En noviembre de 2025 se publicó el Decreto del Gobierno n.º1762, que reescribió a fondo la lógica de categorización de objetos de la infraestructura crítica de información (ICI). Si antes muchos sujetos de ICI actuaban con el principio "hay un sistema importante — vamos a reconocerlo como objeto de ICI", ahora el punto de entrada es radicalmente distinto. Primero se comprueba si su sistema figura en el listado estatal de objetos sectoriales tipo, y solo después se inicia la conversación sobre los criterios de importancia.
Formalmente son solo unas pocas formulaciones nuevas en el ya conocido PP-127. En los hechos, es un cambio de paradigma. Los listados se han convertido de herramienta de referencia en un filtro obligatorio de primer nivel. Veamos qué significa esto en la práctica, dónde mirar y cómo prepararse para la nueva realidad.
De dónde surgieron las listas y para qué sirven
La idea de listados de objetos sectoriales tipo de ICI no es nueva. La lógica básica de la ley 187-FZ sobre ICI es la siguiente: el Estado define ámbitos críticos y, dentro de ellos, objetos concretos cuyo fallo afecta la seguridad, la economía, las personas o el medio ambiente. Las últimas enmiendas añadieron una capa organizativa más: listados de objetos tipo por sectores y particularidades sectoriales para la categorización.
Es importante entender la diferencia. Un objeto tipo no es su concreta "ASU de caldera n.º3", sino una fila en una tabla oficial como "sistemas automatizados de control de procesos tecnológicos..." con funciones, procesos y vinculación a actividades claramente descritas. Su objeto real de ICI es ya un sistema en una infraestructura real que, por su funcionalidad, coincide con una o varias descripciones tipo del listado estatal.
En 2023–2024 la mayoría de los sectores aprobaron sus listados. Transporte, energía, sector energético (TEC), comunicaciones, salud, ciencia, defensa, química, metalurgia, minería, sector nuclear: todas las direcciones principales obtuvieron sus listas. Los documentos están públicamente disponibles en sitios oficiales: Mintsifry — para comunicaciones, Mintrans — para transporte, Minenergo — para energía, además de los reguladores sectoriales para industria, ciencia y otros ámbitos.
Desde el 1 de septiembre de 2025 esos listados pasaron a ser el punto de referencia oficial. El Decreto n.º1762 consolidó esto jurídicamente: si su tipo de sistema aparece en el listado, esconderse del proceso de categorización se volvió mucho más difícil. Los sujetos de ICI ahora tienen dos niveles de listados: arriba, los listados estatales de objetos tipo por sectores; abajo, su propio listado interno de sistemas de información, redes y ASU concretos que correspondan a esos tipos.
Cómo cambió exactamente el PP-127
El cambio principal está en el punto 3 de las Reglas. Ahora dice claramente: solo están sujetos a categorización los objetos de ICI que correspondan a los tipos de sistemas de información, redes informacionales y de telecomunicaciones y sistemas de control automatizados incluidos en los listados sectoriales tipo. Es decir, primero su objeto debe "encajar" por tipo en el listado sectorial y solo entonces se procede a los criterios de importancia para asignar una categoría o admitir que no es necesaria.
En el punto 5 se recortó con cuidado la lógica anterior de pasos. La primera etapa de categorización ahora se plantea como "identificación de SI, RIT y ASU que correspondan a objetos tipo de ICI incluidos en los listados". Eso es todo. Ya no existen en las Reglas intermediarios como "listados de objetos del sujeto": pueden mantenerlos para uso interno, pero jurídicamente relevante es el listado sectorial.
El nuevo punto 6(1) obliga a tener en cuenta las particularidades sectoriales al calcular los indicadores de los criterios de importancia. Cada sector tendrá sus matices metodológicos, que aprobará el regulador sectorial. Esto significa que ya no habrá "calculadoras universales de categorías": habrá que atender la especificidad de cada sector.
También cambió el trabajo de la comisión de categorización. El punto 14 ahora exige expresamente: primero la comisión identifica los objetos de ICI que correspondan a objetos tipo en los listados, luego examina las amenazas, evalúa las consecuencias según los indicadores de los criterios y, al final, establece la categoría o deja constancia de que no se requiere. Los listados se han convertido en el "filtro n.º1" obligatorio por el que debe pasar cualquier sistema.
Qué hay de nuevo en los requisitos de información
Otro cambio notable es la composición de los datos que el sujeto debe enviar a FSTEK tras la categorización. En el punto 17 se añadió el nuevo apartado "k" sobre nombres de dominio y direcciones de red del objeto de ICI, si este interactúa con redes de comunicaciones de uso público, incluida Internet.
