Недавно на Федеральном портале проектов нормативных правовых актов был опубликован проект Федерального закона "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях", ID 02/04/01-22/00124438 от 26 января 2022 года.
Его разработчик - ФСТЭК России, соисполнители - Минцифры России, Минюст России, вид экономической деятельности - информационные технологии.
Таким образом, предлагаемые изменения относятся к статье 19.7.15 «Непредставление сведений, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации» и касаются того, что:
согласно первой части этой статьи предлагается штрафовать не только за непредставление, но также за представление неактуальных или недостоверных сведений о результатах присвоения объекту КИИ одной из категорий значимости, либо об отсутствии необходимости присвоения ему одной из таких категорий;
предлагается установить штрафы за повторное совершение вышеназванного административного правонарушения (дополнить статью 19.7.15 частью 3):
- для физлиц - от 50 000 до 100 000 рублей (впервые - от 10 000 до 50 000 рублей, то есть минимум вырастает в 5 раз, максимум – в два);
- для юридических лиц - от 150 000 до 500 000 рублей (впервые - от 50 000 до 100 000 рублей), то есть минимум вырастает в 3 раза, максимум – в пять.
Штрафы, устанавливающие административную ответственность за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, были введены после принятия Федерального закона от 26 мая 2021 года № 141-ФЗ.
Разработчиком проекта закона была ФСТЭК России, соисполнителем - ФСБ России. Проект был отнесен к видам экономической деятельности «Государственное управление; Информационные технологии», проходил публичное обсуждение в период с 18.10.2019 – 15.11.2019, в т.ч. независимая антикоррупционная экспертиза завершилась 6.11.2019 г.
По итогам процедуры оценки регулирующего воздействия было принято отрицательное заключение, с материалами можно ознакомиться на странице проекта данного закона, в т.ч. с заключением Минэкономразвития России. Но через полтора года в КоАП РФ были внесены изменения и дополнения, в том числе появились статьи:
13.12.1. Нарушение требований в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации.
19.7.15. Непредставление сведений, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации.
23.90. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации.
23.91. Федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
Закон вступил в силу с 6 июня 2021 года, кроме части 1 статьи 13.12.1:
«Нарушение требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования либо требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, если такие действия (бездействие) не содержат признаков уголовно наказуемого деяния, -
влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц - от пятидесяти тысяч до ста тысяч рублей», которая вступила в силу с 01.09.2021 г.
То есть ФСТЭК России и ФСБ России получили право штрафовать за непредоставление сведений (нарушение порядка и сроков информирования и т.п.) уже с 6 июня прошлого года, а с первого сентября – за нарушение требований к созданию систем безопасности и обеспечению функционирования, требований по обеспечению безопасности значимых объектов КИИ.
Но по состоянию на 04.02.2022 года в статистике Судебного департамента при Верховном Суде РФ отсутствует информация за 1 полугодие 2021 года о рассмотрении дел в части 1 статьи 13.12.01 (отчёт за весь 2021 год выйдет только во втором полугодии 2022 года). В общедоступных источниках и в ГАС «Правосудие» сведения по всем вышеназванным статьям также не найдены.
Тем не менее, мы видим, что спустя восемь месяцев ФСТЭК России по поручениям Президента и Правительства внесены предложения об ужесточении мер в части непредоставления сведений о категорировании объектов КИИ (статья 19.15.7). Первое поручение датировано 05.06.2021 г. (за день до вступления в силу изменений в КоАП РФ в части штрафов за КИИ), четвертое – 14.01.2022 г. (см. паспорт проекта на сайте).
ФСТЭК также сообщает, что в ходе осуществления государственного контроля были «… выявлены случаи представления субъектами критической информационной инфраструктуры неактуальных или недостоверных сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, а также случаи непредставления актуализированных сведений субъектом критической информационной инфраструктуры при изменении в процессе эксплуатации принадлежащих ему объектов критической информационной инфраструктуры. Данные факты не позволяют проводить полноценную оценку уровня защищенности объектов критической информационной инфраструктуры, а также своевременно реагировать на угрозы безопасности объектов критической информационной инфраструктуры в случае выявления таких угроз.
Кроме того, отдельные субъекты критической информационной инфраструктуры допускают повторное непредставление, а также представление неактуальных или недостоверных сведений, или нарушение сроков представления в ФСТЭК России сведений о результатах присвоения объекту критической информационной инфраструктуры Российской Федерации одной из категорий значимости, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, либо об отсутствии необходимости присвоения ему одной из таких категорий. Данные факты свидетельствуют об уклонении субъектов критической информационной инфраструктуры от реализации требований законодательства Российской Федерации о безопасности критической информационной инфраструктуры, что может привести к нарушению штатного функционирования значимых объектов критической информационной инфраструктуры, создавая реальную угрозу жизни и здоровью граждан, приводить к дестабилизации финансовой системы страны, создавать предпосылки для нарушения безопасности государства» (см. пояснительную записку и сводный отчёт в паспорте проекта на сайте).
Интересно, что в сводном отчёте сказано:
- Затраты на реализацию требований законопроекта и риски отсутствуют.
- Количество субъектов КИИ - 300 000.
- ФСТЭК России и ФСБ России с 2018 года направлено более 5 000 писем субъектам критической информационной инфраструктуры о необходимости реализации норм Федерального закона № 187-ФЗ.
- С 2017 года принято участие более чем в 400 мероприятиях.
- Осуществляется сопровождение деятельности субъектов КИИ по обеспечению безопасности принадлежащих им объектов КИИ: на текущий момент сопровождается более 1 300 субъектов, всего с 2018 года – более 5 000 субъектов КИИ.
- По состоянию на 28 января 2022 г. субъектами КИИ не соблюдены сроки представления в ФСТЭК России сведений о результатах категорирования более чем по 1 500 объектам КИИ.
- «При определении размеров административных штрафов, предусмотренных проектируемой частью 3 статьи 19.7.15, учитывались сведения об ущербах, возникших в результате компьютерных атак на критическую информационную инфраструктуру». Интересно было бы увидеть полную статистику, разумеется, без наименований и адресов объектов, достаточно отраслей.
- «При определении максимальных размеров административных штрафов учитывалось также то, что штрафы должны быть направлены на предупреждение совершения правонарушений, не подавляя экономическую самостоятельность субъектов критической информационной инфраструктуры, не ограничивая их право собственности, учитывать реальное финансовое и имущественное положение привлекаемого к административной ответственности. Нижняя граница размеров предлагаемых административных штрафов позволяет надлежащим образом учесть характер и последствия совершенного административного правонарушения, а также реализовать дифференциацию административной ответственности и индивидуализацию административного наказания с учетом значимости объектов критической информационной инфраструктуры». Возможно, появится документ с критериями установления штрафов в зависимости от перечисленных условий?
До окончания публичного обсуждения еще три недели и у вас, уважаемые коллеги, есть возможность подать свои предложения через сайт – Федеральный портал проектов нормативных правовых актов