Категорирование объектов КИИ - санкции

 

Коллеги!

В последние несколько недель некоторые консалтинговые фирмы, оказывающие услуги по подготовке документов и помощи в проведении процедуры категорирования объектов КИИ, предоставляют ломбардам недостоверную информацию о миллионных штрафах с 01.09.2025 года.

 

В связи с чем обращаем ваше внимание, что штрафы в этой части не менялись: все те же 2 статьи административные, 1 уголовная – Ассоциация о них говорила ранее.

 

Дата же 1 сентября в вопросе категорирования фигурирует не как какой-то обязательный рубеж, а в связи с тем, что регулятором всех НФО, в т.ч. ломбардов, в этом направлении с 01.09.2025 помимо ФСТЭК становится еще и Банк России, который получает право начать напрямую запрашивать у поднадзорных организаций документы о проведенной процедуре и ее результатах, дополнять требования к ответственному специалисту (в части обучения или опыта) и т.д.. Сама же обязанность провести данное категорирование у финансовых организаций существует с 2018 года.

 

Поэтому Ассоциация и рекомендовала ломбардам быть готовыми к 1 сентября (а не 1 августа или 1 ноября), т.к. все вы уже имеете опыт взаимодействия с Банком России через ЛК и, надеемся, представляете процедуру и сроки, которые даются на исполнение запросов регулятора.

 

На данный момент ломбардам, еще не успевшим закончить категорирование КИИ, разумнее всего не паниковать из-за вброса различных "новых" сведений, а сосредоточиться на завершении процедуры, чтобы оперативно закрыть этот вопрос и быть готовыми к любому запросу регулятора.

 

Ответственность, текущие составы, в качестве памятки

 

КоАП РФ: 

 

Статья 19.7.15 Непредставление сведений, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации

 

Непредставление или нарушение сроков представления в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности КИИ РФ, сведений о результатах присвоения объекту КИИ РФ одной из категорий значимости, предусмотренных законодательством в области обеспечения безопасности КИИ РФ, либо об отсутствии необходимости присвоения ему одной из таких категорий либо представление недостоверных сведений - в влечет наложение административного штрафа на должностных лиц в размере от 10 000 до 50 000 рублей; на юридических лиц - от 50 000 до 100 000 рублей.

 

Непредставление или нарушение порядка либо сроков представления в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ информации, предусмотренной законодательством в области обеспечения безопасности КИИ РФ, за исключением случаев, предусмотренных частью 2 статьи 13.12.1 настоящего Кодекса, - влечет наложение административного штрафа на должностных лиц в размере от 10 000 до 50 000 рублей; на юридических лиц - от 100 000 до 500 000 рублей.

 

Повторное совершение административного правонарушения, предусмотренного частью 1 настоящей статьи, - влечет наложение административного штрафа на должностных лиц в размере от 50 000 до 100 0000 рублей; на юридических лиц - от 100 000 до 200 000 рублей.

 

Статья 13.12.1. Нарушение требований в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации

 

Нарушение требований к созданию систем безопасности значимых объектов КИИ РФ и обеспечению их функционирования либо требований по обеспечению безопасности значимых объектов КИИ РФ, если такие действия (бездействия) не содержат признаков уголовно наказуемого деяния, - влечет наложение административного штрафа на должностных лиц в размере от 10 000 до 50 000 рублей; на юридических лиц - от 50 000 до 100 000 рублей.

 

Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ РФ - влечет наложение административного штрафа на должностных лиц в размере от 10 000 до пятидесяти тысяч рублей; на юридических лиц - от ста тысяч до пятисот тысяч рублей.

 

Нарушение порядка обмена информацией о компьютерных  инцидентах между субъектами КИИ РФ, между информационной инфраструктуры РФ, между субъектами КИИ РФ и уполномоченными органами иностранных государств, международными, международными неправительственными и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты,  - влечет наложение административного штрафа на должностных лиц в размере от 20 000 до 50 000 рублей; на юридических лиц - от 100 000 до 500 000 рублей.

 

УК РФ

 

Статья 274.1. Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации 

Предусмотрена различная ответственность: от принудительных работ и лишения права занимать определенные должности или заниматься определенной деятельностью до лишения свободы на срок до восьми лет.