Время чтения: 10–12 минут | ЦА: юристы, GR-менеджеры, директора по комплаенсу
Приоритет риска: ВЫСОКИЙ
500 000 рублей — максимальный административный штраф для юридического лица за непредставление сведений в ГосСОПКА (ст. 19.7.15 КоАП РФ). При этом уголовная ответственность по ст. 274.1 УК РФ предусматривает до 10 лет лишения свободы за тяжкие последствия неправомерного воздействия на КИИ. Данный материал систематизирует санкции за нарушение Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и анализирует правоприменительную практику 2024–2025 годов.
Executive Summary
1. Административная ответственность: ст. 13.12.1 и 19.7.15 КоАП РФ устанавливают штрафы от 10 000 до 500 000 рублей для субъектов КИИ за нарушения порядка категорирования, обеспечения безопасности и информирования регуляторов.
2. Уголовная ответственность: ст. 274.1 УК РФ предусматривает наказание от штрафа до лишения свободы сроком до 10 лет за неправомерное воздействие на КИИ, повлекшее причинение вреда.
3. Статистика ФСТЭК 2024: проверено более 800 значимых объектов КИИ, выявлено свыше 800 нарушений. 89% объектов не соответствуют минимальному уровню защищённости.
4. Тренд 2025: существенный рост плановых проверок ФСТЭК России тех объектов, для которых истекло 3 года с момента внесения в реестр значимых объектов КИИ.
5. Практика по ст. 274.1 УК РФ: типичное наказание — условное лишение свободы от 1 до 4 лет с дополнительным запретом на деятельность в сфере КИИ.
Виды ответственности за нарушение 187-ФЗ
Федеральный закон № 187-ФЗ устанавливает требования к субъектам критической информационной инфраструктуры. За их нарушение предусмотрено два вида публично-правовой ответственности: административная и уголовная. Гражданско-правовая ответственность в виде возмещения убытков также возможна, однако специальных норм закон не содержит.
Административная ответственность наступает за формальные нарушения: несоблюдение порядка категорирования, непредставление сведений во ФСТЭК или ГосСОПКА, нарушение требований к системам безопасности. Уголовная ответственность наступает при причинении реального вреда КИИ: уничтожение, блокирование, модификация информации, нарушение работы объектов.
Административная ответственность (КоАП РФ)
Статья 13.12.1 КоАП РФ: нарушение требований безопасности КИИ
Данная статья введена Федеральным законом от 26.05.2021 № 141-ФЗ и устанавливает ответственность непосредственно за нарушения в сфере обеспечения безопасности критической информационной инфраструктуры.
Таблица 1. Размеры штрафов по ст. 13.12.1 КоАП РФ
| Нарушение | Должностное лицо | Юридическое лицо |
| Нарушение порядка категорирования объектов КИИ | 10 000 – 50 000 руб. | 50 000 – 100 000 руб. |
| Нарушение требований к созданию систем безопасности значимых объектов КИИ | 10 000 – 40 000 руб. | 50 000 – 100 000 руб. |
| Нарушение требований по обеспечению безопасности значимых объектов КИИ | 10 000 – 50 000 руб. | 50 000 – 100 000 руб. |
| Нарушение порядка информирования о компьютерных инцидентах | 10 000 – 50 000 руб. | 100 000 – 500 000 руб. |
Статья 19.7.15 КоАП РФ: непредставление сведений о КИИ
Статья 19.7.15 КоАП РФ предусматривает ответственность за непредставление или нарушение сроков представления во ФСТЭК России сведений о результатах категорирования объектов КИИ, а также за непредставление информации в ГосСОПКА.
Таблица 2. Размеры штрафов по ст. 19.7.15 КоАП РФ
| Нарушение | Должностное лицо | Юридическое лицо |
| Непредставление / нарушение сроков сведений о категорировании во ФСТЭК | 10 000 – 50 000 руб. | 50 000 – 100 000 руб. |
| Повторное непредставление / недостоверные сведения о категорировании | 50 000 – 100 000 руб. | 100 000 – 200 000 руб. |
| Непредставление / нарушение сроков информации в ГосСОПКА | 10 000 – 50 000 руб. | 150 000 – 500 000 руб. |
Существенный вред — оценочное понятие. На практике суды учитывают: нарушение функционирования объекта КИИ, количество пострадавших граждан, размер материального ущерба, угрозу жизни и здоровью. С 19 декабря 2024 года введена ответственность за передачу недостоверных сведений о присвоении категории значимости, а также установлены повышенные штрафы за повторные нарушения.
