Закон о хостинге в России: требования к провайдерам, реестр Роскомнадзора. Что изменилось  и как это повлияет на бизнес

С июля 2023 года в Российской Федерации начал действовать Федеральный закон №406-ФЗ, вносящий масштабные изменения в правовое регулирование деятельности хостинг-провайдеров. Этот нормативный акт стал одним из ключевых шагов государства по укреплению информационной безопасности, контролю над цифровой инфраструктурой и защите персональных данных граждан.

На первый взгляд, изменения касаются исключительно компаний, предоставляющих хостинг-услуги. Но на практике их последствия затрагивают гораздо более широкий круг участников цифровой экосистемы: владельцев сайтов, онлайн-магазинов, государственных и коммерческих организаций, а также простых пользователей интернета.

Почему государство решило ужесточить контроль над хостингом?

Рост киберугроз как основной триггер изменений

По официальным данным, ежедневно на российские компании фиксируется более 170 кибератак. Многие из них реализуются через уязвимости в инфраструктуре небольших хостинг-провайдеров, которые не обладают достаточными ресурсами для обеспечения высокого уровня защиты. Именно через такие «слабые звенья» злоумышленники получают доступ к конфиденциальной информации, включая персональные данные пользователей, коммерческую тайну и даже государственные сведения.

Государство, стремясь минимизировать такие риски, решило упорядочить рынок хостинга и оставить на нём только проверенных, надёжных операторов, способных обеспечивать должный уровень кибербезопасности.

Стратегия технологического суверенитета

Помимо борьбы с киберпреступностью, новый закон вписывается в более широкую стратегию технологического суверенитета России. Это означает, что цифровая инфраструктура страны должна быть максимально независимой от внешних угроз и иностранных технологий.

В частности, закон требует:

• размещения серверного оборудования исключительно на территории РФ;
• использования российской системы доменных имён (РСДИ);
• подключения к отечественным системам мониторинга и противодействия киберугрозам.

Такие меры призваны обеспечить устойчивую работу российского сегмента интернета даже в случае полного отключения от глобальной сети.

Усиление контроля со стороны государства

Ещё один немаловажный аспект — расширение полномочий государственных органов в сфере цифрового надзора. Закон предусматривает обязательное взаимодействие хостинг-провайдеров с Роскомнадзором, ФСБ и другими ведомствами. В том числе — предоставление доступа к серверам по запросу спецслужб и соблюдение режима конфиденциальности по таким запросам.

Это вызывает споры в профессиональном сообществе, но с точки зрения законодателя — является необходимым условием для оперативного реагирования на угрозы национальной безопасности.

Основные положения закона №406-ФЗ: что изменилось?

Обязательная регистрация в реестре Роскомнадзора

С 1 декабря 2023 года оказание хостинг-услуг в России возможно только при условии включения компании в специальный реестр, ведомый Роскомнадзором.

Для действующих провайдеров был установлен переходный период: до 15 декабря 2023 года они обязаны были подать уведомление о намерении продолжить деятельность. Новые компании должны подавать заявку заблаговременно — её рассмотрение занимает до 10 рабочих дней.

С 1 февраля 2024 года оказание хостинг-услуг без регистрации в реестре стало административно наказуемым и влечёт за собой исключение из рынка.

Требования к юридическому статусу и структуре собственности

Чтобы быть допущенным к реестру, хостинг-провайдер должен соответствовать следующим критериям:

• быть зарегистрирован как юридическое лицо на территории РФ;
• иметь не менее 50% российских учредителей (граждан РФ или российских юрлиц без значительного иностранного участия);
• обладать подтверждённым юридическим адресом, не отмеченным в ЕГРЮЛ как недостоверный.

Эти требования направлены на ограничение влияния иностранного капитала на важную цифровую инфраструктуру страны.

Локализация серверного оборудования

Все серверы и технические средства, используемые для оказания хостинг-услуг, должны находиться исключительно на территории Российской Федерации.

Это правило распространяется как на выделенные серверы, так и на виртуальные (VPS/VDS), облачные решения и даже на shared-хостинг. Передача данных на зарубежные площадки, даже для резервного копирования, может быть расценена как нарушение закона.

Использование российской системы доменных имён (РСДИ)

Хостинг-провайдеры обязаны использовать отечественную систему доменных имён, разработанную в рамках проекта РСДИ (Российская система доменных имён). Это необходимо для обеспечения автономной работы российского интернета в случае отключения от глобальной DNS-инфраструктуры.

На практике это означает, что все домены, размещённые на серверах российского хостинга, должны быть корректно интегрированы с РСДИ, а провайдеры — поддерживать совместимость своих DNS-серверов с этой системой.

