Государственная Дума РФ приняла два федеральных закона, которые уточняют и смягчают ответственность за ненадлежащую эксплуатацию объектов критической информационной инфраструктуры (КИИ). Основная цель инициативы - снизить кадровые риски в жизненно важных отраслях и привести правоприменительную практику в соответствие с реальными угрозами.
Законопроекты за номером 1071997-8 и 1071966-8, внесённые ещё в ноябре 2025 года, вносят поправки в Уголовный кодекс и Кодекс об административных правонарушениях. Ключевое изменение касается статьи 274.1 УК РФ, устанавливающей наказание за нарушения правил эксплуатации объектов КИИ. По сути, законодатели провели декриминализацию ряда деяний, переводя их в разряд административных проступков, если они не повлекли реального ущерба.
В пояснительной записке к законопроекту авторы указывают на необходимость чёткого определения вреда. Сейчас суды зачастую трактуют вред как простое копирование или изменение информации в системах КИИ, что ведёт к избыточной уголовной ответственности. Новые формулировки прямо указывают, что уголовное преступление возникает только если неправомерный доступ или нарушение правил эксплуатации повлекли уничтожение, блокирование, модификацию либо копирование компьютерной информации. Таким образом, уточняется объективная сторона состава преступления.
Параллельно в КоАП РФ вводится новая статья 13.122 - «Нарушение правил эксплуатации объектов критической информационной инфраструктуры Российской Федерации». Именно сюда перемещаются все нарушения, не подпадающие под новый, более строгий, уголовный порог. Штрафы по этой статье для граждан составят от 5 до 10 тысяч рублей, для должностных лиц - от 10 до 50 тысяч, а для юридических лиц - от 100 до 500 тысяч рублей.
Главным мотивом таких изменений депутаты называют снижение риска оттока квалифицированных кадров из организаций - субъектов КИИ. К таким субъектам относятся предприятия топливно-энергетического комплекса, здравоохранения, транспорта, связи и других стратегических отраслей. Многие сотрудники там являются рядовыми пользователями регулируемых систем, и ранее даже незначительные технические нарушения могли формально попадать под уголовные статьи, создавая неоправданные кадровые и репутационные риски для бизнеса.
Кроме того, в уголовную статью добавлено важное примечание о возможности освобождения от ответственности. Лицо, нарушившее правила эксплуатации, может избежать уголовного преследования, если активно способствует раскрытию инцидента и сохраняет следы атаки. Данная норма призвана поощрять открытость и скорейшее реагирование на киберинциденты, что является одной из лучших практик в мировой информационной безопасности.
Эксперты отмечают, что инициатива носит взвешенный характер. С одной стороны, она снимает излишнее давление с персонала и компаний, фокусируя уголовное право на реально опасных деяниях, таких как саботаж или работа злонамеренного вредоносного программного обеспечения. С другой стороны, административная ответственность сохраняет действенный механизм влияния на нарушителей. При этом для серьёзных атак, которые могут парализовать работу критической инфраструктуры, уголовные санкции остаются в силе.
Принятые законы стали результатом анализа накопленной судебной практики и дискуссий с отраслевым сообществом. Ожидается, что данные меры будут способствовать более эффективному и справедливому регулированию в области защиты КИИ, а также помогут организациям сосредоточиться на реальном повышении киберустойчивости, а не на кадровых страхах.
