если у вас есть информационные системы / сети / АСУ, которые обеспечивают работу в сферах, перечисленных в 187-ФЗ (например, энергетика, транспорт, здравоохранение, связь, финсектор и др.), – с высокой вероятностью вы подпадаете под статус субъекта КИИ и должны выполнять требования 187-ФЗ (в т.ч. проводить категорирование своих объектов).
То есть логика простая:
Есть “объекты КИИ” (ИС/сети/АСУ) + они работают в “сферах из 187-ФЗ” → вы субъект КИИ.
Нет одного из элементов → обычно не субъект (или как минимум нет объектов для категорирования).
Что говорит законодательство
2.1. Кто такой субъект КИИ
187-ФЗ определяет субъектов КИИ как государственные органы, государственные учреждения, российские юридические лица, которым на праве собственности/аренды/ином законном основании принадлежат информационные системы, ИТК-сети, автоматизированные системы управления, функционирующие в установленных сферах.
Важно: с 01.09.2025 из определения исключены индивидуальные предприниматели (ИП).
2.2. Что такое “объекты КИИ”
Объекты КИИ – это информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ.
2.3. В каких сферах закон “включается”
В определении субъекта КИИ перечислены сферы, среди которых: здравоохранение, наука, транспорт, связь, энергетика, банковская сфера и иные сферы финрынка, ТЭК, атомная энергия, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность и др.
2.4. Дополнение по категорированию (актуально с 2025 года)
С 07.11.2025 уточнено, что категорированию подлежат объекты КИИ, соответствующие типам, включенным в перечни типовых отраслевых объектов КИИ (которые вводятся по п. 4 ч. 2 ст. 6 187-ФЗ).
Как это работает на практике
Шаг 1. Проверьте “юридический статус” организации
Вы потенциально субъект КИИ, если вы:
- российское юрлицо (ООО/АО/ГУП и т.п.) или
- госорган / госучреждение.
Если вы ИП – после 01.09.2025 по определению из 187-ФЗ вы не субъект КИИ.
Шаг 2. Есть ли у вас “кандидаты в объекты КИИ”
Составьте короткий список ваших ИТ-активов, которые подходят под 3 типа из закона:
- Информационные системы (например, медицинская ИС, биллинги, производственные MES/ERP, диспетчеризация и т.п.)
- Информационно-телекоммуникационные сети (корпоративная сеть, технологическая сеть, сеть передачи данных между площадками)
- АСУ / АСУ ТП (SCADA, PLC-контуры, АСУ производства, диспетчерское управление).
Если таких систем нет (реально нет – не “у нас только ноутбуки и почта”), то обычно не возникает ни объекта КИИ, ни категорирования.
Шаг 3. Работают ли эти системы в “сферах из 187-ФЗ”
Тут важно не ОКВЭД “вообще”, а что реально делает система:
- система обеспечивает медицинскую деятельность → здравоохранение,
- система управляет энергообъектом/производством → энергетика/ТЭК/промышленность,
- система обеспечивает перевозки/движение/логистику → транспорт,
- система обеспечивает оказание услуг связи → связь,
- банковские/платежные системы → финрынок и т.д.
Шаг 4. Учитывайте “типовые отраслевые перечни” (если они уже действуют для вашей отрасли)
После изменений 2025 года логика стала более “отраслевой”: категорированию подлежат те объекты, которые попадают в типы из отраслевых перечней.
На практике это означает: вы сначала определяете отрасль/регулятора, затем сверяете ваши системы с типовыми типами, и только после этого запускаете категорирование по тем объектам, которые “попали”.
Выводы и рекомендации
Организация относится к субъектам КИИ, если она (а) госорган/госучреждение/российское юрлицо и (б) у неё есть ИС/сети/АСУ, которые реально функционируют в сферах из 187-ФЗ.
С 01.09.2025 ИП исключены из определения субъектов КИИ.
С 07.11.2025 при определении “что категорировать” дополнительно учитывают типовые отраслевые перечни типов объектов (если они применимы к вашей отрасли).
