КИИ 2026: Como a Regulamentação Sufoca Uns e Salva Outros na Infraestrutura Crítica
A Lei de Infraestrutura Crítica de Informação (КИИ) na Rússia passa por uma transformação significativa com novas leis e prazos, impactando empresas e profissionais de segurança cibernética. Este artigo explora as mudanças, os riscos de conformidade e o futuro da segurança cibernética no país.
MundiX News·27 de junho de 2026·10 min de leitura·👁 1 views
Em abril de 2026, o Presidente russo assinou uma lei que endurece o Artigo 274.1 do Código Penal da Federação Russa. Anteriormente, as discussões sobre a Infraestrutura Crítica de Informação (КИИ) eram uma agenda regulatória monótona com ameaças periódicas de "apertar as rédeas". Agora, isso se tornou literalmente uma história criminal com pessoas reais como réus. O prazo de 1º de janeiro de 2028 para a substituição de importações, multas rotativas e, o mais interessante, casos criminais reais onde o réu pode não ser um "diretor de segurança da informação" abstrato, mas um presidente específico da comissão de categorização que se demitiu da organização dois anos antes.
Recentemente, Stepan Razorenov, um dos poucos especialistas na Rússia que fala sobre КИИ não com citações de ordens do FSTEC, mas com base em experiência operacional real, participou do meu podcast. Ele tem um histórico de construção de sistemas de segurança para projetos de transporte e financeiros em total conformidade com os requisitos de КИИ e GIS PDn, interação com o NKCKI e exercícios reais de combate a DDoS. A conversa foi honesta e, em alguns momentos, desconfortável. Compartilho os pontos principais através da minha perspectiva.
КИИ: Proteção ou Negócio Regulatório Baseado no Medo?
Quando perguntei diretamente a Stepan, a resposta foi surpreendentemente ponderada. Não "proteção real" nem "negócio baseado no medo", mas "um impulso regulatório". E esta é, talvez, a formulação mais precisa que já ouvi. A ideia é que todas as organizações se dividem em dois tipos: com alto e baixo nível de maturidade em segurança da informação (ИБ). As maduras usam КИИ como confirmação de que já estão fazendo as coisas certas. As imaturas recebem do regulador um algoritmo de ação pronto. Para as primeiras, é um visto com benefício. Para as segundas, é uma modernização forçada.
Agora, sobre os relatórios. Aqui, Stepan expressou uma opinião que muitos pensam, mas raramente dizem em voz alta: os relatórios do regulador são frequentemente "papelada sem valor" (филькина грамота). Olhando para a dinâmica: três anos atrás, "praticamente ninguém estava protegido"; dois anos atrás, "já 20%"; um ano atrás, "40%". Tudo está melhorando conforme o planejado. Ao mesmo tempo, nos últimos dezoito meses, os requisitos regulatórios em КИИ mudaram tão significativamente que falar de adaptação sem dor é mentira. A lacuna entre o que o regulador mostra e o que está acontecendo no terreno é óbvia para qualquer pessoa que trabalhe lá.
Quem Realmente Será Preso: Análise da Prática Criminal
Atualmente, existem mais de 1.000 casos criminais sob o Artigo 274.1 disponíveis publicamente. O artigo existe há quase 10 anos, e a prática para esse período é extremamente modesta. Na maioria dos casos, as punições são sentenças de absolvição ou penas suspensas. Prisões reais de 5 a 10 anos são raras. No entanto, há um caso que vale a pena analisar em detalhes, pois muda a percepção habitual de "quem é o culpado".
Ocorreu um incidente em uma organização que é um sujeito de КИИ. Começaram a investigar o caso. Descobriu-se que o objeto onde ocorreu o incidente, na opinião do regulador, era significativo. A comissão, no entanto, o categorizou como insignificante. A responsabilidade recaiu sobre o presidente da comissão – uma pessoa que, na época, já não trabalhava naquela organização há dois anos. Em sua defesa, ele disse que relatou ao diretor-geral, anexou memorandos e insistiu na atribuição da categoria de objeto significativo. O regulador respondeu simplesmente: você assinou o ato de categorização, confirmando a insignificância, sabendo conscientemente que não era o caso. Resultado: um caso criminal.
