Кабмин внёс в парламент законопроект о введении административной ответственности за нарушение требований по обеспечению безопасности КИИ РФ, а также за несвоевременное предоставление сведений отвечающим за ликвидацию кибератак органам.
Правительство РФ внесло в Госдуму законопроект №1048574-7 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части установления административной ответственности за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры (КИИ) Российской Федерации», которым вводятся крупные административные штрафы за неисполнение положений закона о КИИ.
Согласно изменениям, предложенным в КоАП, нарушение требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры, обеспечению их работы и безопасности в рамках действующих законов и регламентов повлечет наложение штрафа на должностных лиц в размере от 10 тыс. до 50 тыс. рублей, а на юридических лиц — от 50 тыс. до 100 тыс. рублей.
Нарушение «порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак», согласно тексту законопроекта, будет грозить должностным лицам штрафом в размере от 10 тыс. до 50 тыс. рублей, а юридическим лицам — от 100 тыс. до 500 тыс. рублей. Также за нарушение порядка обмена данными об инцидентах между субъектами такой инфраструктуры, иностранными уполномоченными органами, международными организациями и НПО, работающими в сфере реагирования на киберугрозы, предусмотрены штрафы — для должностных лиц от 20 тыс. до 50 тыс. рублей, для юридических лиц — от 100 тыс. до 500 тыс. рублей.
Если в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы не были предоставлены или же несвоевременно, с нарушением сроков, поступили данные, предусмотренные законодательством в области обеспечения безопасности критической информационной инфраструктуры, штраф для должностных лиц составит от 10 тыс. до 50 тыс. рублей, а для юридических лиц — от 100 тыс. до 500 тыс. рублей.
Если уполномоченный орган исполнительной власти не будет уведомлен (уведомлен с опозданием) о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости, то штраф составит от 10 тыс. до 50 тыс. рублей для должностных лиц и от 50 тыс. до 100 тыс. рублей — для юридических лиц. Согласно пояснительной записке, «размеры предлагаемых штрафов учитывают размер средней заработной платы руководителей структурных подразделений по обеспечению информационной безопасности».
В качестве обоснования необходимости предложенных мер Правительство приводит масштабную атаку 2017 года с использованием вируса-шифровальщика WannaCry, который поразил большое количество вычислительной техники в ряде госкомпаний, на восстановление которой ушло от 1 до 3 суток. Причиной ущерба стало невыполнение установленных требований, включая требование о своевременном обновлении программного обеспечения.
Полномочиями по рассмотрению административных дел о правонарушениях по предложенным статьям предлагается наделить ФСТЭК и ФСБ. Положение о штрафах за нарушение порядка информирования о компьютерных инцидентах и принятия мер по их ликвидации должно вступить в силу с 1 сентября 2021 года.
Кстати, на днях Минцифры предложило перенести переход на «преимущественное использование» российского программного обеспечения для владельцев КИИ на 1 января 2024 года, а переход на отечественное оборудование — на 1 января 2025 года. К владельцам КИИ относятся, в частности, госорганы, ТЭК, финансовые, транспортные, телекоммуникационные и ряд других компаний, повреждение сетей связи которых может привести к серьезным последствиям.
Предыдущий дедлайн, который предлагало министерство, — 2021 год для внедрения софта и 2022-й — для оборудования. Но предложение раскритиковали владельцы подобной инфраструктуры.
The main news of the week in the field of law.
On December 23, 2022, the Ministry of Justice included Roskomsvoboda in the register of unregistered public associations performing the functions of a foreign agent. We disagree with this decision and are appealing it in court.