Президент РФ подписал два закона, предусматривающих смягчение ответственности IT-специалистов за нарушения правил эксплуатации объектов КИИ. При отсутствии негативных последствий от несоблюдения установленных правил нарушителю грозит только административная ответственность в виде штрафа.
Штрафы за нарушение правил эксплуатации объектов КИИ
С 20 апреля 2026 года начнет действовать новая ст. 13.12.2 КоАП РФ, закрепляющая административную ответственность за нарушение правил эксплуатации объектов критической информационной инфраструктуры (КИИ). К правонарушениям относятся:
-
Нарушение правил эксплуатации средств хранения, обработки или передачи информации, содержащейся в КИИ, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к КИИ.
-
Нарушение правил доступа к указанным выше информации, системам и сетям.
Отметим: речь идет об эксплуатации средств, функционирующих в сфере здравоохранения, науки, транспорта, связи, энергетики, госрегистрации прав на недвижимое имущество и сделок с ним, ТЭК, финансовой сфере и других социально и государственно значимых отраслях.
Что касается штрафов по ст. 13.12.2 КоАП РФ, то они следующие:
-
5-10 тысяч рублей для граждан;
-
10-50 тысяч рублей для должностных лиц;
-
100-500 тысяч рублей для компаний.
Новая статья будет применяться в том случае, если нарушения правил эксплуатации не повлекли последствий, описанных в ст. 274.1 УК РФ.
Неправомерное воздействие на КИИ
Поправки о КИИ вносятся и в Уголовный Кодекс РФ, а именно в ст. 274.1, закрепляющую уголовную ответственность за неправомерное воздействие на критическую информационную инфраструктуру.
-
Уточняется, что подразумевается под вредом, причиненным КИИ вследствие неправомерного доступа к охраняемой компьютерной информации. Вредом признается уничтожение, блокирование, модификация или копирование компьютерной информации, содержащейся в КИИ (ч. 2 ст. 274.1 УК РФ).
-
Наличие аналогичных последствий необходимо для привлечения к уголовной ответственности за нарушение правил эксплуатации объектов КИИ (ч. 3 ст. 274.1 УК РФ).
До поправок понятие «вред» в законе не раскрывалось, что снижало предсказуемость применения ст. 274.1 УК РФ.
Еще одно важнейшее нововведение: лицо, нарушившее правила эксплуатации КИИ, освобождается от уголовной ответственности, если оно оказывало активную помощь в раскрытии/ расследовании преступления, в том числе способствовало сохранению следов неправомерного воздействия на КИИ (если в его действиях отсутствуют признаки другого преступления). Ранее такого послабления не существовало, и IT-специалисту грозили суровые санкции вплоть до лишения свободы сроком до 6 лет с запретом занимать определенные должности/ заниматься конкретной деятельностью на срок до 3 лет.
По мнению депутата Госдумы Сергея Чижова, поправки помогут решить проблему нехватки IT-кадров в госструктурах. Сейчас специалисты не спешат устраиваться на работу в госорганы, опасаясь суровой ответственности за ошибки, допущенные в борьбе с хакерскими атаками.
Зампред Комитета по бюджету и налогам Каплан Панеш отметил: закрепление административной ответственности создаст механизм профилактики нарушений в сфере КИИ на ранних этапах, до наступления тяжелых последствий. Кроме того, дифференцированная ответственность будет способствовать укреплению внутреннего контроля и повышению уровня подготовки персонала на объектах КИИ.
Учитывая то, что объектом подавляющей части кибератак в России стал госсектор, повышенное внимание государства к данному вопросу вполне закономерно. Однако будет ли достигнут положительный эффект от вступления в силу указанных законопроектов, пока неизвестно.