Подключение к государственной системе кибербезопасности

Хостинг-компании обязаны подключиться к государственной системе мониторинга и противодействия киберугрозам. Эта система позволяет:

• оперативно выявлять атаки на инфраструктуру;
• автоматически блокировать вредоносный трафик;
• передавать информацию о происшествиях в профильные ведомства.

Провайдеры также должны участвовать в учениях по кибербезопасности, организуемых государством.

Обязательная идентификация клиентов

Все пользователи хостинг-услуг (включая физических лиц и ИП) теперь подлежат обязательной идентификации. Для этого предусмотрены следующие способы:

• авторизация через Единую систему идентификации и аутентификации (ЕСИА — «Госуслуги»);
• использование подтверждённой учётной записи в иных государственных системах;
• иные методы, утверждённые Правительством РФ.

Это требование направлено на борьбу с анонимностью в сети и предотвращение использования хостинга для незаконной деятельности.

Взаимодействие со спецслужбами и правоохранительными органами

Хостинг-провайдеры обязаны:

• предоставлять доступ к серверам по запросу уполномоченных органов (в первую очередь — ФСБ);
• не разглашать факт получения таких запросов;
• обеспечивать техническую возможность проведения оперативно-розыскных мероприятий (ОРМ).

Это положение вызывает наибольшее количество вопросов у бизнеса, особенно в части конфиденциальности данных клиентов. Однако закон чётко указывает: соблюдение режима тайны — обязательное условие для пребывания в реестре.

Реестр хостинг-провайдеров: как он работает и какие проблемы возникают?

Отсутствие чёткого регламента регистрации

Несмотря на вступление закона в силу, на начало 2025 года до сих пор не утверждён официальный порядок регистрации в реестре Роскомнадзора. Правительство РФ должно было разработать соответствующие подзаконные акты, но этого пока не произошло.

В результате провайдеры вынуждены действовать в условиях правовой неопределённости. На горячей линии Роскомнадзора рекомендуют подавать уведомление «в произвольной форме», после чего с компанией якобы связываются для уточнения деталей.

Риски произвольного толкования требований

Отсутствие чётких критериев открывает дверь для субъективной интерпретации требований со стороны регулятора. Например:

• что считать «российским учредителем» при сложной структуре собственности?
• достаточно ли арендованного дата-центра на территории РФ или нужно владеть оборудованием?
• какие именно технические средства кибербезопасности считаются «российскими»?

Пока эти вопросы остаются без ответа, что создаёт дополнительные риски для бизнеса.

Перспектива расширения требований

Скорее всего, после утверждения регламента список условий для включения в реестр существенно расширится. Уже сейчас предполагается, что будут введены:

• минимальные требования к вычислительной мощности;
• обязательное использование отечественного ПО;
• сертификация систем защиты информации;
• регулярная отчётность перед Роскомнадзором.

Всё это может стать непосильной нагрузкой для малых и средних хостинг-компаний.

Кто подпадает под действие нового закона?

Классическое определение хостинг-провайдера

Под действие закона попадают все организации, предоставляющие третьим лицам возможность размещения информации на серверах, включая:

• виртуальный хостинг;
• VPS/VDS-хостинг;
• выделенные серверы;
• облачные платформы (IaaS, PaaS);
• colocation-услуги (если клиент размещает сайт или приложение).

Серые зоны: когда хостинг — это не хостинг?

Некоторые виды деятельности могут не подпадать под определение «хостинга» в юридическом смысле:

• хранение данных без публичного доступа (например, внутренние файловые архивы);
• предоставление CDN без хранения контента;
• SaaS-платформы, где клиент не управляет сервером напрямую.

Но границы здесь размыты, и окончательное решение остаётся за регулятором. Поэтому рекомендуется консультироваться с юристами при наличии сомнений.

Иностранцы и «серые» провайдеры

Иностранные компании, не имеющие представительства в РФ, не могут быть включены в реестр и, соответственно, не имеют права оказывать хостинг-услуги российским клиентам.

Также под запрет попадают «серые» провайдеры — компании, работающие без официальной регистрации или использующие офшорные схемы. После 1 февраля 2024 года их деятельность в РФ считается незаконной.

Ответственность за нарушение требований

Исключение из реестра

Основная санкция — исключение компании из реестра хостинг-провайдеров. Это автоматически лишает её права оказывать услуги на территории РФ.

Процедура исключения выглядит так:

• Роскомнадзор выявляет нарушение.
• Выдаёт предписание об устранении в течение 10 рабочих дней.
• При невыполнении — принимает решение об исключении.

