Завод работал 10 лет. ПЛК стоит, датчики работают, автоматика управляет технологическим процессом. Всё стабильно. И вдруг к инженеру приходит письмо: нужны сертификаты по IEC 62443, нужен анализ рисков по ISO 13849, нужна документация по ГОСТ Р, и все это нужно на объекте критической инфраструктуры с персональной ответственностью директора.
Раньше можно было откладывать на потом. Говорили: «ну, может быть, когда-нибудь обновимся». Теперь слово «может быть» в уставе не значится. В 2025 году требования к промышленной безопасности перестали быть рекомендациями. Они стали обязательствами с конкретными сроками и персональной ответственностью руководства.
От рекомендаций к обязательствам
До недавнего времени промышленная безопасность была разделена чётко: одни требования были по электробезопасности (ГОСТ, ПУЭ), другие — по технической безопасности (IEC 61508, ISO 13849), третьи — по кибербезопасности (они только-только появлялись).
В 2025 году все три слоя слились в один. И регуляторы больше не спрашивают: «у вас есть система управления рисками?» Они спрашивают: «как именно вы её реализовали и покажите доказательства».
На объектах критической информационной инфраструктуры (КИИ) в России произошли серьёзные сдвиги. С 1 сентября 2025 года вступили в силу поправки к Федеральному закону от 26 июля 2017 года «О безопасности критической информационной инфраструктуры». Теперь это не просто рекомендации Роскомнадзора. Это требования с личной ответственностью генерального директора.
Что конкретно изменилось? Во-первых, Правительство получило полномочия определять требования к программному обеспечению и программно-аппаратным комплексам на объектах КИИ. Во-вторых, организации обязаны переходить на доверенное российское ПО в установленные сроки. В-третьих, ФСБ может проводить специальные инспекции и требовать предоставления данных о состоянии защиты.
Параллельно с этим в Европе действует NIS2 (Directive on measures for a high common level of cybersecurity across the Union). В США работают требования по NIST. В Китае своя система. Но главное — они все требуют одного: документированная безопасность, не эмпирическая.
Какие конкретные стандарты уже требуют сейчас, а не когда-то потом
IEC 62443 — это стандарт по кибербезопасности промышленной автоматизации. Не рекомендация. Не потенциальное требование. На критичных объектах это уже обязательно.
Стандарт определяет четыре уровня безопасности (SL1-SL4). SL1 это базовая защита. SL4 это уровень государственной защиты. Выбор уровня зависит от того, насколько критичен процесс: если его отказ может привести к гибели людей, нужен SL3 или SL4; если просто убытки — то SL2.
Каждый уровень требует конкретных мер: многофакторная аутентификация, сегментация сетей, мониторинг трафика, журналирование действий, контроль доступа. Это не просто теория. На практике это означает: если вы проектируете новую SCADA или выбираете ПЛК, у этого оборудования должны быть сертификаты соответствия IEC 62443.
ISO 13849-1 определяет уровни производительности (Performance Level, PL) систем безопасности. Для каждого уровня (от PLa до PLe) указаны требования к архитектуре оборудования, к резервированию, к диагностике.
IEC 61508 это стандарт функциональной безопасности программируемых электронных систем. Он определяет четыре уровня полноты безопасности (Safety Integrity Level, SIL 1-4). SIL 4 требует двойного резервирования, диагностики более 99% и годовой вероятности опасного отказа менее 10 в минус 8 степени.
Звучит как математика? На практике это означает: если вы производите ПЛК, этот ПЛК должен быть спроектирован, протестирован и задокументирован в соответствии с требованиями стандарта.
ГОСТ Р в области промышленной автоматизации — это русский эквивалент международных стандартов. ГОСТ Р МЭК 61131-1 (требования к ПЛК), ГОСТ Р 8.568 (измерения), ГОСТ Р 51095 (оформление документации).
Всё это означает: когда вы выбираете контроллер для управления критичным процессом, вы уже не можете просто взять самый дешёвый вариант. Вы должны выбрать такой, который имеет соответствующие сертификаты и документацию.
Где это особенно больно: объекты критической инфраструктуры
На объектах КИИ требования обострились особенно. На атомных станциях используется только отечественное ПО (80-100%). На энергетических объектах требование к импортозамещению 40-60%. На водоканале, на котором просто управляют давлением и расходом — тоже свои требования.
Категорирование объектов КИИ теперь сделано более строгим. Раньше можно было попытаться доказать, что ваш объект не критичен. Теперь логика обратная: если объект может оказать воздействие на функционирование региона, на экономику, на безопасность — он критичный, и это надо доказывать.
