В России будут штрафовать до 500 тыс. руб. за нарушения безопасности КИИ

Пять новых штрафов

В Госдуму внесен новый законопроект, предусматривающий крупные штрафы за те или иные нарушения требований в сфере безопасности критических информационных инфраструктур (КИИ). Документ от 2 ноября 2020 г. за авторством Правительства России ориентирован на компании и должностных лиц.

Законопроект получил название «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части установления административной ответственности за нарушение законодательства в области обеспечения безопасности КИИ России», и максимальный размер штрафа, предусмотренный им, составляет 500 тыс. руб.

В пояснительной записке к законопроекту сказано, что при расчете размеры штрафов во внимание брался размер средней зарплаты глав структурных подразделений по обеспечению информационной безопасности (ИБ) в России. Он варьируется от 80 до 100 тыс. руб., и эта сумма, говорится в записке, была получена «по результатам анализа вакансий, представленных на сайте HeadHunter». Также при расчете учитывалась и «стоимость возможных затрат субъектов КИИ на устранение последствий компьютерных атак».

Законопроектом предусмотрено пять видов нарушений, связанных с безопасностью КИИ. Для юридических и должностных лиц вводятся различные размеры наказаний, колеблющиеся от 20 тыс. руб. до 500 тыс. руб.

Вместе с штрафами в документе прописан срок давности привлечения к административной ответственности за эти нарушения – он составляет ровно один год. «Необходимость установления такого срока связана с тем, что в соответствии с п. 2 ч. 3 ст. 13 Федерального закона № 187-ФЗ возникновение компьютерного инцидента, повлекшего негативные последствия, на значимом объекте критической информационной инфраструктуры является основанием для проведения внеплановой проверки в целях осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры», – сказано в пояснительной записке.

«Невыполнение требований законодательства о безопасности критической информационной инфраструктуры может привести к нарушению штатного функционирования значимых объектов критической информационной инфраструктуры, создавая реальную угрозу жизни и здоровью граждан, приводить к дестабилизации финансовой системы страны, создавать предпосылки для нарушения безопасности государства», – указано в пояснительной записке к законопроекту.

Законопроект российского Правительства в случае его принятия будет вступать в силу постепенно. Так, статья о непредоставлении сведений, предусмотренных законодательством в области обеспечения безопасности КИИ, начнет действовать 1 сентября 2021 г., тогда как все остальные – спустя 10 дней с момента публикации принятого закона.

Штрафы за нарушения безопасности КИИ

Источник: Правительство России

Рассмотрением дел о нарушении новых статей КоАП, предложенных в законопроекте займутся две госструктуры – Федеральная служба безопасности (ФСБ) и Федеральная служба по техническому и экспортному контролю (ФСТЭК).

«Субъекты КИИ», упомянутые как в тексте самого законопроекта, так и в пояснительной записке к нему, это в первую очередь госорганы и госучреждения, а также отечественные юрлица и (или) индивидуальные предприниматели, владеющие или арендующие те или иные информационные системы, задействованные в сферах здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Под «объектами КИИ» подразумеваются непосредственно сами критически важные сети и информационные системы субъектов КИИ.