Дата публикации: 22.04.2026

С 2024 года нарушение требований 187-ФЗ обходится дороже. Уголовная ответственность — реальная, административные санкции растут. Разбираем, что грозит субъектам КИИ и как не встретить регулятора неготовым.

Административная ответственность за нарушения в сфере КИИ

Административная ответственность за нарушения в сфере КИИ предусмотрена статьями 13.12.1 и 19.7.15 КоАП РФ (непредставление или недостоверность сведений о категорировании — ст. 19.7.15; нарушение требований к безопасности ЗОКИИ и порядка информирования об инцидентах — ст. 13.12.1). Санкции применяются к должностным и юридическим лицам за четыре группы нарушений:

  • непроведение или ненадлежащее проведение категорирования объектов КИИ;
  • нарушение требований к созданию системы безопасности значимых объектов (приказ ФСТЭК №235);
  • нарушение требований по обеспечению безопасности значимых объектов (приказ ФСТЭК №239);
  • нарушение порядка информирования об инцидентах.

Штраф — только часть картины. ФСТЭК одновременно выдаёт предписание об устранении нарушений. Не исполнишь в срок — новый протокол и новые санкции.

Уголовная ответственность по ст. 274.1 УК РФ

Аудит объектов КИИ до прихода ФСТЭК

Выявим нарушения и устраним заблаговременно. Снизим риск предписаний и штрафов при плановой проверке.

Обсудить аудит

Аудит объектов КИИ до прихода ФСТЭК

Выявим нарушения и устраним их до плановой проверки — снизим риск предписаний и штрафов

Обсудить аудит

Статья 274.1 УК РФ работает жёстче, чем многие ожидают. Уголовная ответственность наступает за:

  • Создание вредоносного ПО для КИИ — лишение свободы на срок от 2 до 5 лет (ч. 1 ст. 274.1 УК РФ);
  • Нарушение правил эксплуатации средств хранения и обработки информации на объектах КИИ — до 6 лет;
  • Неправомерный доступ к охраняемой информации на объектах КИИ — от 2 до 6 лет;
  • Тяжкие последствия от любого из составов — до 10 лет.

Ключевой момент по ч. 3: нарушение правил эксплуатации не требует доказательства умысла на причинение вреда. Достаточно самого факта нарушения, повлёкшего последствия.

После инцидента на значимом объекте следователи проверяют, выполнены ли требования приказов №235 и №239. Не создана система безопасности, не реализованы меры — это уже нарушение правил эксплуатации.

Ответственность за непроведение категорирования

Непроведение категорирования ФСТЭК выявляет без инцидентов. По факту поступивших (или не поступивших) сведений. Типичные нарушения:

  • категорирование не проведено вообще;
  • перечень объектов не утверждён или неполный;
  • состав комиссии не соответствует ПП-127 п. 11;
  • сведения не направлены во ФСТЭК в течение 10 рабочих дней после утверждения акта;
  • категория присвоена необоснованно заниженная — без анализа всех показателей критериев.

Всё это легко документируется. Именно поэтому категорирование — первый состав, который появляется в актах проверки.

О том, как провести категорирование правильно: пошаговая инструкция по категорированию объектов КИИ.

Ответственность за нарушение порядка информирования об инцидентах

Субъект КИИ передаёт информацию об инцидентах в НКЦКИ через ГосСОПКА: первичные сведения — в течение 3 часов с момента обнаружения, подробная информация — в течение 24 часов. После ликвидации — результаты расследования.

Пропустил 3-часовое окно — самостоятельный состав по ст. 13.12.1 КоАП РФ. Плюс ФСТЭК и ФСБ вправе назначить внеплановую проверку. По её итогам к нарушению уведомительного порядка добавятся все ранее не выявленные нарушения требований безопасности.

