Закон об ИИ идёт в Госдуму: что изменится для бизнеса и как готовиться уже сейчас

Блог Просмотров: 28

Закон об ИИ идёт в Госдуму: что изменится для бизнеса и как готовиться уже сейчас

• Автор: Команда Morozov Lab • Время чтения: ~13 мин

Февраль 2026 года оказался горячим месяцем для всех, кто так или иначе связан с искусственным интеллектом. Министр цифрового развития Максут Шадаев заявил, что законопроект о регулировании ИИ может быть внесён в Госдуму уже в ближайшее время — до конца весенней сессии. Одновременно Ассоциация юристов России предложила запретить иностранные нейросети в государственном секторе. А с 1 марта вступает в силу Приказ ФСТЭК №117 — первый в стране комплексный стандарт безопасности ИИ-систем для критической инфраструктуры.

Всё это происходит не в вакууме. Нейросети уже работают в российских больницах, судах, банках, на производстве. Бизнес внедряет ChatGPT-аналоги, автоматизирует юридические проверки, использует ИИ в найме и оценке кредитных рисков. И вдруг государство говорит: стоп, давайте договоримся о правилах.

Вопрос не в том, понравятся ли вам эти правила. Вопрос в том, успеете ли вы подготовиться, пока они не начали применяться. Разберём, что именно меняется и что с этим делать.

🔑 Ключевые тезисы статьи
  • Законопроект о регулировании ИИ готовится к внесению в Госдуму в весеннюю сессию 2026 года
  • Для систем ИИ высокого и критического риска планируется сертификация через ФСТЭК и ФСБ
  • С 1 марта 2026 вступает в силу Приказ ФСТЭК №117 — обязателен для госсектора и КИИ
  • Ассоциация юристов России предлагает полный запрет иностранного ИИ в госструктурах
  • Минцифры хочет запретить нейросетям принимать финальные решения в медицине, судах и образовании
  • Компаниям нужно уже сейчас провести аудит ИИ-инструментов и оценить риски

Откуда ветер дует: три законодательных инициативы за одну неделю

Чтобы понять масштаб происходящего, надо осознать: в течение одной недели февраля 2026 года появились сразу три принципиально разных регуляторных сигнала в адрес ИИ-отрасли. Это не случайное совпадение — это сигнал, что государство переходит от деклараций к реальному правовому оформлению «цифрового суверенитета».

Сигнал первый: Шадаев и законопроект Минцифры

18 февраля глава Минцифры Максут Шадаев сообщил журналистам, что правительство с большой вероятностью внесёт законопроект о регулировании искусственного интеллекта в Госдуму до конца весенней сессии. Это не просто слова чиновника — Минцифры уже давно работает над документом, и сроки многократно переносились. Похоже, на этот раз всё серьёзно.

Что предполагает законопроект? По имеющимся данным, он введёт классификацию ИИ-систем по уровням риска и установит разные требования для каждого класса. Главное нововведение — запрет для нейросетей принимать окончательные решения в общественно значимых сферах: медицина, судопроизводство, образование, общественная безопасность. Последнее слово должно оставаться за человеком. Всегда.

Сигнал второй: Ассоциация юристов России — запрет иностранного ИИ

16 февраля Ассоциация юристов России (АЮР) выступила с предложением законодательно запретить использование иностранных ИИ-систем в государственном секторе и на объектах критической информационной инфраструктуры (КИИ). Кроме того, АЮР предлагает ввести обязательную классификацию всех ИИ-систем по уровням риска — по аналогии с европейским AI Act.

Пока это предложение, а не закон. Но АЮР — структура, к которой прислушиваются, и похожие инициативы в России обычно проходят путь от «предложения» до «принятого закона» достаточно быстро.

Сигнал третий: Приказ ФСТЭК №117 — уже 1 марта

Самое срочное — это не будущий закон, а уже принятый нормативный акт. Приказ ФСТЭК России №117 вступает в силу 1 марта 2026 года. Он устанавливает комплексные требования к безопасности ИИ-систем, используемых в государственном секторе и на объектах КИИ.

Для компаний, работающих с госзаказом или имеющих статус значимых объектов КИИ, это не рекомендация — это обязательное требование. И до 1 марта остаётся меньше двух недель.

⏰ Внимание: дедлайн уже скоро

Если ваша организация работает с государством или относится к КИИ (энергетика, транспорт, финансы, телеком, здравоохранение, промышленность), и вы используете ИИ-инструменты — у вас есть считанные дни до вступления в силу Приказа ФСТЭК №117. Начните аудит ИИ-систем немедленно.