Ahora, junto con la categoría de importancia y la descripción de las medidas de protección, será necesario indicar formalmente qué dominios y direcciones IP están asociados al objeto. Para algunos será una sola vitrina, para otros un zoológico de dominios, proxys y bloques de IP vinculados a un mismo sistema. Cuanto más ordenen esto ahora, menos sorpresas surgirán en inspecciones e incidentes.
Qué hacer con los objetos que no están en los listados
Lo más molesto para quienes piensan "si no estamos en los listados, estamos libres" está en el nuevo punto 22. Allí se dice claramente: si el sujeto detecta objetos de ICI en creación que no corresponden a tipos de los listados pero que, por la escala de las posibles consecuencias, cumplen los indicadores de los criterios de importancia, está obligado a asignarles una categoría y, al mismo tiempo, remitir a FSTEK no solo los datos del punto 17, sino también propuestas para complementar los listados sectoriales tipo.
Es decir, la posición "aún no nos han descrito, esperemos" queda oficialmente cerrada. Formalmente deben atender no solo la tabla de objetos tipo, sino también las consecuencias reales según los indicadores de los criterios de importancia. Si por las consecuencias se aprecia claramente que es un objeto significativo, habrá que categorizarlo y proponer la ampliación del listado. La iniciativa del sujeto es mucho mejor que la detección del problema por parte del regulador a posteriori.
Quién va a vigilar ahora
El punto 19(2) amplía con cuidado pero de forma estricta el círculo de observadores. Los órganos estatales y las personas jurídicas rusas responsables de la política y la regulación sectorial están ahora obligados a monitorizar cómo los sujetos de ICI presentan datos actuales y veraces según el punto 17, teniendo en cuenta precisamente los listados de objetos tipo y las particularidades sectoriales.
Esto significa que no solo FSTEK podrá fiscalizar, sino también el regulador sectorial "de su sector", que ya dispone de una lista contra la cual puede verificar. Control doble implica responsabilidad doble.
Algoritmo práctico de acciones para el sujeto de ICI
La buena noticia: si ya contaban con una inventariación razonable de sistemas y una comisión de categorización operativa, no hará falta una revolución. La mala: "hacer como si no fuéramos tan críticos" será claramente más difícil.
La lógica de actuación ahora es: primero consultamos los listados sectoriales, luego alineamos nuestra realidad con ellos y solo después aplicamos los criterios de importancia. Aquí tienen un plan paso a paso.
Paso 1. Encuentre sus listados oficiales
Para comunicaciones — documentos de Mintsifry; para transporte — listados en el sitio de Mintrans; para energía y el sector energético — datos abiertos y órdenes de Minenergo; además de listados y metodologías de los reguladores sectoriales para industria, ciencia, salud y otros ámbitos. Muchos de estos documentos llevan tiempo publicados en acceso público en recursos oficiales y ahora se agregan en el decreto gubernamental sobre listados de objetos sectoriales tipo de ICI.
Paso 2. Elabore una tabla consolidada
Hagan lo que nadie quiere hacer pero es imprescindible: una tabla consolidada. En una columna, todas sus SI, RIT y ASU vinculadas a procesos críticos. En otra, el enlace a la fila del listado sectorial bajo la que cada objeto se encuadra (y si no encaja, un honesto "por ahora no"). En la tercera, el estado actual de categorización: fecha del acta, categoría (o decisión de ausencia de categoría), y si se remitieron datos a FSTEK.
Esta tabla será su "mapa del terreno" y la base para todas las acciones posteriores.
Paso 3. Revise la "zona gris"
Repasen por separado los objetos que antes no consideraban ICI pero que ahora empiezan a coincidir sospechosamente, por funciones, con las nuevas descripciones tipo de los listados. Consejo universal: si parece que las consecuencias de un incidente tirarían de algún modo de los indicadores de los criterios de importancia, es mejor no ahorrar en la comisión y en el análisis que luego tener que explicar al regulador por qué decidieron que "no va con nosotros".
Paso 4. Ocúpense de los objetos no tipo
Para los sistemas nuevos que aún no figuran en los listados pero que son claramente críticos por sus consecuencias existe ahora una ruta directa: realizar la categorización, asignar la categoría y remitir no solo los datos a FSTEK, sino también una propuesta para complementar los listados tipo.
Desde el punto de vista burocrático son documentos adicionales, pero desde el sentido común es la forma de dejar constancia oficial de que han surgido nuevos tipos de infraestructura en el sector que también deben protegerse.
Paso 5. Reúnan los datos para FSTEK
Prepárense para los requisitos actualizados sobre el contenido de las notificaciones a FSTEK. Habrá que recopilar, por cada objeto significativo de ICI, los nombres de dominio y las direcciones de red a través de las cuales se conecta a redes de uso público. Para algunos será una vitrina, para otros un conjunto amplio de dominios, proxys y bloques de IP vinculados a un mismo sistema.