Кто проверяет субъектов КИИ

Надзор делится между двумя регуляторами:

РегуляторЧто проверяетПериодичность плановых проверок
ФСТЭК РоссииКатегорирование, требования приказов №235 и №239, ведение реестра значимых объектовраз в 3 года (187-ФЗ ст. 13 ч. 2) — срок единый для всех категорий
ФСБ РоссииВзаимодействие с ГосСОПКА, порядок информирования об инцидентах, средства обнаружения атакПо плану или по факту инцидента

Внеплановые проверки — без привязки к периодичности. Инцидент, жалоба, поручение прокуратуры — любой повод достаточен.

Оборотные штрафы за утечки ПДн: отдельная история

Если субъект КИИ обрабатывает персональные данные, у него есть и ответственность по 152-ФЗ. Закон от 30.11.2024 № 420-ФЗ ввёл оборотные штрафы за нарушения именно в сфере персональных данных — до 15 млн руб. или процент от выручки. К 187-ФЗ эти санкции прямого отношения не имеют, но для субъектов КИИ в медицине, банках или госорганах оба риска накапливаются одновременно.

Как снизить риски до прихода ФСТЭК

Пять конкретных шагов:

  • Провести или актуализировать категорирование по ред. ПП-127 от 07.11.2025 — учесть обновлённые отраслевые типовые перечни.
  • Реализовать меры защиты по приказу ФСТЭК №239 (ред. от 28.08.2024) — объём зависит от присвоенной категории значимости.
  • Подключиться к ГосСОПКА или заключить договор с аккредитованным центром.
  • Назначить ответственного за реагирование на инциденты и прописать порядок 3-часового уведомления.
  • Провести внутренний аудит КИИ до плановой проверки ФСТЭК — выявить и устранить нарушения заблаговременно, а не объяснять их на месте.

«Кредо-С» проводит аудит информационной безопасности объектов КИИ и помогает привести защиту в соответствие требованиям 187-ФЗ до прихода регулятора. Обзор обязательств субъектов КИИ — в материале «Критическая информационная инфраструктура». Полный цикл: категорирование → аудит → создание системы безопасности.

Часто задаваемые вопросы

Какая статья КоАП предусматривает ответственность за нарушения в сфере КИИ?
Статья 13.12.1 КоАП РФ «Нарушение требований в области обеспечения безопасности объектов критической информационной инфраструктуры». Санкции применяются к должностным и юридическим лицам за нарушения при категорировании, несоблюдение требований приказов ФСТЭК №235 и №239, нарушение порядка информирования об инцидентах.
Когда наступает уголовная ответственность за нарушения в сфере КИИ?
По статье 274.1 УК РФ. Составы: создание вредоносного ПО для КИИ (до 5 лет), нарушение правил эксплуатации объектов КИИ (до 6 лет), неправомерный доступ к информации на объектах КИИ (до 6 лет), тяжкие последствия от этих деяний (до 10 лет). Уголовная ответственность распространяется на должностных лиц субъекта КИИ.
Как часто ФСТЭК проводит проверки субъектов КИИ?
Плановые проверки: для объектов первой категории — раз в 3 года, для второй и третьей — раз в 5 лет. Внеплановые проверки назначаются после инцидента, на основании жалобы или по поручению прокуратуры — без привязки к периодичности.
Что такое оборотные штрафы 420-ФЗ и относятся ли они к КИИ?
Закон от 30.11.2024 № 420-ФЗ ввёл оборотные штрафы до 15 млн руб. за нарушения в сфере персональных данных (152-ФЗ), а не за нарушения 187-ФЗ. Если субъект КИИ обрабатывает персональные данные (медицина, банки, госорганы), оба вида ответственности могут возникнуть одновременно.
Что будет, если не провести категорирование объектов КИИ?
Административная ответственность по ст. 13.12.1 КоАП РФ и предписание ФСТЭК об устранении нарушения. ФСТЭК фиксирует отсутствие категорирования без инцидента — по факту отсутствия или неполноты поступивших сведений. Неисполнение предписания в установленный срок влечёт повторные санкции.

Остались вопросы? Оставьте заявку

Ваше имя:*
Телефон:*
E-mail:*
Опишите вашу задачу:

Я соглашаюсь на обработку персональных данных