Для любого субъекта КИИ теперь обязательно:
- Проведение оценки безопасности (очень конкретные критерии)
- Внедрение технических мер защиты (не просто «какие-то» меры, а конкретные)
- Отправка отчётности в ГосСОПКА и ФСБ
- Обучение персонала
- План реагирования на инциденты
Нарушить требования — это не штраф в смысле денег. Это потеря допуска к работе, блокировка контрактов, персональная ответственность.
Почему безопасность слилась с кибербезопасностью
Лет пять назад промышленная автоматизация и кибербезопасность были почти отдельными мирами. На заводе управляли током, температурой, давлением — это была безопасность. А киберугрозы считались проблемой IT-отдела.
В 2025 году это разделение рухнуло. Потому что когда ПЛК подключен к облаку для мониторинга, когда оператор может управлять котельной с мобильного приложения, когда данные о технологических параметрах передаются по интернету — это уже не просто техническая система, это информационная система.
И киберугроза здесь не меньше опасна, чем скачок напряжения. Потому что если атакующий получит доступ к ПЛК, он может:
- запустить процесс за пределы безопасных значений (например, повысить температуру в печи до отказа);
- отключить противоаварийную защиту;
- остановить систему управления (как это было в атаках на энергетику в 2015 году);
- украсть технологические данные.
Поэтому стандарты вроде IEC 62443 требуют кибербезопасности как части функциональной безопасности. Не отдельно. Вместе.
Три практических слоя требований, которые влияют на выбор оборудования
Первый слой — функциональная безопасность.
Если ваша система управляет печью, это может привести к ожогам или пожару. Значит, нужна функциональная безопасность на уровне SIL 2 минимум. Это означает: датчики должны иметь диагностику, ПЛК должен работать с резервированием, исполнительные механизмы должны отключаться по команде безопасности.
Второй слой — взрывозащита.
Если система работает на объекте, где есть взрывоопасные газы (нефть, газ, химия), оборудование должно быть сертифицировано по ATEX или ГОСТ Р 31610. Маркировка будет выглядеть как II 2G Ex db IIC T4. Это означает: оборудование второй категории, для газов, защита взрывонепроницаемой оболочкой и контролем воспламенения, может использоваться для самых опасных газов (водород, ацетилен), температура поверхности не превышает 135°C.
Это не просто маркировка. Это результат испытаний независимой лабораторией, это сертификат, это ответственность.
Третий слой — кибербезопасность.
Оборудование должно поддерживать шифрование, аутентификацию, журналирование, управление доступом. Если это критичный объект (энергетика, ЖКХ, водоснабжение), то ещё нужны функции мониторинга сетевого трафика и обнаружения аномалий.
Как выбирать оборудование в 2025 году
Раньше инженер спрашивал: «сколько стоит, какая производительность, долго ли доставляется». Теперь начинают с вопроса: «какие у вас сертификаты».
На критичных объектах при выборе ПЛК нужно проверить:
- Сертификат IEC 62443 (какой уровень SL?)
- Сертификат ISO 13849-1 (какой уровень PL?)
- Если объект взрывоопасный, то сертификат ATEX или ГОСТ Р 31610
- Документация на русском языке (важно для пусконаладки и обслуживания)
- Техподдержка в России
- Поддержка шифрования и многофакторной аутентификации
Если ПЛК имеет все эти сертификаты, он дороже в два раза. Но без них вы не сможете пройти аудит на объекте КИИ.
Главное изменение: персональная ответственность
Лет пять назад директор мог сказать: «ну, сделайте как-нибудь безопаснее». И это всё. Теперь это не проходит.
Требования к кибербезопасности, к функциональной безопасности, к управлению рисками — всё это документируется, проверяется, отчитывается. И если произойдёт инцидент, и выяснится, что требования не выполнялись, это не просто штраф. Это может быть материальная ответственность директора.
Поэтому компании начинают именно с документирования: какие требования применяются к нашему объекту, какие меры мы реализовали, как мы это контролируем.
Заключение: требования не будут мягче
В 2025 году требования к промышленной безопасности стали конкретнее. Не потому что регуляторы злые, а потому что кибератаки на критическую инфраструктуру стали реальностью. В 2015 году была атака на энергетику Украины — отключение на несколько часов. В 2023-2024 годах атаки на промышленные системы множились.
Поэтому регуляторы не спрашивают: «может быть, вы когда-то внедрите безопасность». Они требуют: «обеспечьте безопасность и докажите это документами».
Компании, которые это сделают сейчас, получат конкурентное преимущество: они смогут работать на критичных объектах, участвовать в государственных контрактах, получать допуски.
Компании, которые ждут — будут выдавливаться с рынка.
Время рекомендаций прошло. Началось время обязательств.