Что такое «уровни риска ИИ» и зачем это знать бизнесу

Классификация ИИ-систем по уровням риска — это, по сути, калька с европейского подхода. Но знать эту логику нужно, потому что именно от присвоенного уровня будет зависеть, что от вас потребует закон.

Уровень 1: Минимальный риск

Где именно? В первую очередь называются:

  • Медицина — постановка диагнозов, назначение лечения, решения о госпитализации
  • Судопроизводство — вынесение судебных решений, оценка доказательств, назначение наказания
  • Образование — оценивание учащихся, решения о переводе, отчислении
  • Общественная безопасность — принятие решений о задержании, идентификация лиц

Почему это разумно (и почему вызывает споры)

С одной стороны, идея здравая. История знает немало случаев, когда алгоритмы дискриминировали людей по признаку расы, пола или социального положения. Скоринговые системы отказывали в кредитах заёмщикам с хорошей историей. Медицинские нейросети давали неверные диагнозы. Контроль человека — это не каприз луддитов, а необходимая защита.

С другой стороны, норма может создать правовую неразбериху. Где заканчивается «ассистирование ИИ» и начинается «принятие решения ИИ»? Если врач ставит диагноз, опираясь на вывод нейросети с точностью 99%, — кто принял решение? Эти вопросы будут долго дискутироваться в судах и министерствах.

📌 Из практики: случай в частной клинике

В 2025 году московская частная клиника перешла на ИИ-систему для интерпретации результатов МРТ. Система работала автономно — результаты сразу уходили пациентам без проверки врача. После нескольких инцидентов с ошибочными выводами клиника столкнулась с исками и проверками Росздравнадзора. Нынешние нормы уже сейчас обязывают врача подписывать каждое заключение. Новый закон лишь закрепит то, что и так является медицинским стандартом. Но теперь за нарушение появится конкретная статья.

Что это значит для бизнеса на практике

Если вы разрабатываете или внедряете ИИ-решения для медицины, образования или государственного управления — вам нужно уже сейчас проектировать интерфейсы с обязательным «человеческим шагом» перед исполнением решения. Это не просто UX-вопрос, это юридическое требование, нарушение которого будет стоить дорого.

Если вы заказчик таких систем — включайте в ТЗ требование о наличии механизма human-in-the-loop. Без этого пункта в будущем году вы рискуете получить несоответствующий законодательству продукт, за который заплатили немало.

Приказ ФСТЭК №117: что нужно знать прямо сейчас

Пока законопроект Минцифры ещё в процессе согласования, один нормативный акт уже принят и вступит в силу меньше чем через две недели.

Приказ ФСТЭК России №117 — первый в стране комплексный стандарт информационной безопасности для ИИ-систем. Он обязателен для организаций госсектора и владельцев значимых объектов КИИ, которые используют ИИ-технологии.

Что требует Приказ

  • Категорирование ИИ-систем по уровню критичности и типу обрабатываемых данных
  • Документирование архитектуры — состав, функции, алгоритмы, точки принятия решений
  • Контроль цепочки поставок — проверка безопасности сторонних моделей и датасетов
  • Механизмы обнаружения атак на ИИ-систему (adversarial attacks, data poisoning)
  • Журналирование решений — каждое значимое решение системы должно быть задокументировано
  • Процедуры оценки рисков — регулярные проверки на уязвимости и смещение модели

Звучит технично — и оно таким и является. Но за каждым пунктом стоит конкретный риск: несанкционированный доступ к ИИ-системе, манипуляция обучающими данными, утечка конфиденциальной информации через модели, встроенные «бэкдоры» в зарубежных решениях.

Кто под действием приказа

КИИ охватывает широкий круг отраслей: банки и финансовые организации, телекоммуникации, здравоохранение, транспорт, энергетика, химическая промышленность, горнодобывающий сектор, ракетно-космическая отрасль, оборонная промышленность. Если ваша компания работает в любой из этих сфер и использует ИИ — Приказ №117 касается вас напрямую.

⚠️ Риск несоблюдения

Нарушение требований к защите КИИ влечёт уголовную ответственность по статье 274.1 УК РФ. Для должностных лиц — штрафы и дисквалификация. Компании грозят административные санкции и отзыв лицензий. При этом «мы не знали» не является оправданием — незнание закона не освобождает от ответственности.

Где риски для бизнеса и как их снизить

Давайте будем честны: большинство компаний сегодня используют ИИ стихийно. Купили лицензию на ChatGPT Teams, дали доступ всем сотрудникам, и вперёд. Или подключили API, встроили в продукт, запустили. Никакой правовой оценки, никакой документации, никакого понимания, где именно проходит граница.