Esta é uma lição importante. Geralmente, acredita-se que a principal responsabilidade em КИИ recai sobre o CISO. No entanto, no contexto de um processo criminal sob o Artigo 274.1, o quadro é diferente. Responsáveis são: a pessoa que cometeu diretamente o ato (funcionário ou invasor externo); o diretor-geral – o Decreto Presidencial nº 250 afirma explicitamente que a segurança da informação é sua responsabilidade; e as pessoas ligadas à categorização e ao trabalho da comissão. O CISO, neste esquema, está longe de ser o primeiro na fila. Se ele não cometeu ações conscientes para ocultar problemas ou não organizou sabotagem, então, após o incidente, ele geralmente é apenas solicitado a se demitir. Isso é desagradável, mas não um caso criminal.
Prazo de 2028: Realismo ou Ficção?
Stepan mencionou algo que muitos não sabem ou ignoram deliberadamente: estritamente falando, o requisito de não usar software estrangeiro em objetos significativos de КИИ já está em vigor. O Decreto Presidencial nº 166 e o decreto governamental correspondente proíbem software estrangeiro em objetos significativos a partir de 1º de janeiro de 2025, sem quaisquer "períodos de transição". Se um ato normativo não especifica um prazo, isso significa "não é mais permitido". A data de 01.01.2028 é a expectativa de um novo decreto governamental, que está em fase de projeto e deve legalizar formalmente esta data para software. Para dispositivos de hardware confiáveis (PAKs), o prazo é ainda posterior – 2030.
Agora, sobre o realismo. Stepan nomeou três setores que não cumprirão o prazo até 2028: Saúde e Ciência – simplesmente não há orçamento. Isso não é má intenção, mas sim subfinanciamento crônico. Comunicações – aqui o problema é estrutural. Quase todos os objetos no setor estão sujeitos a categorização. Se eles se tornarem significativos, não é economicamente viável substituí-los por importações: há muitos objetos, o custo de substituição é incomparável com o efeito econômico. Eu adicionaria a esta lista grandes empresas com infraestrutura legada pesada. Aquilo que foi construído ao longo de anos em Checkpoint, Fortinet, SAP e Oracle, com processos, integrações e dependências. As empresas têm medo de mudar isso não por malícia – elas têm medo de quebrar o SLA. E enquanto algumas empresas relatam sucesso na substituição de importações, outras admitem em particular: "A solução russa está em um segmento isolado para relatórios, e a estrangeira funciona através de esquemas cinzentos".
Substituição de Importações: Funciona ou Compramos uma Ilusão?
Stepan deu uma resposta precisa: funciona, mas não com a qualidade desejada. E isso é mais honesto do que o usual "está tudo bem" ou "é um fracasso total". A substituição formal existe. O registro de software doméstico cobre todas as classes: SGBDs, balanceadores de carga, ferramentas de proteção. Se um visto é necessário, ele pode ser obtido. A substituição funcional é mais complexa. Um problema típico: você substitui um orquestrador de contêineres de um fornecedor e uma ferramenta de monitoramento de outro; individualmente, eles funcionam bem, mas são incompatíveis entre si. Alguns fornecedores estão se movendo em direção à ecossistemicidade e oferecem várias classes de produtos compatíveis entre si – esta é a direção certa. No entanto, há uma tendência positiva. Anteriormente, "software doméstico" muitas vezes significava um stack estrangeiro com um logotipo russo, que entrou no registro formalmente. Agora, surgem soluções genuinamente russas que funcionam. Mas ainda não há alternativa ao Windows para o mercado de massa – este é um fato. Sistemas Unix domésticos não são piores que sistemas Unix ocidentais, mas isso é outra conversa.
Cinco Reguladores e Como Não se Confundir Entre Eles
Muitos pensam que existem três reguladores em КИИ: FSTEC, FSB e Ministério da Digitalização. Na verdade, são cinco. E é importante entender isso para não perder os requisitos. O regulador, a área de responsabilidade: FSTEC da Rússia – Segurança de objetos significativos (ordens nº 235, nº 239); FSB / NKCKI – Resposta a incidentes, interação com o ГосСОПКА; Ministério da Digitalização – Transição para software doméstico; Ministério da Indústria e Comércio – Transição para dispositivos de hardware confiáveis (prazo – 2030); Regulador setorial – Banco Central, Ministério dos Transportes, Ministério da Saúde, etc. – características setoriais de categorização. Os poderes são distribuídos de forma bastante clara, não se sobrepõem – esta é uma boa notícia. A má notícia: é preciso monitorar cada um separadamente.
