Главная / Кибербезопасность и Digital Reputation

Субъекты КИИ и Реестр значимых объектов: обязанности и контроль

Кто относится к субъектам КИИ по 187-ФЗ. Порядок включения в Реестр значимых объектов критической информационной инфраструктуры. Обязанности по защите, импортозамещению и работе с ГосСОПКА. Ответственность за невнесение сведений.
Консультация юриста Примеры из практики

Многие организации до сих пор не осознают, что являются субъектами критической информационной инфраструктуры (КИИ), полагая, что этот статус относится только к атомным станциям или оборонным заводам. Однако определение в законе 187-ФЗ гораздо шире. Частная клиника, банк, транспортная компания или городской водоканал — все они являются субъектами КИИ. Попадание в этот периметр влечет за собой обязанность внесения сведений в Реестр значимых объектов КИИ, который ведет ФСТЭК России. Отсутствие в реестре при наличии оснований — это прямое нарушение закона.

Статус «Субъект КИИ» возникает автоматически при наличии информационных систем в одной из 13 сфер деятельности, указанных в ст. 2 187-ФЗ. Специальной регистрации самого субъекта не требуется. Однако субъект обязан выявить свои «Значимые объекты» (ЗОКИИ) и передать данные о них для включения в закрытый государственный Реестр. Нахождение в реестре накладывает жесткие требования по обеспечению безопасности, использованию отечественного ПО и взаимодействию с ГосСОПКА.

Кто попадает в перечень субъектов?

Спектр отраслей, подпадающих под регулирование, очень широк.
Ключевые сферы, где часто возникают вопросы о принадлежности к КИИ:

  • Здравоохранение. Любая клиника с МИС (медицинской инфосистемой) и диагностическим оборудованием.
  • Транспорт. Перевозчики, логистические центры, системы бронирования билетов.
  • Связь. Операторы связи, провайдеры, центры обработки данных (если они обслуживают КИИ).
  • Металлургия и Химия. Предприятия с АСУ ТП (станками с ЧПУ, конвейерами под управлением ПО).
  • Финансы. Банки и другие финансовые организации, влияющие на устойчивость системы.

Реестр значимых объектов КИИ (ЗОКИИ)

После проведения категорирования, если объекту присвоена 1, 2 или 3 категория значимости, он включается в Реестр.
Что это означает для бизнеса?

  1. Государственный контроль. ФСТЭК проводит плановые и внеплановые проверки выполнения требований по защите ЗОКИИ.
  2. Требования к защите. Необходимо внедрить подсистему безопасности согласно Приказу ФСТЭК № 239. Это включает межсетевое экранирование, антивирусную защиту, обнаружение вторжений и др.
  3. Импортозамещение. Согласно Указу Президента РФ № 166, с 1 января 2026 года органам власти и заказчикам по 223-ФЗ запрещено использовать иностранное ПО на значимых объектах КИИ.
  4. Подключение к ГосСОПКА. Обязательная передача данных об инцидентах в НКЦКИ.

Как внести изменения или исключить объект?

Реестр — это живой организм. Если вы модернизировали систему, изменили архитектуру или вывели объект из эксплуатации, вы обязаны уведомить ФСТЭК.
Мы помогаем:

  • Подготовить уведомление об изменении сведений в Реестре.
  • Провести перекатегорирование при изменении условий функционирования.
  • Обосновать вывод объекта из эксплуатации и исключение его из Реестра (например, при переходе на аутсорсинг или закрытии филиала).

Аутсорсинг и ответственность

Часто компании передают IT-инфраструктуру на аутсорсинг. Важно понимать: передача функций администрирования не снимает с владельца системы ответственности субъекта КИИ. Договор с интегратором или сервис-провайдером должен четко разграничивать зоны ответственности и содержать требования по соблюдению законодательства о КИИ. Мы разрабатываем такие договоры, защищая интересы владельца объекта.