Cuanto más ordenen esto ahora, menos sorpresas surgirán en inspecciones e incidentes.
Preguntas frecuentes y zonas grises
Situación 1: el objeto está claramente en el listado, pero según los indicadores de los criterios parece "no llegar".
Es importante recordar: el listado por sí solo no convierte automáticamente a un objeto en significativo; solo indica "a este sistema hay que mirarlo con más atención". Si según todos los indicadores el resultado es cero, nadie obliga a asignar una categoría "por respeto al sector". Pero intentar descartar formalmente un objeto sin efectuar un cálculo adecuado y sin documentar la lógica ahora es especialmente arriesgado.
Situación 2: su objeto no figura en el listado, pero da miedo imaginar qué pasaría si fallara.
La nueva redacción de PP-127 precisamente trata eso. Formalmente están obligados a atender no solo la tabla de objetos tipo, sino también las consecuencias reales conforme a los indicadores de los criterios de importancia. Si por las consecuencias encaja claramente en un objeto significativo, el margen de tiempo es reducido: habrá que categorizar y proponer la ampliación del listado. La iniciativa del sujeto resulta mucho mejor que la detección del problema por parte del regulador a posteriori.
Situación 3: la empresa opera en varios sectores a la vez.
Ejemplo típico: un proveedor de infraestructura o un gran holding cuya misma plataforma TI sirve objetos de comunicaciones, transporte y energía. Habrá que ver a qué objetos tipo de los distintos listados sectoriales se ajustan sus sistemas, y al categorizar tener en cuenta las consecuencias para cada sector por separado.
Las antiguas normas del PP-127 sobre objetos utilizados para gestionar equipos de terceros no han desaparecido; simplemente ahora conviven con los listados y las particularidades sectoriales.
Situación 4: ¿cuándo conviene revisar las categorías?
Los listados de objetos tipo y las enmiendas a la ley 187-FZ comenzaron a aplicarse el 1 de septiembre de 2025; el Decreto n.º1762 con los cambios en PP-127 se publicó en noviembre de 2025. Formalmente nadie obliga a revisar inmediatamente todos los actos de categorización solo por el cambio de redacción, pero esperar los próximos cinco años tampoco es la mejor idea.
Al menos tiene sentido sincronizar la revisión planificada de categorías con la entrada en vigor de las particularidades sectoriales y de los listados actualizados, para no hacer dos veces el mismo trabajo.
Lo principal que hay que recordar
Los listados de objetos sectoriales tipo de ICI no son solo un directorio para la galería. Son un nuevo punto de entrada obligatorio en el proceso de categorización. Antes un sujeto podía decidir por sí mismo qué considerar crítico; ahora el Estado preguntará primero: "¿Su sistema aparece en el listado?" y solo después empezará la conversación sobre los criterios de importancia.
Todos esos listados y reglas no sustituyen la necesidad de comprender la propia infraestructura. El listado no reemplaza al criterio. Ayuda al regulador y les da un apoyo en casos disputados, pero no responde a preguntas como "¿cómo están organizados exactamente nuestros procesos?" o "¿qué pasará realmente si esta ASU concreta deja de funcionar de repente?".
Si a los listados añaden un mapa vivo de sistemas, una inventariación adecuada y una comisión de categorización operativa, tendrán una herramienta útil y no otra tabla más para aparentar.
Lista de verificación de acciones
- Encuentren y estudien los listados sectoriales de objetos tipo de ICI para su ámbito
- Elaboren una tabla consolidada: sus objetos → tipos del listado → estado de categorización
- Revisen la "zona gris": sistemas que antes no se consideraban ICI pero que ahora entran en los listados
- Preparen datos sobre nombres de dominio y direcciones IP para los objetos de ICI
- Para objetos críticos no tipo, preparen propuestas para complementar los listados
- Sincronicen la revisión planificada de categorías con la entrada en vigor de las particularidades sectoriales
- Asegúrense de que su comisión de categorización entiende la nueva lógica de trabajo
En resumen, todo es bastante práctico y mundano. De los sujetos de ICI no se espera heroísmo, sino trabajo aburrido pero sistemático: encontrarse en los listados sectoriales, poner en orden la lista de objetos, pasar honestamente por los criterios de importancia, no ocultar nuevos objetos "entre líneas" y aprender a convivir con que el regulador ahora ve su infraestructura con mucho más detalle.
Cuanto antes adapten sus procesos a esta nueva realidad, menos probabilidades habrá de que la próxima solicitud "sobre los listados" llegue acompañada ya de una inspección.
