Нормативная основа направления уведомлений
Обязанность направления уведомлений в ФСТЭК России установлена:
-
Федеральным законом от 26.07.2017 № 187-ФЗ
«О безопасности критической информационной инфраструктуры Российской Федерации»; -
Правилами категорирования объектов КИИ, утверждёнными Постановлением Правительства РФ от 08.02.2018 № 127;
-
подзаконными актами ФСТЭК, устанавливающими формы и порядок представления сведений.
Уведомление направляется только при наступлении установленных юридических фактов.
Завершение категорирования объекта КИИ
Субъект КИИ обязан направить уведомление в ФСТЭК:
-
после завершения категорирования объекта КИИ;
-
при присвоении объекту категории значимости (I, II или III);
-
при признании объекта КИИ незначимым.
Уведомление содержит сведения о результатах категорирования, а не полный комплект внутренних документов.
Изменение категории значимости объекта КИИ
Обязанность направления уведомления возникает, если:
-
категория значимости объекта КИИ изменена;
-
объект ранее был незначимым и признан значимым;
-
значимый объект по результатам пересмотра признан незначимым.
Любое изменение статуса объекта КИИ подлежит отражению в уведомлении.
Повторное или внеплановое категорирование
Уведомление направляется, если проведено:
-
повторное категорирование;
-
внеплановый пересмотр категории;
-
актуализация, повлёкшая изменение результатов категорирования.
Если актуализация не привела к изменению категории, обязанность уведомления возникает только в случаях, прямо предусмотренных нормативными актами или по требованию регулятора.
Включение нового объекта в контур КИИ
Субъект КИИ обязан уведомить ФСТЭК, если:
-
выявлен новый объект КИИ;
-
объект включён в перечень и прошёл категорирование;
-
по объекту определён статус значимости или незначимости.
Сам факт появления новой системы ещё не является основанием для уведомления — основанием является результат её категорирования.
Исполнение требований и предписаний регулятора
Уведомления направляются:
-
в рамках исполнения предписаний ФСТЭК;
-
при устранении выявленных нарушений;
-
при предоставлении запрошенных сведений в установленный срок.
В этих случаях уведомление является формой отчётности о выполнении требований регулятора.
Иные случаи, прямо предусмотренные законом
Обязанность уведомления возникает также в случаях:
-
прямо указанных в нормативных правовых актах;
-
установленных в официальных требованиях ФСТЭК;
-
закреплённых в предписаниях по результатам проверок.
Расширительное толкование этих оснований не допускается.
Когда уведомления направлять не требуется
Субъект КИИ не обязан направлять уведомления:
-
о наличии перечня объектов КИИ;
-
о внутренних организационных изменениях без влияния на категорирование;
-
о технических изменениях, не повлиявших на статус объекта;
-
при отсутствии изменения категории значимости.
Однако эти обстоятельства должны быть документально подтверждены внутри организации.
Типовые ошибки субъектов КИИ
На практике часто допускаются:
-
несвоевременное направление уведомлений о результатах категорирования;
-
направление неполных или противоречивых сведений;
-
отсутствие фиксации факта направления уведомления;
-
направление уведомлений без наступления юридических оснований.
Все эти ошибки повышают регуляторные риски и усложняют взаимодействие с ФСТЭК.
Ключевой вывод
Субъект КИИ обязан направлять уведомления в ФСТЭК России в случаях, когда:
-
завершено категорирование объекта КИИ;
-
изменена категория значимости;
-
проведено повторное или внеплановое категорирование с изменением статуса;
-
выявлен и категорирован новый объект КИИ;
-
исполняются требования или предписания регулятора.
Основной принцип:
уведомление направляется не «о событиях», а о юридически значимых результатах, прямо предусмотренных законодательством о КИИ.