Понимание своего статуса и присутствие в реестре (или обоснованное отсутствие в нем) — залог спокойной работы. Мы проводим диагностику бизнеса на предмет принадлежности к КИИ и сопровождаем процесс взаимодействия с реестром.

VFS Consulting Юридические решения нового поколения
Субъекты КИИ и Реестр значимых объектов: обязанности и контроль
+7 (495) 266-06-93
  • Юридическая помощь в решении проблемных ситуаций
  • Консультации юриста онлайн проводятся Пн-Пт, с 10:00 до 18:00 часов

    Получить консультацию

    Другие услуги в направлении кибербезопасность и digital reputation

    Защита от черного пиара: правовые методы борьбы с инфоатаками
    Защита прав на программное обеспечение: комплексный аудит и барьеры
    Розыск цифровых активов: возврат криптовалюты и токенов
    Возврат денег от интернет-мошенников: юридические алгоритмы
    Консалтинг по защите данных стоимость аудита и документов
    Ответственность за разглашение персональных данных: риски для бизнеса
    Приказы ФСТЭК по КИИ: обзор нормативной базы 2026

    Кейсы из практики

    cs

    Структурирование сделки M-and-A для IT стартапа

    На сопровождение поступил проект по продаже доли в SaaS-сервисе профильному стратегическому инвестору. Сложность заключалась в том, что активы (код, базы данных, домены) были распределены между несколькими ИП и ООО на УСН, что создавало риски при проведении Due Diligence. В рамках комплексного сопровождения мы консолидировали интеллектуальную собственность на головной компании (IP Holding), разработали корпоративный договор (SHA) для защиты миноритариев и согласовали условия вестинга для основателей, остающихся в проекте.

    Результат

    Сделка закрыта успешно, оценка компании не снизилась после юридического аудита.

    cs

    Защита от утечки базы данных клиентов

    В рамках сопровождения IT-компании мы столкнулись с инцидентом: уволенный менеджер продаж пытался увести клиентскую базу конкурентам. Благодаря тому, что ранее мы внедрили на предприятии режим коммерческой тайны (NDA) и регламентировали доступ к CRM, у нас была доказательная база. Мы оперативно зафиксировали факт неправомерного доступа, подготовили заявление в полицию и досудебную претензию бывшему сотруднику и его новому работодателю о нарушении законодательства о защите конкуренции.

    Результат

    База данных удалена конкурентом добровольно, получен запрет на использование контактов.

    Часто задаваемые вопросы

    Ответы на вопросы о государственном учете критических систем.

    Является ли реестр ЗОКИИ публичным?
    Нет, сведения из Реестра значимых объектов КИИ являются информацией ограниченного доступа (конфиденциальной или даже секретной). Доступ к нему имеют только сотрудники ФСТЭК и уполномоченные органы. Выписку может получить только сам субъект в отношении своих объектов.
    Обязательно ли иметь лицензию ФСТЭК, чтобы быть субъектом КИИ?
    Нет, сам статус субъекта КИИ не требует лицензии. Однако работы по технической защите информации (ТЗИ) на объектах КИИ должны выполняться либо лицензиатом ФСТЭК (подрядчиком), либо собственным подразделением, если деятельность по ТЗИ осуществляется только для собственных нужд (хотя наличие лицензии приветствуется).
    Что делать, если мы арендуем серверы в облаке (SaaS/IaaS)?
    Если информационная система принадлежит вам (или вы обладаете правами на ее эксплуатацию), вы остаетесь субъектом КИИ, даже если «железо» арендовано. Вы обязаны обеспечить категорирование и защиту, прописав соответствующие требования в договоре с облачным провайдером (включая право на аудит и доступ к средствам защиты).

    Консультация юриста

    Заполните форму, и наш эксперт свяжется с вами для бесплатной консультации





      Нажимая кнопку, вы соглашаетесь с политикой конфиденциальности