов и их последствий в отношении объекта критической информационной инфраструктуры, в том числе: описание актуальных для субъекта критической информационной инфраструктуры источников компьютерных атак и методов реализации таких компьютерных атак; конфигурация программных и (или) технических средств, пригодных для реализации компьютерных атак; возможные уязвимости, используемые источниками компьютерных атак; диапазон компьютерных инцидентов, потенциально возникающих в результате реализации компьютерных атак. 6 Ш. Порядок расчета значений показателей критериев значимости с учетом особенностей функционирования объекта критической информационной инфраструктуры 11.В целях расчета значений показателей критериев значимости, указанных B пункте 8 настоящего документа, комиссия по категорированию, если иное не установлено настоящим документом, использует следующие методы расчета значений показателей критериев значимости: а) метод расчета наихудших последствий, заключающийся в количественном (расчетном) и(или) качественном оценивании максимально возможного ущерба, который может быть нанесен субъекту критической информационной инфраструктуры B результате компьютерной атаки и компьютерного инцидента (далее - расчетный метод); 6) метод моделирования компьютерных атак, компьютерных инцидентов и их негативных последствий, заключающийся в разработке и анализе вероятных сценариев компьютерных атак, компьютерных инцидентов и их последствий, определенных в том числе на основании сведений о компьютерных атаках, компьютерных инцидентах и их негативных последствиях в отношении объектов критической информационной инфраструктуры, включенных в перечень типовых отраслевых объектов критической информационной инфраструктуры Российской Федерации, утвержденный распоряжением Правительства Российской Федерации от 26 февраля 2026 г. № 360-р. 12. Категория значимости объекта критической информационной инфраструктуры присваивается по наивысшему из значений показателей критериев значимости, полученных в результате использования методов, указанных в пункте 11 настоящего документа. 13. При расчете значения показателя критерия значимости, указанного в субпозиции "а" позиции 4 перечня показателей критериев значимости, в целях определения количества абонентов, для которых могут быть недоступны услуги связи, оценивается количество абонентов, в том числе пользователей услугами связи - юридических лиц, с которыми операторами связи заключены договоры об оказании услуг связи. В случае использования объекта критической информационной инфраструктуры, в отношении которого проводится категорирование, для оказания нескольких услуг связи расчет значения показателя критерия значимости, указанного в субпозиции "а" позиции 4 перечня показателей критериев значимости, осуществляется в отношении каждой такой услуги. Категория значимости присваивается объекту критической информационной инфраструктуры по совокупности значений такого показателя критерия значимости, полученных в результате расчетов применительно к каждой такой услуге. 14. Значение показателя критерия значимости, указанного в субпозиции "б" позиции 4 перечня показателей критериев значимости, рассчитывается по уровню и количеству органов государственной власти или организаций, для которых могут быть нарушены или недоступны услуги связи и которые перечислены в значениях такого показателя критерия значимости. 15. При расчете значения показателя критерия значимости, указанного в позиции 6 перечня показателей критериев значимости, оценивается вероятность прекращения или нарушения функционирования государственных органов или организаций, созданных на основании федеральных законов, перечисленных в значениях такого показателя критерия значимости, в части невыполнения возложенной на них функции (полномочия) в связи с невозможностью реализации процесса, обеспечиваемого объектом критической информационной инфраструктуры. 16. Значение показателя критерия значимости, указанного в позиции 8 перечня показателей критериев значимости (Пз), процентов, рассчитывается расчетным методом по формуле: Дфакт ~ Доередний Пз= х100,, д средний где: Дук - Уровень дохода субъекта критической информационной инфраструктуры (с учетом налога на добавленную стоимость, акцизов и иных обязательных платежей) за оцениваемый период, рублей; Доредний - годовой объем доходов субъекта критической информационной инфраструктуры, усредненный за прошедший 5-летний период, рублей. 17. При расчете значения показателя критерия значимости, указанного в позиции 8 перечня показателей критериев значимости (Пз), используются в том числе: а) усредненная за прошедший 5-летний период годовая сумма уплаченных (подлежащих уплате) субъектом критической информационной инфраструктуры налогов в федеральный бюджет, определенная на основании налоговой отчетности и представляемых в Федеральную налоговую службу налоговых деклараций; 6) годовой объем доходов субъекта критической информационной инфраструктуры, усредненный за прошедший 5-летний период (Дереднии ), определенный на основании данных управленческого учета и бухгалтерского учета; в) максимально допустимый период простоя, определенный на основании регламентов проведения профилактических работ информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления субъекта критической информационной инфраструктуры; г) время, требуемое для устранения последствий компьютерной атаки, определяемое на основании эксплуатационных, технических, договорных и (или) иных документов. При отсутствии таких документов указанное время определяется на основании статистических данных за прошедший 5-летний период, а в случае отсутствия таких статистических данных это время принимается равным 10 дням. 18. Значение показателя критерия значимости, указанного в позиции 9 перечня показателей критериев значимости (По), процентов, рассчитывается расчетным методом по формуле: I, = АВыплат „|0, средний где: ДАВыплат - снижение выплат (отчислений) в бюджеты бюджетной системы Российской Федерации, осуществляемых субъектом критической информационной инфраструктуры, рублей; Б - прогнозируемый годовой доход федерального бюджета, усредненный за планируемый 3-летний период, рублей. средний 19. Для расчета значения показателя критерия значимости, указанного в позиции 9 перечня показателей критериев значимости (По): а) прогнозируемый годовой доход федерального бюджета, усредненный за планируемый З-летний период (Бе»сдний), Определяется с учетом положений федерального закона о федеральном бюджете и иных положений законодательства Российской Федерации; 6) определяется годовая сумма налогов, уплачиваемых субъектом критической информационной инфраструктуры в бюджеты бюджетной системы Российской Федерации, исходя из данных, представляемых в Федеральную налоговую службу. При определении указанной суммы налогов учитываются в полном объеме в том числе следующие затраты: затраты на ликвидацию и устранение последствий компьютерных атак и компьютерных инцидентов; затраты на оплату труда персонала и условно-постоянные расходы за время простоя и (или) деградации технологического процесса; затраты на оплату труда персонала, привлекаемого к сверхурочной работе для ликвидации последствий нарушений, вызванных простоем и (или) деградацией технологического процесса; потери от уплаты неустоек (штрафов, пеней) и прочих выплат за невыполнение условий договоров об оказании услуг связи в результате простоя и (или) деградации технологического процесса; в) определяется максимально возможный период прекращения оказания услуг связи в результате нарушения и(или) прекращения функционирования объекта критической информационной инфраструктуры, в отношении которого осуществляется категорирование, и оценивается максимально возможное снижение прибыли организации связи от оказания услуг связи с использованием объекта критической информационной инфраструктуры, в отношении которого осуществляется категорирование, в течение такого периода.