Новые штрафы для КИИ

Президент Российской Федерации Владимир Путин подписал закон о введении штрафов за нарушения требований к безопасности критической информационной инфраструктуре. Размер штрафов составляет до 500 тыс. руб. за каждый случай нарушения.

Помимо административной ответственности действует и уголовная ответственность за неправомерное воздействие на объектах КИИ со сроком лишения свободы до 6 лет.

Закон дополняет КоАП статьями 13.12.1 за нарушение требований в области обеспечения безопасности критической информационной инфраструктуры (КИИ) и 19.7.15 за непредставление сведений, предусмотренных законодательством в области обеспечения безопасности КИИ.

Новые статьи вводят штрафы за нарушение требований к обеспечению безопасности значимых объектов КИИ, если оно не содержит признаков уголовно наказуемого деяния (т.е. если оно не повлекло причинение вреда КИИ), нарушения порядка обмена информацией о компьютерных инцидентах и порядка реагирования на компьютерные инциденты, проведенные в отношении значимых объектов КИИ, не предоставление своевременно во ФСТЭК России данных о категорировании объектов КИИ (или отсутствии необходимости категорирования), а также за нарушения порядка или сроков информирования ГосСОПКА о компьютерных инцидентах.

Для значимых объектов КИИ информация о компьютерных инцидентах должна предоставляться не позднее чем через 3 часа после выявления инцидента, а для незначимых объектов – не позднее чем через 24 часа после обнаружения.

Максимальный размер штрафа для юридических лиц составит 500 тыс. рублей и будет действовать при нарушении порядка или сроков информирования ГосСОПКА о компьютерных инцидентах и нарушении порядка обмена информацией о компьютерных инцидентах и порядка реагирования на компьютерные инциденты, проведенные в отношении значимых объектов КИИ.

Новые статьи вступят в силу через 10 дней после публикации, за исключением части 1 ст. 13.12.1, устанавливающей ответственность за нарушение требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры, которая вступит в силу с 1 сентября 2021 года.

Напомним, что помимо административной ответственности действует и уголовная ответственность за неправомерное воздействие на КИИ. В частности, за создание, распространение и использование компьютерных вирусов на КИИ, неправомерный доступ к защищаемой информации, содержащейся в КИИ, и нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в КИИ, если оно повлекло причинение вреда КИИ.

Максимальный предусмотренный срок лишения свободы за совершение деяний – до 6 лет. До 8 лет лишения свободы предусматривается, если действия совершены группой лиц по предварительному сговору или лицом с использованием своего служебного положения, и до 10 лет лишения свободы, если нарушения повлекли тяжкие последствия.

Ниже вы можете ознакомиться с содержанием новых статей 13.12.1 и 19.7.15 КоАП.

Ниже - актуальная информация по штрафам за нарушение требований закона «О персональных данных»:

Нарушение требований к созданию систем безопасности значимых объектов КИИ (ЗО КИИ) и обеспечению их функционирования либо требований по обеспечению информационной безопасности ЗО КИИ, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами РФ, если такие действия (бездействие) не содержат признаков уголовно наказуемого деяния.

Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении ЗО КИИ, установленного законами и принятыми в соответствии с ними иными нормативными правовыми актами.

Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ, между субъектами КИИ и уполномоченными органами иностранных государств, международными, международными неправительственными и иностранными организациями, осуществляющим деятельность в области реагирования на компьютерные инциденты.

Непредставлении или нарушение сроков предоставления в федеральный орган исполнительной власти уполномоченный в области обеспечения безопасности КИИ (прим. - ФСТЭК России), сведений о результатах присвоения объекту КИИ одной из категорий значимости, предусмотренных законодательством в области обеспечения безопасности КИИ, либо об отсутствии необходимости присвоения ему одной из таких категорий.

Непредставление или нарушение порядка либо сроков представления в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ информации, предусмотренной законодательством в области обеспечения безопасности КИИ, за исключения случаев, предусмотренных статьей 13.12.1 КоАП.

С каждым годом требования в области безопасности критической информационной инфраструктуры будут только ужесточаться, а размер штрафов за их нарушение - увеличиваться. Поэтому важно подойти к решению вопросов безопасности КИИ уже сегодня.

Поможем с решением задач и выполнением требований регуляторов:

• Разрабатываем регламент и инжиниринг процесса информирования об инцидентах и работы с инцидентами ИБ внутри организации
  
  
• Оказываем помощь в разработке официального запроса в НКЦКИ о необходимости информирования об инцидентах информационной безопасности
  
  
• Проектируем и настраиваем конфигурирование средств подключения к ГосСОПКА;
  
  
• Разрабатываем и настраиваем правила и отчетность по инцидентам информационной безопасности для отправки в ГосСОПКА
  
  
• Подключаем к продуктовой среде ГосСОПКА