11 июня 2021
Введение штрафов за нарушения в области безопасности критической информационной инфраструктуры
Федеральным законом от 26.05.2021 № 141-ФЗ принято решение о внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части установления ответственности для субъектов критической информационной инфраструктуры (далее – КИИ).
Речь идёт о введении штрафов за нарушение требований в области обеспечения безопасности КИИ и непредставление сведений, предусмотренных законодательством в области обеспечения безопасности КИИ.
Ранее нарушение данных требований не приводило к административной ответственности, в связи с чем обеспечение безопасности КИИ, как показывает практика, могло не осуществляться вовсе или осуществляться не в полной мере, особенно если речь идет о коммерческих организациях, для которых даже срок утверждения перечня объектов КИИ, подлежащих категорированию, имел рекомендательный характер.
Речь идёт о введении штрафов за нарушение требований в области обеспечения безопасности КИИ и непредставление сведений, предусмотренных законодательством в области обеспечения безопасности КИИ.
Ранее нарушение данных требований не приводило к административной ответственности, в связи с чем обеспечение безопасности КИИ, как показывает практика, могло не осуществляться вовсе или осуществляться не в полной мере, особенно если речь идет о коммерческих организациях, для которых даже срок утверждения перечня объектов КИИ, подлежащих категорированию, имел рекомендательный характер.
Размер штрафов
Ниже перечислены нарушения и соответствующие им штрафы:
1. Нарушение требований к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования, либо требований по обеспечению их безопасности, если такие действия (бездействие) не содержат признаков уголовно наказуемого деяния:
2. Нарушение порядка информирования о компьютерных инцидентах, реагирования на них и принятия мер по ликвидации последствий компьютерных атак в отношении значимых объектов КИИ:
3. Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ, между субъектами КИИ и органами/организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты:
4. Непредставление или нарушение сроков представления в ФСТЭК сведений о результатах присвоения объекту КИИ одной из категорий значимости, либо об отсутствии необходимости присвоения ему одной из таких категорий:
5. Непредставление или нарушение порядка либо сроков представления сведений в ГосСОПКА:
Ниже перечислены нарушения и соответствующие им штрафы:
1. Нарушение требований к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования, либо требований по обеспечению их безопасности, если такие действия (бездействие) не содержат признаков уголовно наказуемого деяния:
- для должностных лиц: 10-50 тыс. руб.
- для юридических лиц: 50-100 тыс. руб.
2. Нарушение порядка информирования о компьютерных инцидентах, реагирования на них и принятия мер по ликвидации последствий компьютерных атак в отношении значимых объектов КИИ:
- для должностных лиц: 10-50 тыс. руб.
- для юридических лиц: 100-500 тыс. руб.
3. Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ, между субъектами КИИ и органами/организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты:
- для должностных лиц: 20-50 тыс. руб.
- для юридических лиц: 100-500 тыс. руб.
4. Непредставление или нарушение сроков представления в ФСТЭК сведений о результатах присвоения объекту КИИ одной из категорий значимости, либо об отсутствии необходимости присвоения ему одной из таких категорий:
- для должностных лиц: 10-50 тыс. руб.
- для юридических лиц: 50-100 тыс. руб.
5. Непредставление или нарушение порядка либо сроков представления сведений в ГосСОПКА:
- для должностных лиц: 10-50 тыс. руб.
- для юридических лиц: 100-500 тыс. руб.
Если первые два пункта затрагивают только владельцев значимых объектов КИИ, то оставшиеся нарушения приведут к штрафам для любых субъектов КИИ. Санкции могут быть применены, например, к субъектам КИИ, не владеющим значимыми объектами КИИ, в случае непредставления сведений о результатах категорирования в ФСТЭК или представления их с опозданием.
Рассматриваемый ФЗ уже принят, штрафы, предусмотренные пунктами 4-5 уже вступили в силу, а предусмотренные пунктом 1 будут действовать с 1 сентября 2021 года.
Рассматриваемый ФЗ уже принят, штрафы, предусмотренные пунктами 4-5 уже вступили в силу, а предусмотренные пунктом 1 будут действовать с 1 сентября 2021 года.
Максимальный размер штрафа
Размер штрафа за нарушения для юридических лиц начинается от 50 тыс. руб. и может достигать отметки более чем в 1 млн. руб. в случае нарушения нескольких требований одновременно, что является довольно существенной санкцией с учетом того, что ранее в КоАП РФ не было специальной нормы о наказании за данные нарушения.
Напомним, что в отношении КИИ также предусмотрена уголовная ответственность за несоблюдение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в КИИ. Данная ответственность наступает, если нарушение причинило вред КИИ или обрабатываемой в КИИ информации.
Вступление в силу рассматриваемого ФЗ является очередным «звоночком» для субъектов КИИ о необходимости приступить к решению вопросов обеспечения безопасности КИИ. Данный факт, а также стремительно приближающаяся дата (II полугодие 2021 года, по заявлениям представителей ФСТЭК) начала проведения регулятором проверочных мероприятий ясно дают понять, что к завершению работ по обеспечению безопасности КИИ субъектам нужно приступать в самое ближайшее время.
Размер штрафа за нарушения для юридических лиц начинается от 50 тыс. руб. и может достигать отметки более чем в 1 млн. руб. в случае нарушения нескольких требований одновременно, что является довольно существенной санкцией с учетом того, что ранее в КоАП РФ не было специальной нормы о наказании за данные нарушения.
Напомним, что в отношении КИИ также предусмотрена уголовная ответственность за несоблюдение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в КИИ. Данная ответственность наступает, если нарушение причинило вред КИИ или обрабатываемой в КИИ информации.
Вступление в силу рассматриваемого ФЗ является очередным «звоночком» для субъектов КИИ о необходимости приступить к решению вопросов обеспечения безопасности КИИ. Данный факт, а также стремительно приближающаяся дата (II полугодие 2021 года, по заявлениям представителей ФСТЭК) начала проведения регулятором проверочных мероприятий ясно дают понять, что к завершению работ по обеспечению безопасности КИИ субъектам нужно приступать в самое ближайшее время.
Другие публикации по теме