Президент России Владимир Путин подписал федеральный закон, который существенно ужесточает контроль за безопасностью критической информационной инфраструктуры (КИИ). Документ вносит изменения в Уголовный кодекс и КоАП РФ, устанавливая персональную и корпоративную ответственность за неправомерный доступ к данным и нарушения при эксплуатации систем связи и управления.
Ключевые факты
- Уголовная ответственность (ст. 274.1 УК РФ): Теперь преступлением считается любой неправомерный доступ к информации в КИИ, повлекший её уничтожение, блокирование, модификацию или копирование.
- Условие освобождения: Лицо может избежать уголовного преследования, если активно способствовало раскрытию преступления и обеспечило сохранность «цифровых следов» воздействия на инфраструктуру.
- Административные штрафы: Введены новые санкции за нарушения правил эксплуатации, которые не повлекли тяжких последствий.
- Объекты контроля: Закон охватывает информационные системы, сети электросвязи, автоматизированные системы управления (АСУ) и средства хранения данных в КИИ.
Размеры штрафов по КоАП РФ
За нарушение правил эксплуатации КИИ (при отсутствии признаков уголовного преступления) установлены следующие взыскания:
- Для граждан (физических лиц): от 5 000 до 10 000 рублей.
- Для должностных лиц: от 10 000 до 50 000 рублей.
- Для юридических лиц (компаний): от 100 000 до 500 000 рублей.
Юридический смысл
Данные поправки закрывают правовой пробел в регулировании безопасности стратегически важных IT-объектов. Ранее ответственность наступала преимущественно за прямые кибератаки (вред вовне), теперь же фокус смещается на внутреннюю дисциплину эксплуатации. Фактически вводится стандарт «цифровой гигиены» для сотрудников и руководителей предприятий, входящих в реестр КИИ (энергетика, транспорт, связь, финансы).
Особого внимания заслуживает норма об освобождении от ответственности. Законодатель стимулирует технических специалистов не скрывать инциденты, а оперативно локализовать их последствия и сотрудничать со следствием. Это крайне важно для предотвращения масштабных техногенных аварий, которые могут стать следствием скрытого вмешательства в работу автоматизированных систем управления.
Что делать
- Субъектам КИИ: Провести внеплановый инструктаж технического персонала по правилам доступа к информации и протоколам реагирования на инциденты.
- Руководителям IT-департаментов: Разработать и утвердить регламент «сохранения следов» (логов, дампов памяти) при обнаружении несанкционированного воздействия, чтобы обеспечить возможность применения нормы об освобождении от ответственности.
- Юридическим службам: Актуализировать должностные инструкции сотрудников, работающих с критической инфраструктурой, добавив в них ссылки на новые составы ст. 274.1 УК РФ и соответствующие статьи КоАП.
- Владельцам систем: Убедиться, что все элементы КИИ (сети электросвязи, системы хранения) соответствуют актуальным требованиям безопасности, чтобы избежать административных штрафов до 500 тыс. рублей даже при отсутствии взлома.
Информация актуальна по состоянию на апрель 2026 года.