Checklist: O Que o CISO de um Sujeito de КИИ Deve Fazer Agora
Stepan deu um guia prático no final do podcast – eu o estruturei:
Passo 1. Revise a categorização do zero. O Decreto Governamental nº 127 mudou significativamente. Se você foi categorizado antes, isso não significa que sua categorização esteja atualizada. O procedimento mudou completamente: os "processos críticos" foram removidos, uma lista de objetos típicos foi introduzida (Ordem Governamental nº 36). O algoritmo é simples: abra a lista, compare com seu inventário de ativos de TI (sistemas de TI e sistemas automatizados), registre as correspondências – estes são seus objetos de categorização.
Passo 2. Preste atenção aos indicadores alterados dos critérios de significância. Eles foram expandidos e seus valores de avaliação mudaram. Não copie os atos antigos.
Passo 3. Após receber a resposta do FSTEC, notifique o regulador setorial. E solicite imediatamente os planos setoriais de substituição de importações. Você tem quatro meses a partir da data de inclusão no registro de objetos significativos para desenvolver seu próprio plano de substituição de importações. Ele deve estar em conformidade com o plano setorial ou conter uma justificativa para as discrepâncias.
Passo 4. Estabeleça interação técnica com o ГосСОПКА / NKCKI. Isso não é mais uma recomendação – é um requisito. O procedimento mudou: agora é necessário estabelecer interação técnica com a infraestrutura do KSKS e obter acesso à conta pessoal do ГосОП. Todos os detalhes – nas ordens do FSB da Rússia de meados e final de 2025.
Passo 5. Verifique os requisitos de segurança – as ordens do FSTEC nº 235 e nº 239 ainda estão em vigor. De acordo com informações de colegas, em um futuro próximo, a ordem nº 239 pode ser substituída por um análogo da ordem nº 117 (como já foi feito para GIS). Fique atento às atualizações.
A КИИ Russa Está Pronta para um Ataque de Estado-Nação?
Stepan respondeu afirmativamente – e não por otimismo, mas por observação. Desde 2022, o número e a complexidade dos ataques a sujeitos de КИИ aumentaram acentuadamente. Não são mais script-kiddies atacando, mas sim grupos APT sérios ligados aos serviços especiais de estados estrangeiros. Ao mesmo tempo, ataques bem-sucedidos a objetos verdadeiramente críticos não são visíveis no espaço público. Sua explicação é lógica: os hackers estão interessados em bancos, energia, grandes empresas de medicina e ciência – organizações com orçamentos e equipes competentes. E são precisamente essas organizações que estão mais protegidas. Uma clínica odontológica privada também pode ser um sujeito de КИИ – mas não é um alvo para hackers estatais.
O caso mais memorável do podcast foi o de uma organização com proteção em camadas séria, hardening e todos os sistemas de segurança necessários. Eles foram invadidos através de brute-force com dicionário. Simplesmente não houve bloqueio da conta após várias tentativas malsucedidas. Não má intenção, não traição – apenas não foram cuidadosos no momento. E isso fala sobre um déficit real não de soluções técnicas, mas de gerenciamento de processos de ИБ.
Conclusão que Vale a Pena Imprimir e Pendurar Acima da Mesa de Trabalho
O cumprimento dos requisitos de КИИ não garante que você não será invadido. Mas reduz significativamente a probabilidade. A substituição de importações, por si só, não é proteção. A segurança baseada em papel agora não é apenas um risco reputacional, mas um potencial caso criminal para pessoas específicas. Se você é um CISO em um sujeito de КИИ e pensa que o pior é uma verificação do FSTEC, então a conversa com Stepan deve corrigir essa imagem. O pior é quando seu ex-colega da comissão de categorização está no banco dos réus, e você olha e pensa: "Eu poderia ter estado no lugar dele".
