Попали под КИИ задним числом: пошаговый алгоритм для «новых» субъектов

После утверждения распоряжения Правительства РФ от 26.02.2026 № 360-р (Перечень типовых отраслевых объектов КИИ) многие организации обнаружили, что их основной вид деятельности формально совпал с указанными в документе. При этом ранее компания обоснованно не считала себя субъектом критической информационной инфраструктуры (КИИ) и не проводила соответствующих процедур.

Вопрос: является ли это нарушением? Ответ: нет, если на тот момент у организации не было оснований относить себя к субъектам КИИ. Однако с момента вступления Перечня в силу или с момента выявления соответствия своему виду деятельности обязанность выполнить требования законодательства возникает.

Ниже — пошаговый алгоритм действий, основанный на Федеральном законе от 26.07.2017 № 187-ФЗ и Постановлении Правительства РФ от 08.02.2018 № 127.

Шаг 1. Подтверждение статуса субъекта КИИ

Прежде чем предпринимать какие-либо действия, необходимо определить, является ли организация субъектом КИИ. Для этого:

• Проанализировать сферу деятельности организации в соответствии с п. 8 ст. 2 Федерального закона № 187-ФЗ. В законе перечислены сферы, а не коды ОКВЭД:

  • здравоохранение;

  • наука;

  • транспорт;

  • связь;

  • энергетика;

  • банковская сфера и иные финансовые рынки;

  • атомная энергетика;

  • оборонная, ракетно-космическая, горная, металлургическая и химическая отрасли;

  • иные сферы, определяемые Правительством РФ.

• Оценить фактическое осуществление деятельности в указанных сферах. Наличие соответствующего кода ОКВЭД в ЕГРЮЛ является вспомогательным, но не определяющим признаком.

• Проверить наличие объектов, которые могут быть отнесены к КИИ: информационных систем (ИС), информационно-телекоммуникационных сетей (ИТКС), автоматизированных систем управления (АСУ ТП), с помощью которых осуществляется управление технологическими процессами.

Важное уточнение: Индивидуальные предприниматели исключены из числа субъектов КИИ. Если ваша организация зарегистрирована как ИП, положения законодательства о КИИ на вас не распространяются независимо от вида деятельности.

Шаг 2. Выявление объектов КИИ

После подтверждения статуса субъекта КИИ необходимо провести инвентаризацию:

• информационных систем (ИС);

• информационно-телекоммуникационных сетей (ИТКС);

• автоматизированных систем управления (АСУ), в том числе АСУ ТП.

Выявление осуществляется с использованием Перечня типовых отраслевых объектов КИИ (распоряжение Правительства РФ от 26.02.2026 № 360-р). В перечне для каждого типового объекта указаны:

• типовые процессы (функции), выполняемые объектом;

• виды деятельности субъекта КИИ с привязкой к кодам ОКВЭД.

Шаг 3. Формирование и утверждение перечня объектов КИИ

По результатам выявления объектов КИИ организация обязана сформировать и утвердить перечень объектов КИИ.

Перечень утверждается руководителем субъекта КИИ.

Шаг 4. Направление перечня объектов КИИ во ФСТЭК России

После утверждения перечня объектов КИИ его необходимо направить во ФСТЭК России.

Срок: в течение 5 рабочих дней после утверждения перечня.

Шаг 5. Категорирование объектов КИИ

Категорирование проводится в соответствии с Постановлением Правительства РФ от 08.02.2018 № 127.

Процедура категорирования включает:

• Оценку масштаба возможных последствий в случае компьютерного инцидента на объекте КИИ по показателям:

  • социальная значимость;

  • политическая значимость;

  • экономическая значимость;

  • экологическая значимость;

  • значимость для обеспечения обороны страны, безопасности государства и правопорядка.

• Присвоение объекту одной из трех категорий значимости:

  • 1 категория — самая высокая;

  • 2 категория — средняя;

  • 3 категория — низкая;

  • либо принятие решения об отсутствии необходимости присвоения категории.

Срок: максимальный срок проведения категорирования — один год со дня утверждения перечня объектов КИИ.

Шаг 6. Направление сведений о результатах категорирования во ФСТЭК России

После утверждения акта категорирования (или решения об отсутствии необходимости присвоения категории) руководителем субъекта КИИ необходимо направить соответствующие сведения во ФСТЭК России.

Срок: в течение 10 рабочих дней со дня утверждения акта категорирования.

Что указывается в сведениях:

• данные об объекте КИИ и субъекте КИИ;

• сведения о взаимодействии объекта с сетями электросвязи;

• доменные имена и сетевые адреса объекта (при взаимодействии с сетями электросвязи общего пользования, включая Интернет);

• лицо, эксплуатирующее объект;

• используемое программное и программно-аппаратное обеспечение;

• актуальные угрозы безопасности информации;

• возможные последствия компьютерных инцидентов.

Шаг 7. Организация обеспечения безопасности объектов КИИ

После завершения категорирования субъект КИИ обязан выполнять требования по обеспечению безопасности объектов в соответствии с законодательством. Меры зависят от присвоенной категории значимости и включают:

• предотвращение неправомерного доступа к информации;

• восстановление функционирования объектов после компьютерных атак;

• взаимодействие с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА);

• переход на преимущественное применение доверенных программно-аппаратных комплексов (ПАК) на значимых объектах КИИ;

• иные меры, предусмотренные нормативными правовыми актами.

Шаг 8. Периодический пересмотр категории

Установленная категория значимости объекта КИИ подлежит пересмотру не реже одного раза в 5 лет, а также при изменении показателей/их значений или появлении отраслевых особенностей. Пересмотр осуществляется в том же порядке, что и первичное категорирование.

Важные нюансы: ответственность и надзор

Отсутствие ранее проведенных процедур. Если на момент, когда организация должна была выполнить процедуры выявления и категорирования, она обоснованно не являлась субъектом КИИ (например, её вид деятельности не был включен в действовавший на тот момент Перечень типовых объектов), то сам по себе факт отсутствия этих процедур не является нарушением.

Нарушением считается невыполнение требований с того момента, как организация узнала или должна была узнать о своем статусе субъекта КИИ.

Мониторинг со стороны отраслевых регуляторов. В соответствии с Постановлением Правительства РФ № 127, отраслевые регуляторы осуществляют мониторинг актуальности и достоверности сведений об объектах КИИ, представляемых субъектами КИИ. Мониторинг проводится регулярно и включает запрос и оценку информации о сроках представления, актуальности и достоверности сведений.

Ответственность за неисполнение требований законодательства о КИИ предусмотрена Кодексом Российской Федерации об административных правонарушениях (КоАП РФ). Размер штрафов зависит от конкретного состава нарушения, категории значимости объекта КИИ и статуса лица (должностное или юридическое).

Резюме: обязательные сроки в одном месте

Когда может потребоваться помощь специалиста

Законодательство о КИИ является сложным и межотраслевым. Привлечение внешних экспертов не является обязательным требованием нормативных актов, однако может быть целесообразным на разных этапах работ.

Компания ГК «IT Полюс» предлагает полный спектр услуг по обеспечению безопасности объектов КИИ — от аудита до успешного прохождения проверок ФСТЭК и ФСБ. Мы работаем на основании лицензий ФСТЭК и ФСБ России и готовы взять на себя как полный цикл работ, так и подключиться на отдельном этапе.

Оставьте заявку на сайте — мы проанализируем вашу ситуацию и подготовим структурированный план с перечнем необходимых действий и предварительной оценкой стоимости работ.