«У нас нет объектов КИИ»
Обычно за ней стоит убеждение, что КИИ — это только про системы, управляющие технологическими процессами.
На практике это не так. К объектам КИИ относятся любые информационные системы и АСУ, которые обеспечивают выполнение критически важных процессов. И в современной компании почти всегда такие системы есть.
Проблема в том, что вы не защищаете то, что даже не признали объектом КИИ.