Encaminhe o link deste texto ao seu superior. Talvez, depois disso, sua empresa inicie uma conversa honesta sobre o que realmente protege a infraestrutura e o que são apenas documentos em uma pasta na prateleira.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Em abril de 2026, o Presidente russo assinou uma lei que endurece o Artigo 274.1 do Código Penal da Federação Russa. Anteriormente, as discussões sobre a Infraestrutura Crítica de Informação (КИИ) eram uma agenda regulatória monótona com ameaças periódicas de "apertar as rédeas". Agora, isso se tornou literalmente uma história criminal com pessoas reais como réus. O prazo de 1º de janeiro de 2028 para a substituição de importações, multas rotativas e, o mais interessante, casos criminais reais onde o réu pode não ser um "diretor de segurança da informação" abstrato, mas um presidente específico da comissão de categorização que se demitiu da organização dois anos antes.
Recentemente, Stepan Razorenov, um dos poucos especialistas na Rússia que fala sobre КИИ não com citações de ordens do FSTEC, mas com base em experiência operacional real, participou do meu podcast. Ele tem um histórico de construção de sistemas de segurança para projetos de transporte e financeiros em total conformidade com os requisitos de КИИ e GIS PDn, interação com o NKCKI e exercícios reais de combate a DDoS. A conversa foi honesta e, em alguns momentos, desconfortável. Compartilho os pontos principais através da minha perspectiva.
КИИ: Proteção ou Negócio Regulatório Baseado no Medo?
Quando perguntei diretamente a Stepan, a resposta foi surpreendentemente ponderada. Não "proteção real" nem "negócio baseado no medo", mas "um impulso regulatório". E esta é, talvez, a formulação mais precisa que já ouvi. A ideia é que todas as organizações se dividem em dois tipos: com alto e baixo nível de maturidade em segurança da informação (ИБ). As maduras usam КИИ como confirmação de que já estão fazendo as coisas certas. As imaturas recebem do regulador um algoritmo de ação pronto. Para as primeiras, é um visto com benefício. Para as segundas, é uma modernização forçada.
Agora, sobre os relatórios. Aqui, Stepan expressou uma opinião que muitos pensam, mas raramente dizem em voz alta: os relatórios do regulador são frequentemente "papelada sem valor" (филькина грамота). Olhando para a dinâmica: três anos atrás, "praticamente ninguém estava protegido"; dois anos atrás, "já 20%"; um ano atrás, "40%". Tudo está melhorando conforme o planejado. Ao mesmo tempo, nos últimos dezoito meses, os requisitos regulatórios em КИИ mudaram tão significativamente que falar de adaptação sem dor é mentira. A lacuna entre o que o regulador mostra e o que está acontecendo no terreno é óbvia para qualquer pessoa que trabalhe lá.
Quem Realmente Será Preso: Análise da Prática Criminal
Atualmente, existem mais de 1.000 casos criminais sob o Artigo 274.1 disponíveis publicamente. O artigo existe há quase 10 anos, e a prática para esse período é extremamente modesta. Na maioria dos casos, as punições são sentenças de absolvição ou penas suspensas. Prisões reais de 5 a 10 anos são raras. No entanto, há um caso que vale a pena analisar em detalhes, pois muda a percepção habitual de "quem é o culpado".
Ocorreu um incidente em uma organização que é um sujeito de КИИ. Começaram a investigar o caso. Descobriu-se que o objeto onde ocorreu o incidente, na opinião do regulador, era significativo. A comissão, no entanto, o categorizou como insignificante. A responsabilidade recaiu sobre o presidente da comissão – uma pessoa que, na época, já não trabalhava naquela organização há dois anos. Em sua defesa, ele disse que relatou ao diretor-geral, anexou memorandos e insistiu na atribuição da categoria de objeto significativo. O regulador respondeu simplesmente: você assinou o ato de categorização, confirmando a insignificância, sabendo conscientemente que não era o caso. Resultado: um caso criminal.
