Расширю свой собственный комментарий... Да, введение системы обязательного страхования ответственности ИТ-компания в области информационной безопасности и защиты ПД - это разумный шаг. Правда, для Западной Европы, где нет "своих" и "доверенных" компаний. Где нет возможности "списать" утечку персональной информации на действия "партнеров". Где не станут "договариваться" с хакерами, чтобы не информировать о взломе регулятора. Чтобы заработали страхование и оборотные штрафы нужно доработать 152-ФЗ до уровня GDPR, а также устранить "блат".