Требования к сайтам за последние два года выросли сразу в нескольких направлениях: законодательство, поисковые алгоритмы и стандарты безопасности. Соответствие одному из них недостаточно – штраф от РКН не компенсирует хорошие позиции в Яндексе, а быстрый сайт не защитит от претензий надзорного органа.
Мы в Аспро регулярно проверяем сайты клиентов и помогаем устранить нарушения до того, как они оборачиваются штрафами или падением в поиске. В этой статье – полная картина требований на 2026 год, разбитая на три блока: законодательство, SEO и маркетинг, безопасность.
Часть первая. Законодательные требования
С 2025 года РКН перешел на автоматическую проверку сайтов с помощью ИИ – без предупреждения, в режиме 24/7. Сканер анализирует HTML-код форм, cookie-скрипты, наличие обязательных документов. Сайты из реестра операторов персональных данных проверяются ежемесячно, остальные – ежеквартально.
Ставки выросли кратно. За утечку персональных данных штраф достигает 15 млн рублей для юрлица, при повторном нарушении – 3% от годовой выручки. ИТ-компании с аккредитацией рискуют потерять льготную ставку налога 0–3% (вернется к 20%) и страховые взносы 7,6% (вернутся к 30%).
Реквизиты компании в футере
Основание: ст. 14.5 КоАП. В футере сайта должны быть размещены:
- полное наименование организации и организационно-правовая форма (ООО, АО, ИП);
- ОГРН или ОГРНИП;
- ИНН;
- юридический адрес.
Штраф за отсутствие – от 30 000 до 40 000 рублей для юрлиц.
Типичная ошибка: в футере есть название и телефон, а ОГРН и юридический адрес убраны ради чистоты дизайна. Именно это сканер фиксирует первым.
Политика конфиденциальности
По ФЗ-152 документ должен содержать шесть разделов: цели обработки данных, правовые основания (согласие, договор, закон), категории персональных данных, сроки хранения, права субъектов данных и контактные данные для обращений.
Раздел со сроками хранения пропускают чаще всего. Цели обработки и права субъектов прописаны, а конкретные сроки для разных категорий данных не указаны – это критическое нарушение.
Копировать чужую политику с заменой названия ООО рискованно. Система ищет конкретные признаки: наличие всех разделов, актуальность формулировок, соответствие контактных данных реальным. Если в шаблоне указан чужой email – при проверке письмо уйдет не вам.
Штраф: от 300 000 до 700 000 рублей для юрлиц по ст. 13.11 КоАП.
Согласие на обработку персональных данных
Пять обязательных элементов формы:
- пустой чекбокс – без атрибута checked в коде;
- четкая цель: не «согласен с условиями», а «даю согласие на обработку персональных данных для получения рассылки»;
- указание на добровольность;
- ссылка на политику конфиденциальности;
- возможность отзыва согласия.
Автоматическая система проверяет HTML-атрибут checked напрямую. Если он прописан – это заранее проставленное согласие, что нарушает ст. 13.11 КоАП. Форма выглядит нормально, но в коде – нарушение.
Штраф: от 300 000 до 700 000 рублей.
Баннер для cookie
С 1 марта 2025 года обязателен баннер с четырьмя элементами: сообщение об использовании cookie, возможность отказа от несущественных, разделение на категории (необходимые, аналитические, маркетинговые) и ссылка на политику обработки ПД прямо с баннера.
Закон РФ мягче GDPR: достаточно двух кнопок – «Принять все» и «Настройки». Но ссылка на политику с баннера – обязательна. Это самое частое упущение: баннер есть, ссылки нет.
Уведомление в Роскомнадзор
Подача через pd.rkn.gov.ru обязательна, если сайт собирает ФИО, email, телефон или любые другие персональные данные. Счетчики аналитики собирают IP-адреса – это тоже персональные данные, уведомление нужно.
Штраф за неподачу: от 150 000 до 300 000 рублей по ст. 13.11 КоАП.
Российский хостинг
С 1 июля 2025 года персональные данные граждан РФ должны физически храниться на серверах в России. Зарубежный хостинг, CDN без российских узлов, облачные сервисы без локализации данных – нарушение.
Если хостинг в AWS Frankfurt, а клиенты из РФ – нарушение с вероятностью 95%. Исключение: провайдер с зарубежным головным офисом, но с официальным российским сегментом с физическими серверами в РФ.