Esta é uma lição importante. Geralmente, acredita-se que a principal responsabilidade em КИИ recai sobre o CISO. No entanto, no contexto de um processo criminal sob o Artigo 274.1, o quadro é diferente. Responsáveis são: a pessoa que cometeu diretamente o ato (funcionário ou invasor externo); o diretor-geral – o Decreto Presidencial nº 250 afirma explicitamente que a segurança da informação é sua responsabilidade; e as pessoas ligadas à categorização e ao trabalho da comissão. O CISO, neste esquema, está longe de ser o primeiro na fila. Se ele não cometeu ações conscientes para ocultar problemas ou não organizou sabotagem, então, após o incidente, ele geralmente é apenas solicitado a se demitir. Isso é desagradável, mas não um caso criminal.
Prazo de 2028: Realismo ou Ficção?
Stepan mencionou algo que muitos não sabem ou ignoram deliberadamente: estritamente falando, o requisito de não usar software estrangeiro em objetos significativos de КИИ já está em vigor. O Decreto Presidencial nº 166 e o decreto governamental correspondente proíbem software estrangeiro em objetos significativos a partir de 1º de janeiro de 2025, sem quaisquer "períodos de transição". Se um ato normativo não especifica um prazo, isso significa "não é mais permitido". A data de 01.01.2028 é a expectativa de um novo decreto governamental, que está em fase de projeto e deve legalizar formalmente esta data para software. Para dispositivos de hardware confiáveis (PAKs), o prazo é ainda posterior – 2030.
Agora, sobre o realismo. Stepan nomeou três setores que não cumprirão o prazo até 2028: Saúde e Ciência – simplesmente não há orçamento. Isso não é má intenção, mas sim subfinanciamento crônico. Comunicações – aqui o problema é estrutural. Quase todos os objetos no setor estão sujeitos a categorização. Se eles se tornarem significativos, não é economicamente viável substituí-los por importações: há muitos objetos, o custo de substituição é incomparável com o efeito econômico. Eu adicionaria a esta lista grandes empresas com infraestrutura legada pesada. Aquilo que foi construído ao longo de anos em Checkpoint, Fortinet, SAP e Oracle, com processos, integrações e dependências. As empresas têm medo de mudar isso não por malícia – elas têm medo de quebrar o SLA. E enquanto algumas empresas relatam sucesso na substituição de importações, outras admitem em particular: "A solução russa está em um segmento isolado para relatórios, e a estrangeira funciona através de esquemas cinzentos".
Substituição de Importações: Funciona ou Compramos uma Ilusão?
Stepan deu uma resposta precisa: funciona, mas não com a qualidade desejada. E isso é mais honesto do que o usual "está tudo bem" ou "é um fracasso total". A substituição formal existe. O registro de software doméstico cobre todas as classes: SGBDs, balanceadores de carga, ferramentas de proteção. Se um visto é necessário, ele pode ser obtido. A substituição funcional é mais complexa. Um problema típico: você substitui um orquestrador de contêineres de um fornecedor e uma ferramenta de monitoramento de outro; individualmente, eles funcionam bem, mas são incompatíveis entre si. Alguns fornecedores estão se movendo em direção à ecossistemicidade e oferecem várias classes de produtos compatíveis entre si – esta é a direção certa. No entanto, há uma tendência positiva. Anteriormente, "software doméstico" muitas vezes significava um stack estrangeiro com um logotipo russo, que entrou no registro formalmente. Agora, surgem soluções genuinamente russas que funcionam. Mas ainda não há alternativa ao Windows para o mercado de massa – este é um fato. Sistemas Unix domésticos não são piores que sistemas Unix ocidentais, mas isso é outra conversa.
Cinco Reguladores e Como Não se Confundir Entre Eles
Muitos pensam que existem três reguladores em КИИ: FSTEC, FSB e Ministério da Digitalização. Na verdade, são cinco. E é importante entender isso para não perder os requisitos. O regulador, a área de responsabilidade: FSTEC da Rússia – Segurança de objetos significativos (ordens nº 235, nº 239); FSB / NKCKI – Resposta a incidentes, interação com o ГосСОПКА; Ministério da Digitalização – Transição para software doméstico; Ministério da Indústria e Comércio – Transição para dispositivos de hardware confiáveis (prazo – 2030); Regulador setorial – Banco Central, Ministério dos Transportes, Ministério da Saúde, etc. – características setoriais de categorização. Os poderes são distribuídos de forma bastante clara, não se sobrepõem – esta é uma boa notícia. A má notícia: é preciso monitorar cada um separadamente.
