Осенью 2025 года на конференции «Код ИБ» команда OpenBPM выносила на обсуждение изменения в законодательстве, связанные с расширением перечня отраслевых объектов критической информационной инфраструктуры. Доклад вызвал живой интерес, так как затрагивал практические вопросы автоматизации бизнес-процессов и связанных с ними категорий «регуляторного пресса». Принятие законодательных инициатив планировалось в 2025, но сроки несколько затянулись, и соответствующее Распоряжение Правительства РФ № 360-р вышло 26 февраля 2026 года. 

В соответствии с положениями Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" № 187-ФЗ Правительство РФ конкретизирует перечни типовых отраслевых объектов КИИ, особенности категорирования этих объектов, требования к используемым программно-аппаратным комплексам, а также порядок перехода и мониторинга за исполнением законодательных инициатив. 
Помимо государственных информационных систем, под действие нового распоряжения подпадают, в частности, информационные системы: 

• Обеспечивающие функционирование учреждений (управления учреждением) при проведении научно-исследовательских и (или) опытно-конструкторских работ [п. 19] 
• Обеспечивающие планирование логистических операций [п. 69] 
• Обеспечивающие процессы предоставления услуг абонентам сетей телерадиовещания [п. 92] 
• Обеспечивающие определение подлежащих исполнению обязательств, а также совершение действий, направленных на исполнение обязательств в банковской сфере [п. 115] 
• Обеспечивающие предоставления финансовых услуг со стороны микрофинансовых организаций [п. 121]  
• Обеспечивающие учет договоров страхования, их условий, страховой премии, комиссионного вознаграждения [п. 119] 
• Обеспечивающие деятельность организаций атомной отрасли по управлению ресурсами, проектами, финансами, кадрами и персональными данными [п. 151] 
• Обеспечивающие удовлетворение потребности в материалах, компонентах и продукции для планирования производств [п. 166] 
• Обеспечивающие автоматизацию процессов обслуживания клиентов, сбора данных, планирования, бюджетирования, реализации в установленные сроки [п. 169] 
• Обеспечивающие управление процессами склада, планирование, исполнение и контроль потоков сырья, продукции и информации о перемещениях товаров [п. 171] 
• Обеспечивающие работу систем класса MDM, EAM, ERP. 

В соответствии с требованиями, с момента утверждения типового перечня субъекты должны будут указывать в подаваемых сведениях об объектах КИИ ссылку на тип объекта из нового единого перечня. Если ваш объект не указан, то и на этот случай есть оговорка — в соответствии с п.22 Постановления Правительства РФ от 8 февраля 2018 г. № 127 “Об утверждении правил категорирования объектов критической информационной инфраструктуры российской федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры российской федерации и их значений”, если объект не подходит ни под один из типовых, но все же «критически важен», то необходимо будет направить во ФСТЭК рекомендацию о расширении перечня. Таким образом, в этой части практика категорирования всё также имеет «человеческий фактор». 
В любом случае, для очень широкого круга систем теперь нужно будет учитывать требования 187-ФЗ и как можно скорее заменять иностранные платформы для автоматизации бизнес-процессов на их российские аналоги, соответствующей категории.