Административная ответственность за нарушения в области обеспечения безопасности КИИ уже реальность

Вот и случилось то, чего опасались многие. Официально опубликованы поправки в Кодекс Российской Федерации об административных правонарушениях в части установления административной ответственности за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации.

1. Поправками вводятся следующие новые составы административных правонарушений:
(ч. 1, ст. 13.12 прим 1) Нарушение требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования либо требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, если такие действия (бездействие) не содержат признаков уголовно наказуемого деяния.

Данным составом административного правонарушения подразумевается ответственность за нарушение требований приказов ФСТЭК России от 21.12.2017 № 235 и от 25.12.2017 № 239.

2. (ч. 2, ст. 13.12 прим 1) Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации, установленного федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации.

Данным составом административного правонарушения подразумевается ответственность за нарушение требований приказа ФСБ России от 19.06.2019 № 282.

3. (ч. 3, ст. 13.12 прим 1) Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты.

Данным составом административного правонарушения подразумевается ответственность за нарушение требований приказа ФСБ России от 24.07.2018 № 368.

4. (ч. 1 ст. 19.7 прим 15) Непредставление или нарушение сроков представления в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, сведений о результатах присвоения объекту критической информационной инфраструктуры Российской Федерации одной из категорий значимости, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, либо об отсутствии необходимости присвоения ему одной из таких категорий.

Данным составом административного правонарушения подразумевается ответственность за нарушение требований постановления Правительства РФ от 08.02.2018 № 127 (в соответствующей части).

5. (ч. 2 ст. 19.7 прим 15) Непредставление или нарушение порядка либо сроков представления в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации информации, предусмотренной законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, за исключением случаев, описанных в нововведённой ч. 2 ст. 13.12 прим 1.

Данным составом административного правонарушения подразумевается ответственность за нарушение требований приказа ФСБ России ФСБ России от 24.07.2018 № 367.

❗️Заявленные размеры штрафов не изменились.

Из интересного.

Административной ответственности не будет за нарушение требований:

- приказа ФСБ России от 06.05.2019 № 196 «Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты»;

- приказа ФСБ России от 19.06.2019 № 281 «Об утверждении Порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации»;

- приказа Минкомсвязи России от 17.03.2020 № 114 «Об утверждении Порядка и Технических условий установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации»;

- приказа Минцифры России от 28.12.2020 № 779 «Об утверждении организационно-технических мер по обеспечению информационной безопасности ресурсов сети связи общего пользования, используемых значимыми объектами критической информационной инфраструктуры».

Получается, что по составу административного правонарушения, предусмотренного ч. 2 ст. 19.7 прим 15 КоАП, ФСБ России сможет штрафовать ФСТЭК России? Например, за непредставление или нарушение порядка (сроков?) представления:

- Информации, содержащейся в реестре значимых объектов критической информационной инфраструктуры Российской Федерации.

- Информации об отсутствии необходимости присвоения объекту критической информационной инфраструктуры одной из категорий значимости.

- Информации об исключении объекта критической информационной инфраструктуры из реестра значимых объектов критической информационной инфраструктуры, а также об изменении категории его значимости.

- Информации по итогам проведения государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры о нарушении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры, в результате которого создаются предпосылки возникновения компьютерных инцидентов.

Срок давности привлечения к ответственности по нововведённым составам составляет один год.