Федеральным законом от 09.04.2026 № 77-ФЗ в Кодекс Российской Федерации об административных правонарушениях (КоАП РФ) введена новая административная ответственность за нарушение правил эксплуатации объектов критической информационной инфраструктуры (КИИ).
За что именно наступает ответственность?
За нарушение правил эксплуатации:
- средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в КИИ;
- информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к КИИ;
- либо правил доступа к указанным информации, информационным системам, сетям, автоматизированным системам управления.
Исключения.
- Ответственность не применяется, если деяние подпадает под статью 13.12.1 КоАП РФ (грубые нарушения требований к защите информации в КИИ). Таким образом, «негрубые» нарушения правил эксплуатации выделены в отдельный состав.
- Если деяние содержит признаки уголовно наказуемого (например, создание угрозы наступления тяжких последствий), то применяются статьи УК РФ (в частности, статья 274.1 «Неправомерное воздействие на КИИ»).
Размеры штрафов.
Штрафы дифференцированы в зависимости от статуса нарушителя:
- Граждане (не являющиеся должностными лицами) могут быть оштрафованы на сумму от 5 000 до 10 000 рублей.
- Должностные лица (руководители, IT-специалисты, ответственные за КИИ) — от 10 000 до 50 000 рублей.
- Юридические лица (организации — субъекты КИИ) — от 100 000 до 500 000 рублей.
Что понимается под «правилами эксплуатации»?
Под правилами эксплуатации понимаются требования, установленные подзаконными нормативными актами, в частности:
- требования к обеспечению безопасности КИИ (утверждены ФСТЭК России, Минцифры и иными уполномоченными органами);
- правила доступа к информации в КИИ;
- порядок эксплуатации средств хранения, обработки и передачи информации;
- правила эксплуатации информационных систем и сетей, отнесённых к КИИ (инструкции по безопасной работе, регламенты технического обслуживания, антивирусной защиты, резервного копирования, ограничения доступа и т.п.).
Примеры нарушений:
- несанкционированное подключение к сети КИИ внешних устройств;
- использование непроверенного или нелицензионного программного обеспечения;
- отключение средств защиты информации без согласования и без предусмотренных документацией оснований;
- несоблюдение порядка доступа к информации (передача паролей, отсутствие их плановой смены);
- нарушение сроков и порядка установки обновлений безопасности.
Кто подпадает под действие нормы?
- Субъекты критической информационной инфраструктуры — организации из сферы здравоохранения, науки, транспорта, связи, энергетики, банковской сферы, оборонной промышленности и других, включённые в реестр субъектов КИИ.
- Иные юридические лица и граждане, эксплуатирующие объекты КИИ (например, операторы связи, организации с информационными системами, отнесёнными к КИИ).
- Должностные лица — руководители, их заместители, руководители структурных подразделений, ответственные за информационную безопасность и эксплуатацию КИИ.
Практическое значение.
- Для организаций — субъектов КИИ: необходимо пересмотреть внутренние инструкции и регламенты эксплуатации, а также политики информационной безопасности на предмет соответствия правилам, утверждённым уполномоченными органами.
- Для должностных лиц: личные штрафы до 50 000 рублей стимулируют более тщательный контроль за соблюдением правил эксплуатации КИИ.
- Для граждан (технических специалистов, операторов): повышаются требования к квалификации и дисциплине, так как они также могут быть привлечены к ответственности.
Соотношение с другими нормами.
- Статья 13.12.1 КоАП РФ — грубые нарушения требований к защите информации в КИИ (например, непроведение необходимых организационно-технических мер). Новая статья дополняет её, устанавливая ответственность за «негрубые» нарушения правил эксплуатации и доступа.
- Статья 274.1 УК РФ — уголовная ответственность за неправомерное воздействие на КИИ (создание угрозы, нарушение работы, уничтожение информации и т.д.). Если деяние подпадает под признаки преступления, административная ответственность по новой статье не наступает.
Срок вступления в силу.
Закон вступает в силу со дня официального опубликования (09.04.2026). С этой даты контролирующие органы (ФСТЭК России, Минцифры, Роскомнадзор, прокуратура) вправе составлять протоколы и налагать штрафы за нарушения, совершённые после вступления закона в силу.
Рекомендации.
- Юридическим лицам — субъектам КИИ провести аудит соблюдения правил эксплуатации и доступа, актуализировать внутренние документы и провести обучение персонала, особенно должностных лиц, ответственных за КИИ.
- Должностным лицам фиксировать факты выполнения требований (журналы, отчёты, приказы о назначении ответственных), чтобы при проверке иметь доказательства соблюдения правил.
- Гражданам (работникам) строго соблюдать инструкции по эксплуатации КИИ, не допускать нарушений правил доступа и своевременно информировать руководителя о выявленных недостатках.
Информация подготовлена прокуратурой города Севастополя.