В российское административное и уголовное законодательство внесены изменения, усиливающие защиту критической информационной инфраструктуры (КИИ). Поправки утверждены Президентом РФ федеральными законами от 9 апреля 2026 г. № 76‑ФЗ и № 77‑ФЗ и направлены на то, чтобы повысить дисциплину эксплуатации значимых информационных ресурсов и снизить риск инцидентов в ключевых отраслях.
Новая административная ответственность: отдельная статья в КоАП
Главная новелла - введение в КоАП самостоятельной нормы об ответственности за нарушение правил эксплуатации объектов КИИ РФ. Речь идет о случаях, когда нарушаются правила эксплуатации:
- средств хранения, обработки или передачи охраняемой компьютерной информации, которая содержится в КИИ РФ;
- информационных систем, информационно‑телекоммуникационных сетей, автоматизированных систем управления;
- сетей электросвязи, относящихся к КИИ;
- а также правил доступа к указанным средствам и системам.
За такие действия предусмотрены штрафы, максимальный размер которых достигает 500 тыс. руб. Новые санкции приняты в дополнение к уже существующей ответственности за нарушение требований в сфере обеспечения безопасности КИИ по ст. 13.12.1 КоАП РФ. Иными словами, законодатель разделил акценты: отдельно - требования по безопасности, отдельно - дисциплина эксплуатации и доступа к инфраструктуре и данным.
Изменения в УК РФ: уточнение "вреда" и условия освобождения
Параллельно скорректирован Уголовный кодекс РФ: уточняется, что причинение вреда критической информационной инфраструктуре связано с такими последствиями, как уничтожение, блокирование, модификация либо копирование компьютерной информации, содержащейся в КИИ.
Также вводятся специальные основания освобождения от уголовной ответственности для лиц, которые нарушили правила эксплуатации средств хранения такой информации или правила доступа к ней, - при условии их активного участия в раскрытии или расследовании соответствующих преступлений. Это важный сигнал: государство усиливает ответственность, но одновременно стимулирует содействие расследованию, если нарушение стало частью более широкого инцидента.
Когда начнут действовать новые правила
Законы вступают в силу через 10 дней после официального опубликования. Это означает, что организациям и ответственным подразделениям важно заранее проверить внутренние регламенты эксплуатации и доступа, чтобы не столкнуться с риском штрафов в переходный период.
---
Что это означает на практике: кому стоит напрячься в первую очередь
Под риском оказываются не только "айти‑отделы". Новая ответственность касается всех, кто участвует в эксплуатации и доступе к системам КИИ: владельцев и операторов информационных систем, подразделений эксплуатации, администраторов, подрядчиков, а также руководителей, которые утверждают регламенты и распределяют полномочия.
Особое внимание будет к объектам, связанным с управлением технологическими процессами (АСУ ТП), сетями связи и системами, где хранится охраняемая компьютерная информация. Любой "обход процедур" - от несанкционированной настройки до неоформленного предоставления доступа - формально попадает в контур повышенного контроля.
Какие нарушения чаще всего приводят к санкциям
На практике наиболее типовые проблемные зоны выглядят так:
- предоставление прав доступа без оформления и без принципа минимальных привилегий;
- эксплуатация систем "по привычке", без утвержденных инструкций и журналирования действий;
- использование неразрешенных каналов передачи данных или обходных схем обмена;
- отсутствие контроля изменений (кто, когда и что менял в конфигурации);
- хранение охраняемой информации на неучтенных носителях или в неподходящих средах.
Даже если инцидента не произошло, сам факт нарушения правил эксплуатации или доступа может стать основанием для административного дела.
Как снизить риск штрафа до 500 тысяч: организационные меры
Комплаенс в сфере КИИ - это не только про технические средства защиты. В условиях новых штрафов критически важно "подстелить соломку" документами и процессами:
1) актуализировать и утвердить правила эксплуатации для всех относящихся к КИИ систем и средств;
2) описать роли и ответственность: кто администрирует, кто согласует изменения, кто выдает доступ;
3) ввести формальный процесс управления изменениями (заявка - согласование - выполнение - фиксация);
4) настроить и реально использовать журналы учета действий и событий;
5) формализовать порядок подключения носителей, резервного копирования и восстановления.
Доступ к КИИ: почему "временный доступ" должен быть оформлен как постоянный
Одна из самых уязвимых зон - разовые, аварийные и подрядные работы. Часто доступ дают "на пару часов" и забывают закрыть или не фиксируют, кто именно получил права. При новом подходе это может трактоваться как нарушение правил доступа, даже если цель была рабочей. Выход - заранее прописанные процедуры: временные учетные записи, срок действия, обязательное закрытие, журналирование и контроль выполнения.
Подрядчики и аутсорс: ответственность не исчезает
Передача поддержки на аутсорс не снимает с организации обязанности обеспечить соблюдение правил эксплуатации объектов КИИ. Если подрядчик работает в ваших системах, у вас должны быть:
- условия договора о порядке доступа и ответственности;
- регламент удаленного подключения и контроль сессий;
- перечень разрешенных действий;
- подтверждаемая отчетность: что делали, когда, на каком основании.
Что делать при инциденте, чтобы не усугубить последствия
С учетом уточнений в УК РФ важно понимать: действия, приводящие к уничтожению, блокированию, модификации или копированию информации в КИИ, получают более четкую квалификацию. Поэтому при инциденте опасны "самодеятельные" меры: стирание следов, хаотичные перезапуски, неконтролируемые изменения конфигурации.
Правильная тактика - зафиксировать событие, ограничить распространение, сохранить артефакты, действовать по утвержденному плану реагирования и обеспечить взаимодействие ответственных лиц. Отдельно стоит помнить, что активное содействие раскрытию и расследованию преступлений может стать юридически значимым обстоятельством, вплоть до специальных оснований освобождения от уголовной ответственности для нарушивших правила эксплуатации или доступа.
Обучение персонала: дешевле профилактики
Штрафы и уголовные риски чаще всего возникают не из-за сложных атак, а из-за рутинных ошибок: неверно выданные права, отключенный контроль, "удобные" исключения. Регулярные инструктажи, проверка знаний администраторов и эксплуатационных служб, тренировки по инцидентам и понятные чек‑листы для типовых операций дают быстрый эффект и снижают вероятность нарушений.
---
Поправки 2026 года делают эксплуатационную дисциплину в КИИ зоной повышенной ответственности: теперь формальные нарушения правил эксплуатации и доступа могут обернуться существенными штрафами, а последствия для информации в КИИ - получить более четкую уголовно‑правовую оценку. Для организаций лучший сценарий - заранее привести регламенты, доступ и процессы эксплуатации в порядок, чтобы соответствие было не "на бумаге", а в ежедневной практике.