Уголовная ответственность (ст. 274.1 УК РФ)
Статья 274.1 УК РФ «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации» введена одновременно с 187-ФЗ и вступила в силу с 1 января 2018 года. Статья содержит пять частей и охватывает различные составы преступлений.
Таблица 3. Составы преступлений и санкции по ст. 274.1 УК РФ
| Часть статьи | Состав преступления | Санкция |
| Часть 1 | Создание, распространение, использование вредоносных программ для воздействия на КИИ | Лишение свободы до 5 лет со штрафом до 1 млн руб. |
| Часть 2 | Неправомерный доступ к охраняемой информации КИИ, повлекший причинение вреда | Лишение свободы до 6 лет со штрафом до 1 млн руб. |
| Часть 3 | Нарушение правил эксплуатации или доступа к КИИ, повлекшее причинение вреда | Лишение свободы от 2 до 5 лет |
| Часть 4 | Деяния по ч. 1–3 с использованием служебного положения, группой лиц или с причинением крупного ущерба | Лишение свободы от 3 до 8 лет |
| Часть 5 | Деяния по ч. 1–4, повлекшие тяжкие последствия | Лишение свободы от 5 до 10 лет |
Важно: для привлечения к ответственности по ст. 274.1 УК РФ не имеет значения, было ли проведено категорирование объектов КИИ и какие категории значимости были присвоены. Суды относят организацию к субъектам КИИ по сфере её деятельности, даже если формальное категорирование не завершено.
Судебная практика 2024–2025: разбор реальных дел
Дело 1. Инженер «Россетей»: отключение 38 населённых пунктов
Суд: Кирилловский окружной суд Вологодской области, апрель 2024 г.
Квалификация: ч. 4 ст. 274.1 УК РФ (использование служебного положения)
Фабула: 48-летний инженер 1 категории дочерней компании ПАО «Россети» удалённо со своего личного ноутбука отключил электроснабжение 38 населённых пунктов в Бабаевском, Устюженском, Шекснинском муниципальных образованиях Вологодской области. Пострадали промышленные предприятия и жилой сектор.
Приговор: 2 года лишения свободы условно с испытательным сроком 1,5 года, конфискация ноутбука.
Вывод: объекты электроэнергетики автоматически признаются объектами КИИ вне зависимости от формального категорирования. Личные устройства сотрудников с удалённым доступом — зона повышенного риска.
Дело 2. Сисадмин оборонного предприятия: удаление файлов
Суд: Ковровский городской суд Владимирской области, 2023–2024 гг.
Квалификация: ч. 3 ст. 274.1 УК РФ
Фабула: Системный администратор ВНИИ «Сигнал» (ГК «Ростех») после увольнения удалил файлы с рабочих серверов предприятия. Предприятие является субъектом КИИ как организация в сфере науки и оборонной промышленности.
Приговор: 1 год 6 месяцев лишения свободы условно с испытательным сроком 2 года, штраф 300 000 рублей.
Вывод: процедуры отзыва доступа при увольнении критически важны. Даже не значимый на первый взгляд ущерб квалифицируется по ст. 274.1 УК РФ.
Дело 3. Консультант салона связи: продажа SIM-карт по чужим данным
Суд: Ленинский районный суд г. Чебоксары, 2023–2024 гг.
Квалификация: ч. 4 ст. 274.1 УК РФ
Фабула: Консультант салона сотовой связи вносила в автоматизированную систему расчётов данные с копий паспортов третьих лиц для выполнения плана продаж. Оператор связи — субъект КИИ, система расчётов — значимый объект КИИ.
Приговор: 1 год 6 месяцев условно с лишением права заниматься деятельностью в сфере услуг связи на 2 года.
Вывод: внесение заведомо недостоверных данных в системы КИИ квалифицируется как уголовное преступление независимо от мотивов. Дискредитация деловой репутации оператора — достаточный вред для КИИ.
Дело 4. Продажа детализации звонков
Суд: Кировский районный суд г. Астрахани, 2024 г.
Квалификация: ч. 4 ст. 274.1, ч. 1 ст. 327 УК РФ
Фабула: Сотрудник салона связи за денежное вознаграждение выгружал детализацию телефонных переговоров клиентов из автоматизированной системы расчётов, являющейся значимым объектом КИИ.
Приговор: 3 года лишения свободы условно с испытательным сроком 2 года 6 месяцев.
Вывод: доступ к информации значимых объектов КИИ в личных корыстных целях влечёт повышенную ответственность по сравнению с обычной ст. 137 или 138 УК РФ.