Административная и уголовная ответственность

Помимо исключения, возможны:

• штрафы по КоАП РФ (до 1 млн рублей для юрлиц);
• признаки уголовного преступления — если нарушение повлекло утечку персональных данных или саботаж критической инфраструктуры.

Последствия для клиентов

Если провайдер исключён из реестра, его клиенты теряют легальный статус размещения сайта. Это может привести к:

• блокировке ресурса Роскомнадзором;
• проблемам с обработкой персональных данных (нарушение 152-ФЗ);
• отказу в госзакупках или лицензировании.

Поэтому пользователям важно проверять статус своего хостинга и при необходимости — мигрировать на проверенного провайдера.

Как попасть в реестр

Проверка соответствия базовым критериям

• Убедитесь, что у вас российская юрисдикция.
• Проверьте состав учредителей (минимум 50% российских).
• Подтвердите юридический адрес.

Локализация инфраструктуры

• Перенесите все серверы на территорию РФ.
• Заключите договоры с российскими дата-центрами.
• Откажитесь от зарубежных резервных копий (или организуйте их через российские площадки).

Подключение к системам кибербезопасности

• Интегрируйтесь с государственной системой мониторинга.
• Установите российские средства защиты (антивирусы, IDS/IPS, WAF).
• Назначьте ответственного сотрудника по ИБ.

Внедрение идентификации клиентов

• Реализуйте авторизацию через Госуслуги.
• Обновите пользовательское соглашение.
• Настройте хранение данных идентификации в соответствии с 152-ФЗ.

Подача уведомления в Роскомнадзор

• Подготовьте уведомление в произвольной форме (пока нет регламента).
• Укажите данные компании, инфраструктуры, контактного лица.
• Отправьте по каналам, рекомендованным регулятором.

Поддержание соответствия

• Регулярно участвуйте в учениях по кибербезопасности.
• Своевременно реагируйте на запросы госорганов.
• Следите за изменениями в законодательстве.

Практические рекомендации для клиентов хостинга

Как проверить, входит ли ваш провайдер в реестр?

На сегодняшний момент публичный доступ к реестру ограничен, но вы можете:

• запросить у провайдера подтверждение включения;
• проверить наличие уведомления на его сайте;
• обратиться в Роскомнадзор с официальным запросом.

Что делать, если провайдер не в реестре?

• Немедленно начните миграцию на проверенного хостинга.
• Убедитесь, что новый провайдер соответствует всем требованиям.
• Перенесите не только сайт, но и почту, базы данных, SSL-сертификаты.

Как минимизировать риски при выборе хостинга?

• Отдавайте предпочтение крупным, проверенным компаниям.
• Уточняйте наличие российской инфраструктуры.
• Проверяйте политику конфиденциальности и взаимодействия со спецслужбами.

Прогнозы и перспективы развития рынка

Консолидация рынка

Ожидается, что до 60–70% мелких хостинг-провайдеров покинут рынок из-за невозможности выполнить новые требования. Это приведёт к концентрации рынка в руках крупных игроков — «Ростелекома», «МТС», «Мэйл.ру Групп», «Selectel» и других.

Рост стоимости услуг

Ужесточение требований неизбежно повлечёт увеличение операционных расходов, что отразится на ценах для клиентов. Особенно сильно это скажется на shared-хостинге и VPS-тарифах.

Развитие отечественных решений

Закон стимулирует спрос на российское ПО и оборудование. Ожидается рост инвестиций в:

• отечественные ОС (Astra Linux, РЕД ОС);
• системы защиты информации;
• DNS- и CDN-решения на базе РСДИ.

Новое законодательство кардинально меняет правила игры на рынке хостинга в России. Оно создаёт серьёзные вызовы, но одновременно открывает возможности для тех, кто готов инвестировать в безопасность, локализацию и прозрачность.

Для хостинг-провайдеров ключ к успеху — ранняя и системная подготовка: аудиты, модернизация инфраструктуры, взаимодействие с регулятором. Для клиентов — осознанный выбор партнёра, соответствующего новым требованиям.

Государство, судя по всему, будет придерживаться риск-ориентированного подхода: сначала под контроль попадут крупные игроки, а мелкие компании получат время на адаптацию. Но откладывать действия — опасно. Уже сегодня каждая компания должна оценить свои риски и разработать план перехода.

В условиях цифрового суверенитета надёжность — это не просто преимущество, а обязательное условие существования. Те, кто поймёт это первыми, не только сохранят бизнес, но и укрепят свои позиции в новой реальности.