Спецпроекты

В России будут штрафовать до 500 тыс. руб. за нарушения безопасности КИИ

Безопасность Госрегулирование Бизнес Законодательство Техника

Российское Правительство предложило законопроект с поправками к КоАП, добавляющими в него пять новых наказаний за нарушения в сфере безопасности критических информационных структур. Если документ будет принят, нарушителям придется платить от 20 до 500 тыс. руб. за каждый случай. Срок давности в данном случае составляет один год.

Пять новых штрафов

В Госдуму внесен новый законопроект, предусматривающий крупные штрафы за те или иные нарушения требований в сфере безопасности критических информационных инфраструктур (КИИ). Документ от 2 ноября 2020 г. за авторством Правительства России ориентирован на компании и должностных лиц.

Законопроект получил название «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части установления административной ответственности за нарушение законодательства в области обеспечения безопасности КИИ России», и максимальный размер штрафа, предусмотренный им, составляет 500 тыс. руб.

В пояснительной записке к законопроекту сказано, что при расчете размеры штрафов во внимание брался размер средней зарплаты глав структурных подразделений по обеспечению информационной безопасности (ИБ) в России. Он варьируется от 80 до 100 тыс. руб., и эта сумма, говорится в записке, была получена «по результатам анализа вакансий, представленных на сайте HeadHunter». Также при расчете учитывалась и «стоимость возможных затрат субъектов КИИ на устранение последствий компьютерных атак».

Преступления и наказания

Законопроектом предусмотрено пять видов нарушений, связанных с безопасностью КИИ. Для юридических и должностных лиц вводятся различные размеры наказаний, колеблющиеся от 20 тыс. руб. до 500 тыс. руб.

prav600.jpg
Власти попробуют обезопасить КИИ угрозой крупных штрафов

Вместе с штрафами в документе прописан срок давности привлечения к административной ответственности за эти нарушения – он составляет ровно один год. «Необходимость установления такого срока связана с тем, что в соответствии с п. 2 ч. 3 ст. 13 Федерального закона № 187-ФЗ возникновение компьютерного инцидента, повлекшего негативные последствия, на значимом объекте критической информационной инфраструктуры является основанием для проведения внеплановой проверки в целях осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры», – сказано в пояснительной записке.

«Невыполнение требований законодательства о безопасности критической информационной инфраструктуры может привести к нарушению штатного функционирования значимых объектов критической информационной инфраструктуры, создавая реальную угрозу жизни и здоровью граждан, приводить к дестабилизации финансовой системы страны, создавать предпосылки для нарушения безопасности государства», – указано в пояснительной записке к законопроекту.

Сроки вступления в силу

Законопроект российского Правительства в случае его принятия будет вступать в силу постепенно. Так, статья о непредоставлении сведений, предусмотренных законодательством в области обеспечения безопасности КИИ, начнет действовать 1 сентября 2021 г., тогда как все остальные – спустя 10 дней с момента публикации принятого закона.

Штрафы за нарушения безопасности КИИ

№ п/п Вид нарушения Штраф для должностных лиц, руб. Штраф для юридических лиц, руб.
1 Нарушение требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры России и обеспечению их функционирования либо требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры РОссии, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами России, если такие действия (бездействие) не содержат уголовно наказуемого деяния от 10 тыс. до 50 тыс. от 50 тыс. до 100 тыс.
2 Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры России, установленного федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами России от 10 тыс. до 50 тыс. от 100 тыс. до 500 тыс.
3 Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры России, между субъектами критической информационной инфраструктуры России и уполномоченными органами иностранных государств, международными организациями, международными неправительственными и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты от 20 тыс. до 50 тыс. от 100 тыс. до 500 тыс.
4 Непредставление или нарушение сроков представления в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры России, сведений о результатах присвоения объекту критической информационной инфраструктуры России одной из категорий значимости, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры России, либо об отсутствии необходимости присвоения ему одной из таких категорий от 10 тыс. до 50 тыс. от 50 тыс. до 100 тыс.
5 Непредставление или нарушение порядка либо сроков представления в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы России информации, предусмотренной законодательством в области обеспечения безопасности критической информационной инфраструктуры России, за исключением случаев, предусмотренных частью 2 статьи 13,121 настоящего Кодекса от 10 тыс. до 50 тыс. от 100 тыс. до 500 тыс.

Источник: Правительство России

Рассмотрением дел о нарушении новых статей КоАП, предложенных в законопроекте займутся две госструктуры – Федеральная служба безопасности (ФСБ) и Федеральная служба по техническому и экспортному контролю (ФСТЭК).

Объекты и субъекты

«Субъекты КИИ», упомянутые как в тексте самого законопроекта, так и в пояснительной записке к нему, это в первую очередь госорганы и госучреждения, а также отечественные юрлица и (или) индивидуальные предприниматели, владеющие или арендующие те или иные информационные системы, задействованные в сферах здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Под «объектами КИИ» подразумеваются непосредственно сами критически важные сети и информационные системы субъектов КИИ.