Если смотреть по требованиям 17 приказа ФСТЭК, согласно классу защищённости, кому-то нужна двухфакторная аутентификация, а кому-то нет. По 239 приказу тоже разные технические меры в соответствии с категорией

Я думаю что различаются

Все типы компьютерных инцидентов. Позиция НКЦКИ https://safe-surf.ru/specialists/article/5252/638030/

Посмотрите определение компьютерного инцидента в 187-ФЗ. Оно одно дли всех категорий КИИ.

При настройке правил корреляций это определение не поможет)

Или когда в Дашборд сыпится весь этот нескончаемый информационный поток, необходимо выявлять критические, или просто захлебнетесь

реагирование на КИ производится не по документам ФСТЭК, а по приказам ФСБ.

Уважаемые коллеги ИБ,  добрый день! Получили сегодня официальный ответ от ФСТЭКа касательно их позиции по поводу вида деятельности предприятия: Учитывая, что в Федеральном законе от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" не содержится сфера водоснабжения, вы не попадает под действие законодательства Российской Федерации о безопасности критической информационной инфраструктуры и выполнение каких-либо норм не требуется. | Так вот вопрос, на сколько это упрощает задачу?  Акт категорирования объекта во ФСТЭК подавать не требуется. Какие этапы тогда необходимо проходить? (Водоканал)

Конкретней?

Приказ ФСБ 282 например

Я не про реагирование на инцидент говорю

никаких, вы вообще не субъект КИИ и не обязаны выполнять 187-ФЗ

Это значит, что по данной сфере деятельности организации, она не может быть субъектом КИИ и выполнять 187-ФЗ не надо.
Кстати, война водоканал-субъект с водоканал-не субъект закончилась здесь давно, где было принято именно такое решение, как ответил регулятор.
Но к ГосСОПКА можете подключиться добровольно.

приказ 239." 13.5. Реагирование на компьютерные инциденты осуществляется в порядке, установленном в соответствии с пунктом 6 части 4 статьи 6 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации".
Для реагирования на компьютерные инциденты определяются работники, ответственные за выявление компьютерных инцидентов и реагирование на них, и определяются их функции."

Хорошо, но речь вообще не об этом

Благодарю за ответ! Но верно ли я понимаю что дополнительные виды деятельности в окаэдах так же надо рассматривать каждый в конкретном случае ? Или это уже другая история ?

рассматривать надо сферы функционирования ваших ИС/АСУ/ИТКС.

И их попадание в те самые сферы деятельности и от этого уже действовать ? Я Вас верно понял ?

да, именно так.

Формально, чтобы стать субъектом КИИ, организации надо иметь или арендовать хотя бы одну ИС/ИТС/АСУ, функционирующую в одной из 13 сфер, определенных 187-ФЗ. В этих сферах, действительно, нет чего-то прямо указывающего на водоканал. Но вдруг у организации есть что-то ещё?
Я бы для очистки совести рекомендовал бы провести инвентаризацию ИС/ИТС/АСУ и определить их сферы функционирования. Если ничего не попадает в 187-ФЗ, то спите спокойно.