Субъе́кты крити́ческой информацио́нной инфраструкту́ры (КИИ), государственные органы, государственные учреждения, российские юридические лица и/или индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности; российские юридические лица и/или индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей [п. 8 ст. 2 Федерального закона от 26 июля 2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (Закон № 187-ФЗ)].

Права и обязанности субъектов КИИ определены в ст. 9 Закона № 187-ФЗ.

Субъекты КИИ имеют право:

• получать от Федеральной службы по техническому и экспортному контролю информацию, необходимую для обеспечения безопасности принадлежащих им значимых объектов КИИ, в том числе об угрозах безопасности, обрабатываемой такими объектами информации, и уязвимости программного обеспечения, оборудования и технологий;

• в порядке, установленном приказом ФСБ России, получать от указанного органа информацию о средствах и способах проведения компьютерных атак, а также о методах их предупреждения и обнаружения и др.

Субъекты КИИ обязаны:

• незамедлительно информировать о компьютерных инцидентах ФСБ России, а также при осуществлении деятельности в банковской сфере – Центральный банк РФ;

• оказывать содействие должностным лицам ФСБ России в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов;

• соблюдать требования по обеспечению безопасности значимых объектов КИИ, установленные ФСТЭК и др.

Порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведённых в отношении значимых объектов КИИ РФ, утверждён приказом ФСБ России от 19 июня 2019 г. № 282.