Когда начнут штрафовать субъектов КИИ? Уже скоро.

25 January

Когда начнут штрафовать субъектов КИИ? Уже скоро.

Начало

С момента внесения в ноябре 2020 года Правительством в Государственную Думу законопроекта поступили заключения от трех комитетов и Правового управления Государственной Думы. И 21 января 2021 года принято решение:

Включить проект федерального закона № 1048574-7 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части установления административной ответственности за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации» в проект порядка работы Государственной Думы 27 января 2021 года для рассмотрения в первом чтении.

Важный момент отражен в проекте ПОСТАНОВЛЕНИЯ ГОСУДАРСТВЕННОЙ ДУМЫ О проекте федерального закона № 1048574-7 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части установления административной ответственности за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации»

Комитету Государственной Думы по государственному строительству и законодательству доработать указанный законопроект с учетом поступивших поправок и внести его на рассмотрение Государственной Думы во втором чтении.

Таким образом, на второе чтение будет вынесен доработанный (измененный) законопроект, а не в текущей редакции.

Какие же замечания поступили от комитетов Госдумы к первому чтению:

ЗАКЛЮЧЕНИЕ на проект федерального закона № 1048574-7 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части установления административной ответственности за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации»

Комитет по государственному строительству и законодательству

Вместе с тем, Комитет обращает внимание, что проектируемые изменения в статью 23.1 Кодекса, предусматривающие возможность передачи административного дела на рассмотрение судье, представляется избыточным, так как проектируемые административные составы не предусматривают санкции, рассмотрение которых относится к исключительной компетенции судей.

Также представляется возможным, исходя из предлагаемых сроков давности привлечения к административной ответственности, предусмотреть возможность проведения административного расследования при рассмотрении указанных правонарушений (путем внесения изменений в статью 28.7 Кодекса).

Комитет Государственной Думы по энергетике

В тоже время, Комитет по энергетике обращает внимание, что предлагаемые законопроектом санкции не учитывают степени общественной опасности правонарушений

Так законопроектом предлагается установить административную ответственность субъекта КИИ за нарушение порядка обмена информацией между субъектами КИИ, предусмотрев за совершение данного правонарушения административный штраф для юридических лиц в размере от 100 до 500 тыс руб.

В соответствии с общими правилами назначения административных наказаний (статья 4.1 КоАП РФ) применение к нарушителям мер административной ответственности должно осуществляться с учетом характера совершенного деяния и оценкой их негативных последствий.

Порядок обмена информацией о компьютерных инцидентах между субъектами КИИ установлен приказом ФСБ России от 24.07.2018 № 368 (далее – Приказ). При этом административная ответственность может быть применена к субъекту КИИ за любое нарушение порядка обмена информацией.

Так, например, в соответствии с пунктом 4 Приказа при обмене информацией между собой субъекты КИИ направляют уведомления в формате представления информации в ГосСОПКА.

В случае несоблюдения указанных форматов, например, при передаче уведомления посредством телефонной связи, субъект КИИ может быть по формальным основаниям привлечен к административной ответственности за несоблюдение порядка, несмотря на то, что уведомление позволило предотвратить компьютерный инцидент со стороны другого субъекта, а нарушение не повлекло общественно опасных последствий.

В рассматриваемом случае, предлагаемая законопроектом административная ответственность не будет соответствовать степени общественной опасности совершенного правонарушения.

Важно также отметить, что за более серьезное деяние - нарушение требований к созданию систем безопасности значимых объектов КИИ, законопроектом предлагается установить значительно более мягкую ответственность для юридических лиц в виде административного штрафа в размере от 50 до 100 тыс руб (ч. 1 проектируемой ст. 13.121 КоАП РФ). При этом указанное правонарушение (по сравнению с нарушением обмена информацией между субъектами КИИ) может повлечь более серьезные последствия, в том числе нарушение функционирования объектов КИИ в результате компьютерной атаки, выход из строя объектов обеспечения жизнедеятельности населения, сетей связи, нанесение ущерба жизни и здоровью людей.

