Штрафы за нарушения информационной безопасности в 2026 году
2025 год стал переломным для ответственности в сфере информационной безопасности. За шесть месяцев Государственная Дума приняла три федеральных закона, которые радикально изменили правила игры: 420-ФЗ ввёл оборотные штрафы до 500 млн ₽ за утечки персональных данных, 104-ФЗ увеличил санкции по статье 13.12 КоАП в 2,5–25 раз и продлил срок давности с 60 дней до года, 421-ФЗ установил уголовную ответственность за умышленные утечки ПДн сроком до 10 лет лишения свободы.
В зоне риска — каждая организация, которая обрабатывает персональные данные, эксплуатирует государственные информационные системы или является субъектом критической информационной инфраструктуры. Это банки, больницы, промышленные предприятия, органы власти, операторы связи и тысячи коммерческих компаний.
В этой статье — полная актуальная картина: все статьи КоАП и УК РФ с точными суммами штрафов, примеры нарушений, которые чаще всего выявляет ФСТЭК, и конкретные механизмы снижения рисков.
Три вида ответственности за нарушения ИБ
Российское законодательство предусматривает три вида ответственности за нарушения в сфере информационной безопасности, и они не исключают друг друга.
Административная ответственность — наступает чаще всего. Штрафы назначают ФСТЭК, Роскомнадзор, ФСБ, прокуратура. Ключевые статьи: 13.11, 13.12, 13.12.1, 19.5, 19.7.15 КоАП. Санкции: от 1 тыс. ₽ для граждан до 500 млн ₽ для юридических лиц. К этому виду ответственности можно привлечь организацию, её руководителя и ответственного за ИБ одновременно.
Уголовная ответственность — для физических лиц при умысле или тяжких последствиях. Статьи 272, 273, 274.1, 272.1 УК РФ. Сроки — до 10 лет. Практика: уголовные дела возбуждаются при атаках на КИИ, умышленных утечках ПДн, использовании вредоносного ПО.
Дисциплинарная ответственность — замечание, выговор, увольнение. Назначается работодателем по результатам служебного расследования или по представлению регулятора.
Важно понимать: ФСТЭК проводит плановые и внеплановые проверки, по итогам которых выдаёт предписания. Невыполнение предписания — отдельный состав правонарушения по ст. 19.5 КоАП с самостоятельными санкциями.
Ст. 13.12.1 КоАП — ответственность за нарушения в сфере КИИ
Статья 13.12.1 введена специально для субъектов критической информационной инфраструктуры. Под её действие подпадают организации из 14 отраслей: здравоохранение, наука, транспорт, связь, энергетика, банки, финансовый рынок, топливно-энергетический комплекс, атомная промышленность, оборонная промышленность, ракетно-космическая отрасль, горнодобывающая промышленность, металлургия, химическая промышленность.
| Состав нарушения | Должностные лица | Юридические лица |
|---|---|---|
| Ч.1–2: нарушение требований по обеспечению безопасности КИИ / ГИС | 10–50 тыс. ₽ | 50–100 тыс. ₽ |
| Ч.3–4: то же, повлекшее серьёзные последствия или при повторном выявлении | 10–50 тыс. ₽ | 100–500 тыс. ₽ |
| Ч.5: повторные нарушения, уже после предписания | дисквалификация до 3 лет или 50–100 тыс. ₽ | 500 тыс. — 1 млн ₽ |
Что конкретно проверяет ФСТЭК по этой статье:
- Проведено ли категорирование объектов КИИ в установленные сроки (10 рабочих дней с момента создания комиссии).
- Направлены ли сведения о категорировании во ФСТЭК.
- Создана ли система безопасности объекта КИИ (для значимых объектов — обязательно).
- Применяются ли сертифицированные средства защиты информации там, где это предписано.
- Подключён ли объект к ГосСОПКА (для значимых КИИ — обязательно).
- Выполнены ли меры по приказу ФСТЭК №239 для значимых объектов КИИ.
Типичные нарушения, которые выявляются при проверках:
Не провели категорирование. Организация относится к субъектам КИИ, но комиссия по категорированию не создана или не завершила работу. Результат — ч.1 ст. 13.12.1 + ч.1 ст. 19.7.15 (непредставление сведений в ФСТЭК). Штраф для юрлица: до 200 тыс. ₽ суммарно.
Используют несертифицированные СЗИ на значимом объекте КИИ. Установили антивирус или межсетевой экран без сертификата ФСТЭК на объекте 1-й или 2-й категории. Это ч.2 ст. 13.12 + возможная ч.1 ст. 13.12.1. Дополнительно — конфискация несертифицированных СЗИ.
Нет системы безопасности. Объект значимый, категория присвоена, но организационные и технические меры по приказу №239 не реализованы, документация отсутствует. Это ч.2–3 ст. 13.12.1 с потенциальным штрафом до 500 тыс. ₽.
Не подключились к ГосСОПКА. Для значимых объектов КИИ подключение к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак обязательно. Отсутствие подключения — ч.2 ст. 19.7.15, до 500 тыс. ₽.
Ст. 13.12 КоАП — нарушения в области защиты информации
До 2025 года штрафы по этой статье были символическими — максимум 25 тыс. ₽ для организаций. Закон 104-ФЗ от 23.05.2025 изменил ситуацию кардинально: санкции выросли в 2,5–25 раз, а срок давности увеличен с 60 дней до 1 года.
| Состав нарушения | Граждане | Должностные лица | Юридические лица |
|---|---|---|---|
| Ч.1: нарушение условий лицензии в области защиты информации | 1–1,5 тыс. ₽ | 1,5–2,5 тыс. ₽ | 15–20 тыс. ₽ |
| Ч.2: применение несертифицированных СЗИ (+ конфискация) | 5–10 тыс. ₽ | 10–50 тыс. ₽ | 50–100 тыс. ₽ |
| Ч.5: прочие нарушения требований по защите информации | 1–2 тыс. ₽ | 2–4 тыс. ₽ | 15–30 тыс. ₽ |
| Ч.6: нарушения при защите сведений, составляющих государственную тайну | 10–20 тыс. ₽ | 20–50 тыс. ₽ | 50–100 тыс. ₽ |
Увеличение срока давности до 1 года — принципиально важное изменение. Раньше ФСТЭК должна была успеть возбудить дело в течение 60 дней с момента обнаружения нарушения. Теперь у регулятора есть целый год. Это означает, что нарушения, выявленные при проверке в начале года, могут повлечь административное взыскание вплоть до конца следующего календарного года.
Конфискация по ч.2 применяется к конкретным несертифицированным СЗИ. На практике это означает изъятие серверов, межсетевых экранов, средств криптографической защиты — оборудования, без которого инфраструктура может остановить работу.
Ст. 13.11 КоАП — оборотные штрафы за утечки персональных данных
Закон 420-ФЗ, принятый 30.11.2024 и вступивший в силу 30.05.2025, ввёл принципиально новую логику штрафов за утечки ПДн: размер санкции зависит от масштаба утечки, а за повторные нарушения назначается оборотный штраф — процент от годовой выручки компании.
Штрафы за утечку персональных данных (ст. 13.11 КоАП)
| Состав нарушения | Граждане | Должностные лица | Юридические лица |
|---|---|---|---|
| Ч.1: незаконная обработка ПДн | 10–15 тыс. ₽ | 50–100 тыс. ₽ | 150–300 тыс. ₽ |
| Ч.8: невыполнение требования о локализации ПДн | 30–50 тыс. ₽ | 100–200 тыс. ₽ | 1–6 млн ₽ |
| Ч.11: неуведомление Роскомнадзора об утечке | 50–100 тыс. ₽ | 400–800 тыс. ₽ | 1–3 млн ₽ |
| Ч.12: утечка 1–10 тыс. субъектов | 100–200 тыс. ₽ | 200–400 тыс. ₽ | 3–5 млн ₽ |
| Ч.13: утечка 10–100 тыс. субъектов | 200–300 тыс. ₽ | 300–500 тыс. ₽ | 5–10 млн ₽ |
| Ч.14: утечка более 100 тыс. субъектов | 300–400 тыс. ₽ | 400–600 тыс. ₽ | 10–15 млн ₽ |
| Ч.15: повторные нарушения (ч.12–14) | — | — | 1–3% выручки (мин. 20 млн, макс. 500 млн ₽) |
| Ч.16: спецкатегории ПДн (здоровье, политика, религия) | — | — | 10–15 млн ₽ |
| Ч.17: биометрические ПДн | — | — | 15–20 млн ₽ |
| Ч.18: повторные нарушения (ч.16–17) | — | — | 1–3% выручки (мин. 25 млн, макс. 500 млн ₽) |
Условия снижения штрафа. 420-ФЗ предусматривает механизм льготного расчёта: штраф может быть снижен, если организация документально подтвердит, что на протяжении не менее 12 месяцев до нарушения ежегодно тратила на ИБ не менее 0,1% годовой выручки — и только на услуги/продукты лицензиатов ФСТЭК и ФСБ. Это означает, что организации нужно вести реестр расходов на ИБ с привязкой к лицензиям поставщиков.
Уведомление об утечке (ч.11) должно быть направлено в Роскомнадзор в течение 24 часов с момента обнаружения инцидента. Нарушение этого срока — самостоятельный состав. Практика показывает, что многие организации привлекаются сразу по нескольким частям одновременно: за саму утечку (ч.12–14) и за несвоевременное уведомление (ч.11).
Ст. 19.5 и 19.7.15 — невыполнение предписаний и непредставление сведений
Эти статьи работают в связке с основными. После проверки ФСТЭК выдаёт предписание об устранении нарушений. Если организация его не выполнила — наступает ответственность по ст. 19.5.
Ст. 19.5 КоАП (невыполнение предписаний ФСТЭК):
- Ч.2.2 (невыполнение требований по обеспечению безопасности ГИС или КИИ): должностные лица — 16–20 тыс. ₽ или дисквалификация до 3 лет; юридические лица — 300–500 тыс. ₽.
- Ч.4 (повторное невыполнение предписания): юридические лица — 50–100 тыс. ₽ или приостановление деятельности до 90 суток.
Приостановление деятельности — крайняя мера, применяется редко, но возможна. Для IT-компании или оператора ГИС это фактически полная остановка бизнеса на срок до трёх месяцев.
Ст. 19.7.15 КоАП (непредставление сведений о КИИ):
- Ч.1 (нарушение сроков направления сведений о категорировании во ФСТЭК): должностные лица — 10–50 тыс. ₽; юридические лица — 50–100 тыс. ₽.
- Ч.2 (непредставление сведений для ГосСОПКА или нарушение порядка обмена информацией): должностные лица — 10–50 тыс. ₽; юридические лица — 100–500 тыс. ₽.
- Ч.3 (повторные нарушения): должностные лица — 50–100 тыс. ₽; юридические лица — 100–200 тыс. ₽.
Важно: обязанность направить сведения о категорировании возникает не только после первичного категорирования, но и при любых изменениях, влияющих на категорию объекта. Игнорирование этой обязанности — частая причина штрафов.
Уголовная ответственность за нарушения ИБ
Уголовное преследование в сфере ИБ ведётся по четырём основным статьям УК РФ. Важный принцип: уголовная ответственность наступает при наличии умысла или при причинении значительного ущерба, когда КоАП уже не применяется.
| Статья УК | Состав | Санкция |
|---|---|---|
| Ст. 272 ч.1 | Неправомерный доступ к охраняемой компьютерной информации | Штраф до 200 тыс. ₽ или лишение свободы до 2 лет |
| Ст. 272 ч.2 | То же, с причинением крупного ущерба или из корыстных побуждений | Штраф 300–500 тыс. ₽ или лишение свободы до 5 лет |
| Ст. 272 ч.3 | То же, с использованием служебного положения или группой | Лишение свободы до 7 лет |
| Ст. 273 ч.1 | Создание, распространение вредоносных программ | Штраф до 200 тыс. ₽ или лишение свободы до 4 лет |
| Ст. 273 ч.3 | То же, повлёкшее тяжкие последствия | Лишение свободы до 7 лет |
| Ст. 274.1 ч.1 | Неправомерное воздействие на КИИ | Штраф 500 тыс. — 1 млн ₽ или лишение свободы 2–5 лет |
| Ст. 274.1 ч.2 | То же, с использованием вредоносных программ | Штраф 500 тыс. — 1 млн ₽ или лишение свободы 2–6 лет |
| Ст. 274.1 ч.3 | То же, из корыстных побуждений | Лишение свободы до 6 лет |
| Ст. 274.1 ч.4 | То же, организованной группой | Лишение свободы 3–8 лет |
| Ст. 274.1 ч.5 | То же, повлёкшее тяжкие последствия | Лишение свободы 5–10 лет |
| Ст. 272.1 ч.1 | Незаконное использование персональных данных (421-ФЗ) | Лишение свободы до 4 лет |
| Ст. 272.1 ч.2 | То же, в отношении спецкатегорий ПДн | Лишение свободы до 5 лет |
| Ст. 272.1 ч.3 | То же, с использованием служебного положения | Лишение свободы до 6 лет |
| Ст. 272.1 ч.5 | То же, с трансграничной передачей данных | Лишение свободы до 8 лет |
| Ст. 272.1 ч.6 | То же, повлёкшее тяжкие последствия | Лишение свободы до 10 лет |
Когда КоАП переходит в УК. Если инцидент ИБ повлёк реальный ущерб (хищение средств, остановка производства, утечка государственной тайны), следователь возбуждает уголовное дело. При атаках на объекты КИИ 1-й категории вопрос о квалификации по ст. 274.1 встаёт автоматически. Статья 272.1 применяется к сотрудникам, намеренно слившим клиентские базы конкурентам или злоумышленникам — это существенное изменение, которое затрагивает не только внешних злоумышленников, но и инсайдеров.
