- Главная
- Федеральный закон от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (с изменениями и дополнениями)
- Статья 9. Права и обязанности субъектов критической информационной инфраструктуры, а также иных органов и организаций в сфере обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации
Статья 9. Права и обязанности субъектов критической информационной инфраструктуры, а также иных органов и организаций в сфере обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации
Информация об изменениях:
Наименование изменено с 1 сентября 2025 г. - Федеральный закон от 7 апреля 2025 г. N 58-ФЗ
Статья 9. Права и обязанности субъектов критической информационной инфраструктуры, а также иных органов и организаций в сфере обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации
ГАРАНТ:
См. комментарии к статье 9 настоящего Федерального закона
1. Субъекты критической информационной инфраструктуры имеют право:
1) получать от федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, информацию, необходимую для обеспечения безопасности значимых объектов критической информационной инфраструктуры, принадлежащих им на праве собственности, аренды или ином законном основании, в том числе об угрозах безопасности обрабатываемой такими объектами информации и уязвимости программного обеспечения, оборудования и технологий, используемых на таких объектах;
2) в порядке, установленном федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, получать от указанного органа информацию о средствах и способах проведения компьютерных атак, а также о методах их предупреждения и обнаружения;
3) при наличии согласия федерального органа исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, за свой счет приобретать, арендовать, устанавливать и обслуживать средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты;
4) разрабатывать и осуществлять мероприятия по обеспечению безопасности значимого объекта критической информационной инфраструктуры.
2. Субъекты критической информационной инфраструктуры обязаны:
Информация об изменениях:
Пункт 1 изменен с 1 сентября 2025 г. - Федеральный закон от 7 апреля 2025 г. N 58-ФЗ
1) незамедлительно информировать о компьютерных атаках и компьютерных инцидентах федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, а также Центральный банк Российской Федерации (в случае, если субъект критической информационной инфраструктуры осуществляет деятельность в банковской сфере и в иных сферах финансового рынка) в установленном указанным федеральным органом исполнительной власти порядке (в банковской сфере и в иных сферах финансового рынка указанный порядок устанавливается по согласованию с Центральным банком Российской Федерации);
2) оказывать содействие должностным лицам федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов;
Информация об изменениях:
Пункт 3 изменен с 1 сентября 2025 г. - Федеральный закон от 7 апреля 2025 г. N 58-ФЗ
3) в случае установки на объектах критической информационной инфраструктуры средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, в том числе средств, предназначенных для поиска признаков компьютерных атак, обеспечивать выполнение порядка, технических условий установки и эксплуатации таких средств, их сохранность.
3. Субъекты критической информационной инфраструктуры, которым на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, наряду с выполнением обязанностей, предусмотренных частью 2 настоящей статьи, также обязаны:
1) соблюдать требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленные федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации;
2) выполнять предписания должностных лиц федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, об устранении нарушений в части соблюдения требований по обеспечению безопасности значимого объекта критической информационной инфраструктуры, выданные этими лицами в соответствии со своей компетенцией;
3) реагировать на компьютерные инциденты в порядке, утвержденном федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, принимать меры по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры;
4) обеспечивать беспрепятственный доступ должностным лицам федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, к значимым объектам критической информационной инфраструктуры при реализации этими лицами полномочий, предусмотренных статьей 13 настоящего Федерального закона;
Информация об изменениях:
Часть 3 дополнена пунктом 5 с 1 сентября 2025 г. - Федеральный закон от 7 апреля 2025 г. N 58-ФЗ
ГАРАНТ:
Правительство России вправе установить на период до 2030 г. особенности применения пункта 5 на территориях субъектов РФ, названных в Указе Президента России от 19 октября 2022 г. N 757 "О мерах, осуществляемых в субъектах Российской Федерации в связи с Указом Президента Российской Федерации от 19 октября 2022 г. N 756"
Исполнение обязанностей, установленных пунктом 5 осуществляется с учетом положений пункта 7 части 2 статьи 6 настоящего Федерального закона
5) использовать на значимых объектах критической информационной инфраструктуры программное обеспечение:
а) сведения о котором включены в единый реестр российских программ для электронных вычислительных машин и баз данных, предусмотренный статьей 12.1 Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации";
б) которое используется в соответствующих требованиям о защите информации, установленным частью 5 статьи 16 Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации", государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений;
Информация об изменениях:
Часть 3 дополнена пунктом 6 с 1 сентября 2025 г. - Федеральный закон от 7 апреля 2025 г. N 58-ФЗ
ГАРАНТ:
Правительство России вправе установить на период до 2030 г. особенности применения пункта 6 на территориях субъектов РФ, названных в Указе Президента России от 19 октября 2022 г. N 757 "О мерах, осуществляемых в субъектах Российской Федерации в связи с Указом Президента Российской Федерации от 19 октября 2022 г. N 756"
Исполнение обязанностей, установленных пунктом 6 осуществляется с учетом положений пункта 7 части 2 статьи 6 настоящего Федерального закона
6) соблюдать указанные в пункте 6 части 2 статьи 6 настоящего Федерального закона требования к используемым на значимых объектах критической информационной инфраструктуры программно-аппаратным средствам;
Информация об изменениях:
Часть 3 дополнена пунктом 7 с 1 сентября 2025 г. - Федеральный закон от 7 апреля 2025 г. N 58-ФЗ
7) осуществлять непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации в порядке, установленном федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
Информация об изменениях:
Статья 9 дополнена частью 4 с 1 сентября 2025 г. - Федеральный закон от 7 апреля 2025 г. N 58-ФЗ
4. Обязанности, предусмотренные частью 2 и пунктом 7 части 3 настоящей статьи, распространяются также на руководителей государственных органов (за исключением органов федеральной службы безопасности, органов внешней разведки Российской Федерации, органов государственной охраны, федерального органа обеспечения мобилизационной подготовки органов государственной власти Российской Федерации, федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации), государственных унитарных предприятий, государственных учреждений, государственных фондов, государственных корпораций (компаний), иных российских юридических лиц, которые, если иное не предусмотрено международным договором Российской Федерации, находятся под контролем Российской Федерации, и (или) субъекта Российской Федерации, и (или) контролируемых ими совместно или по отдельности лиц, в части информационных ресурсов Российской Федерации, принадлежащих таким органам и юридическим лицам на праве собственности, аренды или ином законном основании. При этом под контролем понимается возможность определять решения, принимаемые юридическим лицом, в силу наличия права прямо или косвенно распоряжаться более чем пятьюдесятью процентами общего количества голосов, приходящихся на голосующие акции (доли), составляющие уставный капитал данного юридического лица.
Информация об изменениях:
Статья 9 дополнена частью 5 с 1 сентября 2025 г. - Федеральный закон от 7 апреля 2025 г. N 58-ФЗ
5. Порядок и технические условия установки и эксплуатации в указанных в части 4 настоящей статьи информационных ресурсах средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, в том числе средств, предназначенных для поиска признаков компьютерных атак, устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
Информация об изменениях:
Статья 9 дополнена частью 6 с 1 сентября 2025 г. - Федеральный закон от 7 апреля 2025 г. N 58-ФЗ
6. Порядок информирования руководителями, указанными в части 4 настоящей статьи, федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, о компьютерных атаках и компьютерных инцидентах, связанных с функционированием информационных ресурсов, устанавливается указанным федеральным органом исполнительной власти.
Открыть документ в системе ГАРАНТ