За нарушения в защите критической IT-инфраструктуры будут штрафовать
Госдума в первом чтении приняла правительственный законопроект об административной ответственности за нарушение требований в области безопасности критической информационной инфраструктуры. Эти поправки предлагается внести в виде новых статей 13.12.1 и 19.7.15 в Кодекс об административных правонарушениях.
В пояснительной записке указано, что действующее законодательство о безопасности информационной инфраструктуры госорганов, банков, промышленности и обороны выполняется не в полной мере, что создает угрозу ее безопасности.
В частности, приводится пример масштабной кибератаки 2017 года, когда большое количество компьютерной техники в ряде госкомпаний было поражено вирусом-шифровальщиком WannaCry. На восстановление работы информационной инфраструктуры ушло до трех суток. Причиной ущерба стало невыполнение установленных требований, включая требование о своевременном обновлении программного обеспечения.
Кроме того, в 2019 году Национальный координационный центр по компьютерным инцидентам выявил 120 компьютерных инцидентов. При этом в госсистему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации о компьютерных инцидентах не поступило ни одного сообщения, пояснили авторы поправок.
Теперь за нарушение требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры, обеспечению их работы и безопасности в рамках действующих законов и регламентов предусмотрен штраф для должностных лиц в размере от 10 000 до 50 000 руб., для юридических – от 50 000 до 100 000 руб.
За нарушение «порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак» планируется наказывать должностных лиц штрафами от 10 000 до 50 000 руб., юридических лиц – от 100 000 до 500 000 руб. За нарушение порядка обмена данными об инцидентах между субъектами такой инфраструктуры, иностранными уполномоченными органами, международными организациями и НПО, работающими в сфере реагирования на киберугрозы, предусмотрены штрафы: для должностных лиц от 20 000 до 50 000 руб., для юридических лиц – от 100 000 до 500 000 руб.
Согласно законопроекту, рассматривать дела по новым статьям КоАП будет ФСБ. Предусмотрен специальный срок давности привлечения – один год, так как потребуется проведение внеплановой проверки.
В случае принятия закона положение о штрафах за нарушение порядка информирования о компьютерных инцидентах и принятия мер по их ликвидации вступит в силу 1 сентября 2021 года.
Законопроект № 1048574-7 О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части установления административной ответственности за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации