В целом закон о КИИ полноценно пока так и не заработал, констатируют участники рынка. «Это связано с тем, что нет четких сроков по завершению процессов категорирования. Многие организации оттягивают этот процесс и, следовательно, не занимаются обеспечением безопасности»,— поясняет Алексей Лукацкий. По его словам, ФСТЭК уже инициировала внесение изменений, согласно которым завершить категорирование объектов КИИ нужно будет к 1 июня 2019 года. Кроме того, речь может идти и о введении административной ответственности за неправильное категорирование, указывает господин Лукацкий. «Сейчас организации сами должны определять, к какой категории относятся. Разумеется, они часто либо занижают категорию, либо вообще говорят, что значимых объектов нет»,— говорит он. «Практика категорирования довольно размыта, и многие организации делают вид, что их объекты не являются КИИ, чтобы сэкономить»,— подтверждает собеседник в компании—производителе средств защиты информации.
В Кодексе об административных правонарушениях уже есть ст. 13.12 «Нарушение правил защиты информации», но ФСТЭК считает, что она не работает для КИИ и хочет аналогичные нормы для критической инфраструктуры. Ведомство уже инициировало внесение поправок, согласно которым завершить категорирование объектов КИИ нужно будет к 1 июня 2019 года.