Штраф: от 1 до 3 млн рублей для юрлиц.
Требования для ИТ-компаний с аккредитацией
Приказ Минцифры № 511 с 2025 года обязывает аккредитованные ИТ-компании размещать на сайте:
- коды видов деятельности из реестра Минцифры;
- описание ИТ-продуктов на русском языке;
- цены – формулировки «по запросу» и «договорная» запрещены;
- сведения о техподдержке 24/7;
- информацию об аккредитации.
Автоматического механизма исключения из реестра за отсутствие цен пока нет. Но при ежегодной плановой проверке инспектор запрашивает скриншот сайта. Нет описания продуктов и цен – отказ в продлении аккредитации, а значит потеря льгот.
Доступность по ГОСТ Р 52872-2019
С 1 марта 2026 года «версия для слабовидящих» как отдельная страница больше не соответствует требованиям. Вводится универсальный дизайн – основной сайт должен быть доступен сам по себе.
Что это означает технически:
- alt-тексты для всех изображений (пустой alt для декоративных – норма, отсутствие атрибута – нарушение);
- контрастность текста не менее 4.5:1 к фону;
- клавиатурная навигация по всем интерактивным элементам;
- совместимость со скринридерами;
- масштабирование до 200% без горизонтальной прокрутки.
Ошибка встречается постоянно: на главной странице десятки изображений без alt-атрибута. При ручной проверке не заметишь, при автоматической – каждая иконка без alt становится потенциальным замечанием.
Маркировка рекламы
С 1 марта 2026 года вступил в силу ФЗ-168 в связке с ФЗ-38 «О рекламе». Любая рекламная публикация на сайте – баннер, партнерская статья, интеграция – должна содержать три обязательных элемента: слово «Реклама», наименование рекламодателя с ИНН и токен ERID.
Формулировки «Партнерский материал» или «На правах рекламы» без ERID не подходят. Штраф за каждый немаркированный креатив по ч. 16 ст. 14.3 КоАП: для физических лиц – от 30 000 до 100 000 рублей, для юридических – от 200 000 до 500 000 рублей. Каждое нарушение считается отдельным.
Для контент-маркетинга важен нюанс: если в статье есть UTM-ссылки, офферы или акцент на преимуществах конкретного продукта – это реклама, требующая маркировки. Граница размытая, но регулятор трактует ее жестко. Данные о договорах и актах передаются в ЕРИР через ОРД – операторов рекламных данных. Немаркированная реклама не учитывается в расходах при расчете налога на прибыль.
Чтобы убедиться, что сайт соответствует всем требованиям, можно пройтись по чеклисту проверки сайта.
Часть вторая. SEO, маркетинг и лидогенерация
Соответствие законодательству защищает от штрафов, но не приводит клиентов. Поисковые алгоритмы и поведение пользователей предъявляют отдельный набор требований.
Производительность и Core Web Vitals
Google и Яндекс оценивают скорость и стабильность работы сайта по трем метрикам. Минимальный порог – 80 баллов в PageSpeed Insights по обоим режимам.
LCP (Largest Contentful Paint) – время загрузки основного контента. Норма: менее 2,5 секунды, на мобильных в 2026 году ориентир ужесточился до 2,0 секунды.
INP (Interaction to Next Paint) – отклик интерфейса на действие пользователя. Норма: менее 200 мс. Метрика в 2024 году полностью заменила устаревший FID. Главный враг показателя – тяжелый JavaScript, блокирующий основной поток браузера.
CLS (Cumulative Layout Shift) – визуальная стабильность. Норма: ниже 0,1. Проявляется как прыжки элементов при загрузке, когда баннер или шрифт подтягивается с задержкой и сдвигает содержимое вниз.
Медленный сайт повышает показатель отказов: пользователь не ждет дольше 2–3 секунд, поисковик фиксирует поведенческий сигнал и снижает позиции. Скорость – это не только UX, это фактор ранжирования.
Мобильная версия как приоритет
Google перешел на Mobile-First индексацию: алгоритмы оценивают сайт по мобильной версии, а не по десктопной. По данным Statcounter, в 2026 году доля мобильного трафика составляет около 64% от всего веб-трафика. Сайт, который неудобен на смартфоне – это сайт, который неудобен большинству посетителей.
