Кто является субъектом КИИ по 187-ФЗ?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Субъект КИИ – это не “вся компания целиком” по факту существования, а организация, у которой есть (или которую она эксплуатирует на законном основании) важные ИТ-системы/сети/АСУ в перечисленных законом сферах (энергетика, транспорт, связь, банки, медицина и т.д.).
Если простыми словами: у вас есть системы, без которых “встанет” критически важный процесс – значит вы (скорее всего) субъект КИИ и на вас распространяются требования 187-ФЗ.

Что говорит законодательство

В действующей редакции 187-ФЗ (ст. 2, п. 8) субъектами критической информационной инфраструктуры являются:

• государственные органы;
• государственные учреждения;
• российские юридические лица, которым на праве собственности, аренды или ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в перечисленных сферах (в т.ч. здравоохранение, наука, транспорт, связь, энергетика, госрегистрация прав на недвижимость и сделок с ним, банковская сфера и иные сферы финансового рынка, ТЭК, атомная энергия, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность).

Также к субъектам КИИ относятся российские юридические лица, которые обеспечивают взаимодействие указанных систем или сетей.

Обрати внимание: в этой редакции закона в определении субъекта КИИ прямо названы госорганы/госучреждения и российские юрлица.

Как это работает на практике

На практике вопрос “мы субъект КИИ или нет?” обычно решается так:

1. Выясняем, есть ли у организации “критичные” системы:
   например, система управления технологическим процессом, диспетчеризация, ключевая банковская платформа, медицинская ИС, отраслевой сервис связи/энергетики и т.п.
2. Смотрим, к какой сфере относится деятельность, и попадает ли она в перечень 187-ФЗ. Если система работает “внутри” одной из этих сфер и от неё зависит важный процесс – это сильный признак субъекта КИИ.
3. Проверяем основание владения/эксплуатации: собственность, аренда или иное законное основание (например, договоры, закрепляющие использование/эксплуатацию).
4. Отдельный частый кейс – когда организация не владеет критичными системами напрямую, но обеспечивает их взаимодействие (условно: “сшивает” системы/сети между собой). В законе такая роль тоже прямо отнесена к субъектам КИИ.

Выводы и рекомендации

Субъект КИИ по 187-ФЗ – это госорган/госучреждение или российское юрлицо, у которого на законном основании есть ИС/сети/АСУ, работающие в сферах из закона, а также российское юрлицо, которое обеспечивает взаимодействие таких систем/сетей.

Если вы сомневаетесь, начните с простого – перечислите ваши ключевые ИТ-системы и ответьте на вопрос: “какой жизненно важный процесс они обеспечивают и что будет, если они остановятся?” Если последствия серьёзные и сфера совпадает с 187-ФЗ – дальше уже имеет смысл разбирать КИИ предметно.

Возникли трудности с категорированием КИИ?

Проведем категорирование за Вас

Выявим объекты КИИ, проведем категорирование, разработаем полный пакет документации и проконсультируем по взаимодействию с органами.

Заказать

О услуге