Дополнительные санкции
Помимо штрафов, законодательство предусматривает три вида дополнительных санкций, которые в ряде случаев болезненнее финансовых.
Конфискация СЗИ (ст. 13.12 ч.2). При применении несертифицированных средств защиты информации суд вправе конфисковать оборудование. Практически это означает изъятие серверов безопасности, межсетевых экранов, криптошлюзов — инфраструктуры, которую строили годами. Замена сертифицированными аналогами потребует времени и средств, несопоставимо превышающих сумму основного штрафа.
Дисквалификация должностных лиц. По ст. 19.5 ч.2.2 и ст. 13.12.1 ч.5 руководитель организации или ответственный за ИБ может быть дисквалифицирован сроком до 3 лет. Дисквалификация означает запрет занимать руководящие должности в любых организациях. Сведения о дисквалифицированных лицах вносятся в реестр ФНС и проверяются при назначении на должность.
Приостановление деятельности до 90 суток (ст. 19.5 ч.4). Применяется при повторном невыполнении предписания регулятора. Для организаций, оказывающих услуги в сфере ИТ, связи, медицины — фактически катастрофа: клиенты расторгнут договоры, репутация будет уничтожена, восстановить позиции после трёхмесячного простоя крайне сложно.
Как снизить риски с помощью SGRC-платформы
Штрафы в сфере ИБ — это следствие системных проблем: отсутствия контроля за выполнением требований, неструктурированной документации и реактивного подхода к управлению уязвимостями. SGRC-платформа КиберОснова решает именно эти проблемы превентивно.
Контроль выполнения требований ФСТЭК и минимизация рисков по ст. 13.12.1. Платформа ведёт реестр всех мер защиты по приказу №117, приказу №239 и приказу №21 с привязкой к конкретным исполнителям и сроками. Для каждой меры хранятся доказательства выполнения — документы, скриншоты, ссылки на конфигурации. Это именно тот реестр, который инспектор ФСТЭК запрашивает при проверке. Автоматический расчёт КЗИ позволяет заблаговременно видеть, где организация не дотягивает до требований, и устранять пробелы до прихода регулятора.
Управление уязвимостями с SLA-контролем — выполнение req-38 приказа №117. Критические уязвимости должны устраняться в течение 24 часов, высокие — 7 дней. Нарушение этих сроков при проверке — готовый повод для предписания по ст. 13.12.1. Платформа отслеживает сроки устранения и эскалирует просроченные задачи. Автоматическая сверка с базой данных угроз ФСТЭК гарантирует, что ни одна актуальная уязвимость не останется без внимания.
Документальное подтверждение расходов на ИБ для льготного расчёта штрафов по 420-ФЗ. Для снижения штрафа за утечку ПДн организация должна доказать, что тратила на ИБ не менее 0,1% выручки у лицензиатов ФСТЭК/ФСБ. Платформа ведёт реестр договоров с поставщиками ИБ, автоматически сверяет их с реестрами лицензий и формирует выгрузку для суда в нужном формате. Это может снизить итоговый штраф в несколько раз при доказанном соблюдении порогового условия. Подробнее об оборотных штрафах 420-ФЗ и механизмах снижения — в отдельной статье.
Итоги: главное о штрафах за нарушения ИБ в 2026 году
Ландшафт регуляторных рисков изменился необратимо. Несколько ключевых выводов:
- Срок давности 1 год по ст. 13.12 означает, что нарушения прошлого года всё ещё могут повлечь штраф — проведите внутренний аудит прямо сейчас.
- Оборотные штрафы до 500 млн ₽ по 420-ФЗ реальны для любого крупного оператора ПДн при повторном инциденте. Первая утечка — предупреждение, вторая — угроза существованию бизнеса.
- Уголовная ответственность по ст. 272.1 затрагивает не только внешних хакеров, но и собственных сотрудников, передавших клиентские данные третьим лицам.
- Дисквалификация и приостановление деятельности часто страшнее штрафа — запланируйте выполнение предписаний ФСТЭК как приоритетную задачу.
- Льгота по 420-ФЗ (снижение штрафа при расходах на ИБ ≥0,1% выручки) работает только при правильно оформленных документах — начинайте вести реестр расходов заблаговременно.
Вопрос уже не в том, придёт ли ФСТЭК или Роскомнадзор. Вопрос в том, найдут ли они нарушения — и будет ли у вас документальное подтверждение того, что вы делали всё правильно.
Запросите демо КиберОснова — покажем, как платформа контролирует выполнение требований ФСТЭК, ведёт реестр доказательств и формирует отчёты для регулятора. Запросить демо →
