Срок ответственности за несертифицированную защиту увеличили до года

С 23 мая 2025 года в России вступил в силу закон, существенно усиливающий административную ответственность за нарушения в сфере информационной безопасности. Впервые на уровне КоАП РФ установлены конкретные штрафные санкции за несоблюдение федеральных требований по защите информации, не относящейся к государственной тайне. Закон стал ответом на многочисленные инциденты, связанные с утечками данных, неправомерным использованием несертифицированных средств защиты и отсутствием надлежащего контроля со стороны организаций и должностных лиц за оборотом конфиденциальной информации.

Ключевым изменением стало введение материальной ответственности за использование информационных технологий, не прошедших обязательную сертификацию, если таковая предусмотрена нормативными актами. При этом под удар попадают не только компании, работающие в сфере информационных технологий, но и все юридические и должностные лица, эксплуатирующие системы с персональными данными, коммерческой тайной или иными защищаемыми сведениями. Закон приравнивает несертифицированные инструменты защиты к потенциальному источнику риска, а их применение — к пренебрежению базовыми принципами цифровой безопасности.

Суммы штрафов соразмерны тяжести последствий и направлены на превентивное воздействие. Должностные лица теперь несут административную ответственность в размере от 10 до 50 тысяч рублей, а организации — от 50 до 100 тысяч рублей за каждый случай нарушения. Важно отметить, что теперь срок давности по делам о нарушении требований информационной безопасности составляет один год с момента совершения правонарушения. Это существенно расширяет возможности надзорных органов для проведения проверок, расследования и применения санкций, в том числе в ситуациях, когда вред от нарушения выявляется не сразу.

Усиление контроля в этой сфере закономерно: с увеличением объёмов цифровых данных, использованием облачных решений, телемедицины и дистанционного образования вопрос надёжности обработки информации становится не просто техническим, а правовым и репутационным фактором. Право на защиту персональных и служебных данных перестаёт быть абстрактной категорией — оно становится предметом регулярного государственного контроля и финансовой ответственности.

Нововведения должны побудить компании провести комплексный аудит своих ИТ-ресурсов, особенно в части соответствия применяемых решений требованиям регуляторов. В противном случае даже незначительное нарушение может привести к серьёзным последствиям — как в виде административного взыскания, так и в виде репутационного урона. Закон формирует новую норму: цифровая безопасность — не добровольная практика, а обязанность, за невыполнение которой следует санкция.