Тренды судебной практики и правоприменения
1. Расширительное толкование понятия «субъект КИИ». Суды относят организации к субъектам КИИ по сфере деятельности (здравоохранение, связь, энергетика, транспорт и др.) независимо от завершения процедуры категорирования. Отсутствие формального статуса не освобождает от ответственности.
2. Репутационный ущерб как достаточный вред КИИ. Дискредитация деловой репутации субъекта КИИ, разглашение конфиденциальных сведений об абонентах — основание для квалификации по ст. 274.1 УК РФ даже при отсутствии материального ущерба.
3. Условные сроки как типичное наказание. Анализ приговоров показывает: при отсутствии тяжких последствий суды назначают условное лишение свободы от 1 до 4 лет. Реальное лишение свободы — исключение при наличии отягчающих обстоятельств.
4. Рост проверок ФСТЭК в 2025 году. Существенно увеличилось количество плановых проверок значимых объектов КИИ, для которых истекло 3 года с момента внесения в реестр. По данным ФСТЭК, в 40% случаев существовала реальная угроза стабильному функционированию объектов.
5. Низкий уровень защищённости. По методике оценки ФСТЭК (утверждена 2 мая 2024 г.), 49% объектов получили низшую оценку защищённости, 31% — среднюю. Лишь 11% организаций обеспечивают минимально допустимый уровень защиты.
Кейс: анатомия провала
Ситуация: медицинская организация (субъект КИИ в сфере здравоохранения) не провела категорирование объектов КИИ в установленный срок. При плановой проверке ФСТЭК выявлено отсутствие сведений о результатах категорирования.
Последствия:
— Штраф по ч. 1 ст. 19.7.15 КоАП РФ: 100 000 руб. на юридическое лицо;
— Штраф по ч. 1 ст. 19.7.15 КоАП РФ: 50 000 руб. на должностное лицо;
— Предписание об устранении нарушений в срок 30 дней;
— Повторная проверка через 30 дней: нарушения не устранены;
— Повторный штраф по ч. 2 ст. 19.7.15 КоАП РФ: 200 000 руб. на юрлицо;
— Информирование прокуратуры для рассмотрения вопроса о приостановлении деятельности.
Итого штрафов: 350 000 руб. Стоимость проведения категорирования на рынке: от 80 000 руб. Соотношение — 4:1 не в пользу нарушителя.
Заключение
Санкционный режим за нарушение 187-ФЗ продолжает ужесточаться. С 2024 года введены повышенные штрафы за повторные нарушения и недостоверные сведения. Уголовная практика по ст. 274.1 УК РФ демонстрирует готовность судов квалифицировать широкий спектр действий как неправомерное воздействие на КИИ.
Рекомендации для субъектов КИИ: (1) завершить категорирование; (2) внедрить систему безопасности в соответствии с приказами ФСТЭК № 235 и № 239; (3) обеспечить своевременное информирование ГосСОПКА; (4) провести аудит доступа сотрудников к системам КИИ; (5) подготовиться к плановым проверкам 2025–2026 годов.
Консультации по вопросам комплаенса КИИ:
Источники
1. Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
2. Кодекс Российской Федерации об административных правонарушениях, ст. 13.12.1, 19.7.15.
3. Уголовный кодекс Российской Федерации, ст. 274.1.
4. Постановление Правительства РФ от 08.02.2018 № 127 (ред. от 07.11.2025) «Об утверждении Правил категорирования объектов КИИ».
5. Методика оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов КИИ (утв. ФСТЭК России 02.05.2024).
6. Приговор Кирилловского окружного суда Вологодской области, апрель 2024 г. (дело инженера «Россетей»).
7. Приговор Ковровского городского суда Владимирской области (дело сисадмина ВНИИ «Сигнал»).
8. База судебных решений ГосСОПКА (gossopka.ru/doc/arbitrage).
9. Данные SOC Forum 2024 (доклад начальника управления ФСТЭК С. Бондаренко).
МАТЕРИАЛЫ ПО ТЕМЕ:
ГосСОПКА: как подключиться и не получить штраф
Реестр лицензиатов ФСТЭК: СЗКИ и ТЗКИ — Архитектура входа и протокол суверенного выхода
Исключение из реестра КИИ 2025–2026: Стратегия категорирования, и минимизации регуляторных рисков
Реестр российского ПО: как попасть и зачем. Фундаментальное руководство по цифровому суверенитету и налоговым стратегиям 2025–2026