Практические требования:
- контент мобильной и десктопной версий должен совпадать;
- ключевые разделы не должны скрываться за значком меню;
- формы должны работать на тач-экране;
- кнопки – быть достаточно крупными для нажатия пальцем.
Экспертность и доверие
Поисковые алгоритмы в 2026 году оценивают контент по критериям E-E-A-T: экспертиза, опыт, авторитетность, доверие. Это не прямой сигнал ранжирования, но рамка, через которую оценивается полезность ресурса.
Для корпоративного сайта это означает: материалы подписываются реальными авторами с биографиями, фактические данные указываются с источниками, контакты компании доступны и реальны. Яндекс с алгоритмом Проксима дополнительно учитывает поведенческие факторы, качество ссылочной массы и репутацию домена. Сайт с реальными авторами и структурированным контентом выигрывает у SEO-страниц, написанных для робота.
Лидогенерация и конверсия
Технически корректный сайт не всегда генерирует заявки. Конверсия – это отдельная работа.
Форма обратной связи должна быть на каждой ключевой странице, а не только в разделе «Контакты». Призыв к действию – конкретным: не «Узнать больше», а «Получить коммерческое предложение». Номер телефона – кликабельным на мобильных. Страница 404 – не тупиком, а навигацией к основным разделам.
Чат или мессенджер снижают порог входа для тех, кто не готов звонить. Отзывы клиентов и кейсы – сигналы доверия, которые работают лучше, чем любые описания преимуществ в тексте.
Чтобы узнать причины низкой конверсии сайта, можно воспользоваться гайдом.
Часть третья. Безопасность сайта
SSL и корректное шифрование
SSL обязателен для всех сайтов, собирающих персональные данные. Технические требования: TLS 1.2 или выше (TLS 1.0 и 1.1 считаются устаревшими и небезопасными), действующий сертификат без ошибок в цепочке, редирект с HTTP на HTTPS.
Частая ситуация при смене провайдера: сертификат установлен, но промежуточный не подтянулся. Браузер показывает предупреждение, часть пользователей уходит, сканер РКН фиксирует нарушение.
Защита от атак
Базовый набор мер для любого сайта:
- защита от DDoS на уровне сети и уровне приложений;
- WAF – файрвол веб-приложений, фильтрующий вредоносные запросы;
- rate limiting – ограничение числа запросов с одного IP для форм и авторизации.
Для сайтов на популярных CMS (Битрикс, WordPress) особенно важно: своевременное обновление ядра и плагинов, удаление неиспользуемых модулей, запрет индексации административных разделов в robots.txt.
Резервное копирование
Резервные копии должны создаваться автоматически и храниться отдельно от основного сервера. Минимальная частота для активно обновляемого сайта – ежедневно. Файлы и базу данных следует хранить как минимум за 30 дней.
Важный момент: копию нужно периодически проверять – восстанавливать из нее на тестовом окружении. Бэкап, который не разворачивается, бэкапом не является.
Мониторинг доступности и ошибок
Пять минут простоя в рабочее время – это потерянные заявки и поведенческий сигнал для поисковика. Сайт должен мониториться автоматически: uptime с уведомлением, ошибки 4xx и 5xx, срок действия SSL-сертификата. Проблема, о которой узнают от клиентов, стоит дороже, чем та, которую поймали первыми.
Защита контактных данных
Email-адреса в открытом тексте на странице собирают спам-боты. Безопаснее использовать форму обратной связи или кодировать адрес в JavaScript. Телефоны – кликабельные ссылки с атрибутом tel:, не просто текст.
Что проверить прямо сейчас
Если сайт последний раз проверяли в 2024 году, три приоритета на ближайшее время.
Доступность – до марта 2026 года. Alt-тексты для всех изображений, контрастность 4.5:1, клавиатурная навигация. Это не разовая правка: при каждом добавлении нового баннера или иконки alt нужно прописывать.
Хостинг – нарушение действует с июля 2025 года. Если провайдер зарубежный, проверьте наличие официального российского сегмента с физическими серверами в РФ.
Формулировка согласия – явно указать цель обработки рядом с чекбоксом. «Согласен с политикой конфиденциальности» недостаточно: нужна конкретная формулировка с указанием цели.
Комментарии