Категорирование: организация до издания Перечня типовых отраслевых объектов КИИ не относила себя к субъектам КИИ, но в Перечне есть вид деятельности, совпадающий с их основным. Какие процедуры нужно выполнить?

Ответ: если деятельность организации подпадает под виды деятельности, указанные в Перечне типовых отраслевых объектов критической информационной инфраструктуры (далее – КИИ), утвержденном распоряжением Правительства РФ от 26.02.2026 № 360-р (далее – Перечень типовых объектов КИИ), и соответствует критериям отнесения организации к субъектам КИИ, то с момента вступления соответствующих изменений в силу организация обязана выполнять требования законодательства в области обеспечения безопасности КИИ.
При этом ранее не проведенные процедуры (в том числе выявление объектов КИИ и их категорирование) само по себе не является нарушением, если на тот момент организация обоснованно не являлась субъектом КИИ.
В текущей ситуации организации необходимо:

• соотнести выполняемые виды деятельности со сферами, приведенными в п. 8 ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;
• провести анализ своей деятельности и инфраструктуры на предмет наличия объектов КИИ;
• выполнить процедуру выявления объектов КИИ в соответствии с Перечнем типовых объектов КИИ;
• при наличии объектов КИИ – инициировать их категорирование в установленном порядке;
• организовать выполнение требований по обеспечению безопасности объектов КИИ в соответствии с действующим законодательством.

В части ответственности, ключевое значение имеет не сам факт отсутствия ранее выполненных процедур, а действия организации после возникновения обязанности их выполнять. При условии своевременного начала работ и отсутствия факта уклонения от выполнения требований риск привлечения к ответственности минимален.