Checklist: O Que o CISO de um Sujeito de КИИ Deve Fazer Agora
Stepan deu um guia prático no final do podcast – eu o estruturei:
Passo 1. Revise a categorização do zero. O Decreto Governamental nº 127 mudou significativamente. Se você foi categorizado antes, isso não significa que sua categorização esteja atualizada. O procedimento mudou completamente: os "processos críticos" foram removidos, uma lista de objetos típicos foi introduzida (Ordem Governamental nº 36). O algoritmo é simples: abra a lista, compare com seu inventário de ativos de TI (sistemas de TI e sistemas automatizados), registre as correspondências – estes são seus objetos de categorização.
Passo 2. Preste atenção aos indicadores alterados dos critérios de significância. Eles foram expandidos e seus valores de avaliação mudaram. Não copie os atos antigos.
Passo 3. Após receber a resposta do FSTEC, notifique o regulador setorial. E solicite imediatamente os planos setoriais de substituição de importações. Você tem quatro meses a partir da data de inclusão no registro de objetos significativos para desenvolver seu próprio plano de substituição de importações. Ele deve estar em conformidade com o plano setorial ou conter uma justificativa para as discrepâncias.
Passo 4. Estabeleça interação técnica com o ГосСОПКА / NKCKI. Isso não é mais uma recomendação – é um requisito. O procedimento mudou: agora é necessário estabelecer interação técnica com a infraestrutura do KSKS e obter acesso à conta pessoal do ГосОП. Todos os detalhes – nas ordens do FSB da Rússia de meados e final de 2025.
Passo 5. Verifique os requisitos de segurança – as ordens do FSTEC nº 235 e nº 239 ainda estão em vigor. De acordo com informações de colegas, em um futuro próximo, a ordem nº 239 pode ser substituída por um análogo da ordem nº 117 (como já foi feito para GIS). Fique atento às atualizações.
A КИИ Russa Está Pronta para um Ataque de Estado-Nação?
Stepan respondeu afirmativamente – e não por otimismo, mas por observação. Desde 2022, o número e a complexidade dos ataques a sujeitos de КИИ aumentaram acentuadamente. Não são mais script-kiddies atacando, mas sim grupos APT sérios ligados aos serviços especiais de estados estrangeiros. Ao mesmo tempo, ataques bem-sucedidos a objetos verdadeiramente críticos não são visíveis no espaço público. Sua explicação é lógica: os hackers estão interessados em bancos, energia, grandes empresas de medicina e ciência – organizações com orçamentos e equipes competentes. E são precisamente essas organizações que estão mais protegidas. Uma clínica odontológica privada também pode ser um sujeito de КИИ – mas não é um alvo para hackers estatais.
O caso mais memorável do podcast foi o de uma organização com proteção em camadas séria, hardening e todos os sistemas de segurança necessários. Eles foram invadidos através de brute-force com dicionário. Simplesmente não houve bloqueio da conta após várias tentativas malsucedidas. Não má intenção, não traição – apenas não foram cuidadosos no momento. E isso fala sobre um déficit real não de soluções técnicas, mas de gerenciamento de processos de ИБ.
Conclusão que Vale a Pena Imprimir e Pendurar Acima da Mesa de Trabalho
O cumprimento dos requisitos de КИИ não garante que você não será invadido. Mas reduz significativamente a probabilidade. A substituição de importações, por si só, não é proteção. A segurança baseada em papel agora não é apenas um risco reputacional, mas um potencial caso criminal para pessoas específicas. Se você é um CISO em um sujeito de КИИ e pensa que o pior é uma verificação do FSTEC, então a conversa com Stepan deve corrigir essa imagem. O pior é quando seu ex-colega da comissão de categorização está no banco dos réus, e você olha e pensa: "Eu poderia ter estado no lugar dele".
Encaminhe o link deste texto ao seu superior. Talvez, depois disso, sua empresa inicie uma conversa honesta sobre o que realmente protege a infraestrutura e o que são apenas documentos em uma pasta na prateleira.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