Различие в характере и степени общественной опасности правонарушений всегда должно быть связано с установлением различий в санкциях. Недопустимо, чтобы деяние обладало меньшей общественной опасностью, но большей наказуемостью и, наоборот, большей опасностью, но меньшей наказуемостью.

Учитывая изложенное, предлагаем уточнить, за какие именно нарушения сроков будет возможно накладывать штрафы, и дифференцировать санкции за непредставление информации и за нарушение сроков ее предоставления. Установить штрафы соизмеримые ущербу от правонарушения.

Кроме того, некорректно определять размер штрафов исходя из средней заработной платы руководителей структурных подразделений КИИ с сайта hh.ru. Структурные подразделения в соответствии с приказом ФСТЭК № 235 являются силами по обеспечению безопасности объектов КИИ. Уровень штрафов должен определяться исходя из ущерба, который значимый объект КИИ может причинить жизни и здоровью людей, государству и экологии. При этом приоритет должен отдаваться страхованию ответственности и профилактическим мероприятиям.

Также обращаем внимание, что реализация требований по обеспечению безопасности объектов КИИ, предусмотренных законодательством о безопасности КИИ, требует временных и материальных ресурсов от субъектов хозяйственной деятельности.

Переходный период, предусмотренный законопроектом, распространяется только для реализации отдельных положений проектируемой статьи 13.121 КоАП. Невыполнение остальных требований законопроекта может привести к многочисленным штрафам и значительным расходам хозяйствующих субъектов на уплату штрафов, тогда как эти средства могли бы пойти на реализацию требований законодательства о КИИ.

С учетом изложенного, предлагаем предусмотреть в законопроекте переходные положения, содержащие посильные для субъектов хозяйственной деятельности сроки для реализации установленных к ним требованиям в части обеспечения безопасности объектов КИИ.

Комитет Государственной Думы по информационной политике, информационным технологиям и связи

Отмечаем, что положения проектируемой законопроектом части 3 статьи 13.121 Кодекса Российской Федерации об административных правонарушениях требуют юридико-технического согласования с действующей частью 6 статьи 5 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации», и содержащиеся в указанной норме законопроекта слова «международными организациями, международными неправительственными и иностранными организациями», необходимо заменить словами «международными, международными неправительственными организациями и иностранными организациями».

Правовое управление Госдумы

В проектной части 1 статьи 13.121 Кодекса следует уточнить состав противоправных действий, согласовав их с нормами части 3 статьи 2741 Уголовного кодекса Российской Федерации, предусматривающих ответственность за неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации.

Проектная диспозиция части 2 статьи 19.715 Кодекса о нарушении «порядка либо сроков» представления в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации не согласуется с пунктом 6 части 4 статьи 6 Федерального закона от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и «Порядком информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации» (Приказ ФСБ России от 19 июня 2019 года № 282), согласно положениям которых установление вышеуказанных сроков включено непосредственно в порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации.

Следует отметить, что рассмотрение дел по административным правонарушениям, предусмотренным проектными статьями 13.121, 19.715 Кодекса, не относится к исключительной компетенции судей, в связи с чем представляется целесообразным в целях оптимизации функций лиц, составляющих протоколы по данной категории дел об административных правонарушениях, отнести рассмотрение соответствующих дел об административных правонарушениях к их ведению.

* Более подробно эти вопросы рассмотрены в материалах блога "Рупор бумажной безопасности" и телеграм-канале

** Подборка методических и вспомогательных материалов для субъектов КИИ - https://dzen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-bagaj-znanii-5e1e20f5e4fff000adc2aebf

*** Если вы не хотите быть субъектом КИИ - https://dzen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-protivnikam-chlenstva-v-klube-posviascaetsia-5e23304fc05c7100ae88019