Регуляторное давление, которое мы описали, переведёт это из «необязательного» в «обязательное». И чем позже вы начнёте разбираться, тем дороже обойдётся приведение в соответствие.

Риск 1: Ответственность за решения ИИ

Сейчас законодательство не предусматривает специальной ответственности за «неправильное решение ИИ». Но если ИИ-система вашей компании дискриминировала соискателя по полу или национальности, нарушила права потребителя, причинила материальный ущерб — ответственность несёте вы как оператор системы, по действующим нормам ГК и специальным законам.

Когда закон об ИИ будет принят, эта ответственность станет более явной и конкретной. Уже сейчас стоит прописать в корпоративных политиках: кто отвечает за ИИ-решения внутри компании, как фиксируются решения, кто их верифицирует.

Риск 2: Персональные данные и ИИ

Большинство ИИ-систем работают с персональными данными. Часто — в режиме, при котором данные уходят на серверы иностранного провайдера. По Федеральному закону №152-ФЗ персональные данные россиян должны обрабатываться на серверах, расположенных в России. Передача данных иностранным провайдерам возможна только в узких случаях.

Роскомнадзор уже не раз штрафовал компании за нарушение этого требования. С ужесточением регулирования ИИ мониторинг станет более систематическим.

Риск 3: Авторские права на контент, созданный ИИ

Когда вы используете ИИ для создания контента — текстов, изображений, кода — кому принадлежат права? Российское право признаёт автором только человека. Программы для ЭВМ охраняются как авторское произведение только если созданы человеком с творческим вкладом.

Если ваши сотрудники создают контент с помощью ИИ — документируйте их вклад. Если вы планируете продавать контент или использовать его в коммерческих целях — получите юридическое заключение о том, кто является правообладателем. Этот вопрос будет становиться всё острее по мере роста объёмов ИИ-генерированного контента.

💡 Как снизить правовые риски от использования ИИ
  • Составьте реестр всех ИИ-сервисов: провайдер, тип данных, цель использования
  • Проверьте, соответствует ли обработка данных требованиям ФЗ-152
  • Убедитесь, что ИИ не принимает финальных решений в критических процессах без верификации человеком
  • Внесите в договоры с клиентами оговорки о том, что часть функционала реализована с помощью ИИ
  • Разработайте внутреннюю политику использования ИИ-инструментов сотрудниками
  • Определите, требует ли ваш сектор сертификации по Приказу ФСТЭК №117

Европейский AI Act как зеркало: к чему готовиться на горизонте 2–3 лет

Российское регулирование ИИ во многом вдохновлено европейским AI Act, хотя и движется в своём темпе и со своей спецификой. Полезно посмотреть, как развивались события в ЕС — это даёт представление о вероятном будущем.

В Европе AI Act прошёл путь от первого проекта до принятого закона за четыре года. Когда он был принят, бизнес получил переходный период в два года. Но те, кто начал готовиться заблаговременно, потратили на приведение в соответствие в 5–7 раз меньше ресурсов, чем те, кто ждал финальной редакции.

В России темп законотворчества в сфере цифрового регулирования традиционно высокий. Переходные периоды короче. Рассчитывать на то, что «закон долго будет приниматься» — стратегически неверно.

Из практики: компания, которая начала аудит своих ИИ-систем и разработку внутренней политики сейчас, в 2026 году, вероятно, потратит 2–4 месяца на приведение в соответствие. Компания, которая начнёт после принятия закона, в режиме жёстких дедлайнов, может потратить столько же, но с дополнительными юридическими рисками переходного периода.

Практический план действий для бизнеса

Хватит теории — поговорим о конкретных шагах. Что нужно сделать вашей компании прямо сейчас, чтобы не оказаться в зоне риска.

Шаг 1: Аудит ИИ-инструментов (срочно)

Составьте полный список всех ИИ-систем и сервисов, которые использует ваша организация. Включите сюда не только большие платформенные решения, но и плагины, API, встроенные в другие продукты функции (например, ИИ-ассистент в CRM или автоматическое распознавание документов в бухгалтерской программе).

Для каждой системы зафиксируйте: кто провайдер, где хранятся данные, какие решения принимает система, есть ли контроль человека.

Шаг 2: Оценка рисков по секторам

Если вы работаете в сфере здравоохранения, финансов, образования или телекоммуникаций — вы с высокой вероятностью попадаете под повышенные требования. Проконсультируйтесь с юристом, специализирующимся на IT-праве и ИБ.

Шаг 3: Внутренняя политика использования ИИ

Разработайте и утвердите корпоративную политику работы с ИИ-инструментами: что разрешено, что запрещено, какие данные нельзя вводить в нейросети, кто несёт отве