Новые правила для КИИ

Президент подписал два новых федеральных закона – 76-й и 77-й. Они меняют правила ответственности за нарушения в сфере критической информационной инфраструктуры (КИИ). Как государство намерено отличать злоумышленников от тех, кто стал жертвой обстоятельств или человеческой ошибки, разбираемся в статье.  

Кого касаются поправки

Изменения затрагивают все субъекты КИИ, определенные в соответствии с 187-ФЗ «О безопасности критической информационной инфраструктуры». Это организации в сферах здравоохранения, науки, транспорта, связи, энергетики, банковской сфере, а также в топливно-энергетическом комплексе и промышленности.

Что изменилось 

Поправки коснулись статьи 274.1 УК РФ. Раньше формулировки были довольно размытыми, теперь их конкретизировали. Незаконный доступ или нарушение правил эксплуатации станут уголовным преступлением только в том случае, если из-за этого данные были уничтожены, заблокированы, изменены или скопированы. 

Если сотрудник по неосторожности нарушил регламенты и вызвал инцидент, у него появилась возможность избежать уголовной ответственности. Для этого нужно:

• Немедленно сообщить о случившемся,
• Сохранить все цифровые следы и логи,
• Активно помогать следствию.

Параллельно в КоАП ввели новую статью 13.12.2. Она предусматривает штрафы за некритичные ошибки в эксплуатации систем КИИ: для граждан – от 5 до 10 тысяч рублей, для руководителей и ответственных лиц – до 50 тысяч, для компаний – до полумиллиона.

Проверяющим дали больше полномочий, чтобы они могли быстрее фиксировать и разбирать такие случаи. Срок давности по таким делам – один год. 

Как теперь работает система ответственности

Первая ступень – административная ответственность. Она применяется, когда нарушение носит формальный или некритичный характер, данные не потеряны, система продолжает работать. В таких случаях вопрос решается штрафом. 

Если халатность или умышленные действия привели к уничтожению, блокировке или несанкционированному копированию информации КИИ, вступает в силу уголовный кодекс. 

И третье, очень важное нововведение – механизм смягчения. Если организация сразу сообщает об инциденте, сотрудничает с регуляторами, не пытается замести следы, а сохраняет все доказательства, возможно полное освобождение от уголовной ответственности. 

Зачем государство меняет правила

Ранее страх наказания заставлял многие организации скрывать инциденты. Руководители боялись сообщать об атаках или сбоях, надеясь ликвидировать их последствия своими силами.

Новые законы должны положить конец молчанию. Главная цель изменений – получить полную картину киберугроз в стране и минимизировать ущерб за счет оперативного реагирования.

Однако снижение уголовной нагрузки и введение административных штрафов не означает, что можно расслабиться и ничего не делать. Компаниям стоит помнить, что сообщить об инциденте – это значит предоставить технически достоверные данные. Поэтому качество логирования и защиты от модификации журналов становится одним из главных приоритетов. 

Тем, кто работает с КИИ, самое время пересмотреть внутренние регламенты, провести инструктаж и напомнить командам о том, что инциденты нельзя замалчивать.