Новые штрафы для КИИ

Президент Российской Федерации Владимир Путин подписал закон о введении штрафов за нарушения требований к безопасности критической информационной инфраструктуре. Размер штрафов составляет до 500 тыс. руб. за каждый случай нарушения.

Помимо административной ответственности действует и уголовная ответственность за неправомерное воздействие на объектах КИИ со сроком лишения свободы до 6 лет.

26 мая президент России подписал Федеральный закон о внесении изменений в Кодекс Российской Федерации об административных правонарушениях

Закон дополняет КоАП статьями 13.12.1 за нарушение требований в области обеспечения безопасности критической информационной инфраструктуры (КИИ) и 19.7.15 за непредоставление сведений, предусмотренных законодательством в области обеспечения безопасности КИИ.

Новые штрафы

Новые статьи вводят штрафы за нарушение требований к обеспечению безопасности значимых объектов КИИ, если оно не содержит признаков уголовно наказуемого деяния (т.е. если оно не повлекло причинение вреда КИИ), нарушения порядка обмена информацией о компьютерных инцидентах и порядка реагирования на компьютерные инциденты, проведенные в отношении значимых объектов КИИ, не предоставление своевременно во ФСТЭК России данных о категорировании объектов КИИ (или отсутствии необходимости категорирования), а также за нарушения порядка или сроков информирования ГосСОПКА о компьютерных инцидентах.

Время информирования об инциденте

Для значимых объектов КИИ информация о компьютерных инцидентах должна предоставляться не позднее чем через 3 часа после выявления инцидента, а для незначимых объектов – не позднее чем через 24 часа после обнаружения.

Размер штрафов

Максимальный размер штрафа для юридических лиц составит 500 тыс. рублей и будет действовать при нарушении порядка или сроков информирования ГосСОПКА о компьютерных инцидентах и нарушении порядка обмена информацией о компьютерных инцидентах и порядка реагирования на компьютерные инциденты, проведенные в отношении значимых объектов КИИ.

Уголовная ответственность

Новые статьи вступят в силу через 10 дней после публикации, за исключением части 1 ст. 13.12.1, устанавливающей ответственность за нарушение требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры, которая вступит в силу с 1 сентября 2021 года.

Напомним, что помимо административной ответственности действует и уголовная ответственность за неправомерное воздействие на КИИ. В частности, за создание, распространение и использование компьютерных вирусов на КИИ, неправомерный доступ к защищаемой информации, содержащейся в КИИ, и нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в КИИ, если оно повлекло причинение вреда КИИ.

Максимальный предусмотренный срок лишения свободы за совершение деяний – до 6 лет. До 8 лет лишения свободы предусматривается, если действия совершены группой лиц по предварительному сговору или лицом с использованием своего служебного положения, и до 10 лет лишения свободы, если нарушения повлекли тяжкие последствия.

Ниже вы можете ознакомиться с содержанием новых статей 13.12.1 и 19.7.15 КоАП.

Актуальная информация по штрафам за нарушение требований закона «О персональных данных» ⬇️

Часть 1 статьи 13.12.1

Нарушение требований к созданию систем безопасности значимых объектов КИИ (ЗО КИИ) и обеспечению их функционирования либо требований по обеспечению информационной безопасности ЗО КИИ, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами РФ, если такие действия (бездействие) не содержат признаков уголовно наказуемого деяния.

Часть 2 статьи 13.12.1

Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении ЗО КИИ, установленного законами и принятыми в соответствии с ними иными нормативными правовыми актами.

Часть 3 статьи 13.12.1

Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ, между субъектами КИИ и уполномоченными органами иностранных государств, международными, международными неправительственными и иностранными организациями, осуществляющим деятельность в области реагирования на компьютерные инциденты.

Часть 1 статьи 19.7.15

Непредставлении или нарушение сроков предоставления в федеральный орган исполнительной власти уполномоченный в области обеспечения безопасности КИИ (прим. - ФСТЭК России), сведений о результатах присвоения объекту КИИ одной из категорий значимости, предусмотренных законодательством в области обеспечения безопасности КИИ, либо об отсутствии необходимости присвоения ему одной из таких категорий.

Часть 2 статьи 19.7.15

Непредставление или нарушение порядка либо сроков представления в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ информации, предусмотренной законодательством в области обеспечения безопасности КИИ, за исключения случаев, предусмотренных статьей 13.12.1 КоАП.

С каждым годом требования в области безопасности критической информационной инфраструктуры будут только ужесточаться, а размер штрафов за их нарушение - увеличиваться. Поэтому важно подойти к решению вопросов безопасности КИИ уже сегодня.

Поможем с решением задач и выполнением требований регуляторов:

• Разрабатываем регламент и инжиниринг процесса информирования об инцидентах и работы с инцидентами ИБ внутри организации
• Оказываем помощь в разработке официального запроса в НКЦКИ о необходимости информирования об инцидентах информационной безопасности
• Проектируем и настраиваем конфигурирование средств подключения к ГосСОПКА
• Разрабатываем и настраиваем правила и отчетность по инцидентам информационной безопасности для отправки в ГосСОПКА
• Подключаем к продуктовой среде ГосСОПКА

#системное администрирование #информационная безопасность #серверное администрирование #it #сетевые технологии