Уголовная ответственность за атаки на критическую инфраструктуру наступит только при доказанном ущербе. За ошибки эксплуатации дадут штраф

В Государственной Думе приняли в первом чтении законопроекты, направленные на повышение безопасности критической информационной инфраструктуры. Законопроекты разделяют ответственность за ИТ-инциденты. За технические ошибки и нарушения правил эксплуатации, не приведшие к уничтожению или утечке данных, грозят только административные штрафы. Уголовная же ответственность может сохраниться за доказанное нанесение ущерба компании.

Ответственность за кибератаки

В январе 2026 г. депутаты Государственной Думы (Госдумы) уточнили ответственность за кибератаки на критическую информационную инфраструктуру (КИИ) России, пишет «Коммерсант». Эксперты при этом указывают, что возможность избежать уголовного преследования через штраф может негативно повлиять на инвестиции бизнеса в кибербезопасность.

Госдума в первом чтении 27 января 2026 г. приняла два законопроекта (№1071966-8 и №1081976-8), которые меняют систему ответственности за ИТ-инциденты в сфере КИИ. В КИИ входят информационные системы, телекоммуникационные сети, автоматизированные ИТ-системы управления и другие значимые ИТ-системы, функционирование которых критически важно для жизнедеятельности государства.

В частности, первым документом вносятся поправки к статью 274 Уголовного кодекса (УК) России, второй предлагает новую статью Кодекса об административных правонарушениях (КоАП).

Unsplash - Towfiqu barbhuiya Депутаты уточнили ответственность за кибератаки на КИИ, уголовная ответственность наступит только за доказанное нанесение ущерба компании

Инициативы, внесенные еще в ноябре 2025 г. депутатами от «Единой России», устанавливают двухуровневую систему ответственности: уголовная статья будет грозить за доказанное уничтожение, блокирование, модификацию или копирование данных КИИ, а за нарушения правил эксплуатации без таких последствий вводится административная ответственность.

Поправки к законопроектам

Законопроект №1071966-8 предлагает конкретизировать содержание статьи 274.1 УК «Неправомерное воздействие на КИИ России», дополнив ее перечнем последствий от противоправных действий. Преступлением будет считаться неправомерный доступ к охраняемой компьютерной информации, если он повлек уничтожение, блокирование, модификацию либо копирование компьютерной информации, содержащейся в российской КИИ.

Законопроект №1081976-8 дополняет КоАП нормой об ответственности за нарушение правил эксплуатации объектов КИИ. Максимальные штрафы за такое правонарушение будут достигать до 500 тыс. руб. для юридических лиц.

«В условиях, когда наша страна сталкивается с беспрецедентными вызовами и угрозами извне, важно дополнительно защитить системы критической информационной инфраструктуры», — отметил председатель Госдумы Вячеслав Володин. «Сбой в работе информационных систем, автоматизированных систем управления и всех цифровых компонентов может повлиять на жизненно важные отрасли, стабильность экономики и безопасность государства, его граждан. Предлагаемые нормы повысят эффективность профилактических мероприятий на таких объектах, усилят безопасность их функционирования, а также дифференцируют ответственность в зависимости от тяжести последствий нарушения», — заявил господин Володин.

Ответственность и штрафы

Штрафы для граждан составят 5-10 тыс. руб., для должностных лиц — 10-50 тыс. руб., для компаний — 100-500 тыс. руб. Сотрудник, допустивший нарушение, но активно помогавший следствию и сохранивший доказательства, может быть полностью освобожден от уголовной ответственности за это нарушение в сфере информационной безопасности (ИБ).

Риск подмены системных проблем

«Для сохранения ИТ-инцидента в административной плоскости компании необходимо документально подтвердить отсутствие воздействия на информацию», — говорит «Коммерсант» партнер юридической группы «Яковлев и партнеры» Антон Чуреков. Он отмечает, что на практике любой серьезный ИТ-инцидент, как правило, привлекает внимание правоохранительных органов, которые заинтересованы в поиске признаков преступления, поскольку возбуждение уголовного дела предоставляет существенно более широкий инструментарий процессуального воздействия (проведение обысков, назначение экспертиз и т.д.).

По словам консультанта департамента консалтинга и аудита компании «Информзащита» Антона Еременко, системные проблемы очень легко начать подменять персональными ошибками. Положение о добровольном сотрудничестве, в свою очередь, создает конфликт интересов, так как сотрудник, стремящийся минимизировать личные риски, может пойти на сотрудничество со следствием в ущерб интересам компании, которая предпочитает внутреннее разбирательство. «В целом введение рассматриваемой нормы может негативно сказаться на корпоративной культуре ИБ, поскольку сотрудники будут опасаться сообщать о проблемах внутри организации», — считает он.

«В реальной жизни компаниям действительно будет проще оформить нарушение правил эксплуатации, заплатить штраф и снять вопрос об уголовном деле»,— считает руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин. Однако такая тактика, считает он, не решает системных проблем ИБ. «Условная data loss prevention (DLP)-система со стоимостью внедрения в 3-5 млн руб., а также стоимость сопровождения выглядит как неоправданное расходование средств при штрафе в 500 тыс., который можно списать на операционный риск», — отмечает господин Полунин. По его мнению, проблема в том, что штраф — не альтернатива защите, так как повторный ИТ-инцидент может повлечь уже уголовную ответственность.