Комментарии

Когда в компании происходит инцидент в сфере информационной безопасности, включая утечку данных, хакерскую атаку или отказ критической системы, вопрос о том, кто должен отвечать за произошедшее, зачастую поднимается с опозданием. Между тем уголовное законодательство предусматривает возможность привлечения к ответственности не только непосредственных виновников взлома, но и руководителей, не обеспечивших надлежащую защиту. О серьёзном ужесточении статьи 274 Уголовного кодекса РФ — в статье к.ю.н., младшего партнёра АБ «Бельский и партнёры» Ольги Кубанцевой.

*КИИ - критическая информационная инфраструктура.

Кто в зоне риска

Компании - субъекты КИИ часто ошибочно воспринимают требования законодательства как формальную регуляторную процедуру: провести категорирование, отчитаться перед ФСТЭК, зафиксировать инцидент. Такой подход опасен. Уголовно-правовая логика значительно строже: она оценивает не факт исполнения формальных шагов, а реальную способность предотвратить нарушение и его последствия.

Закон прямо устанавливает ответственность за нарушение правил эксплуатации и доступа к системам КИИ, если это повлекло вред. При этом для квалификации по части 3 статьи 274 УК РФ не требуется доказывать личное участие руководителя в неправомерных действиях. Достаточно установить, что регламенты отсутствовали, были формальными или не доведены до исполнителей, что впоследствии привело к инциденту. Такой подход применим по уголовным делам, связанным с так называемыми составами - нарушениями правил.

Круг потенциальных обвиняемых максимально широк и на практике выходит за пределы «очевидно ответственных» лиц. Уголовный закон разделяет ответственность на:

• общую — для любого лица,умышленно нарушившего правила доступа;
• специальную — для тех, кто обязан обеспечивать безопасную эксплуатацию систем.

Во вторую категорию попадают не только штатные сотрудники субъекта КИИ, но и подрядчики, действующие вне периметра компании, а также любые лица, получившие легитимный доступ к системам (по договору, поручению или фактически сложившейся практике). Иными словами, ИТ-аутсорсер, игнорирующий регламенты, несёт те же уголовные риски, что и внутренний администратор.

Отдельно закреплена ответственность руководителя субъекта КИИ и его заместителей, курирующих информационную безопасность (приказ ФСТЭК России № 235). При наступлении тяжких последствий - остановке деятельности, утечке охраняемой информации - речь может идти не о штрафах, а о лишении свободы на срок от пяти до десяти лет с запретом занимать должности (ч. 5 ст. 274 УК РФ).

Что считается нарушением правил эксплуатации

Статья 274 УК РФ относится к бланкетным нормам (то есть нормам-отсылкам): она не содержит закрытого перечня запретов, а опирается на нормативные правовые акты, отраслевые требования и локальные документы организаций.

К правилам эксплуатации, в частности, относятся:

• инструкции по управлению доступом;
• регламенты реагирования на инциденты;
• политики информационной безопасности.

Верховный Суд разъяснил, что ответственность может основываться как на федеральных актах, так и на локальных нормативных документах — при условии, что они приняты во исполнение законодательства и доведены до работников (на примере п. 12 Постановления Пленума № 37 от 15.12.2022). Судебная практика формирует устойчивую причинно-следственную цепочку: отсутствие документированных правил ведёт к фактическому нарушению требований эксплуатации, что, в свою очередь, устанавливает причинную связь с инцидентом и влечёт квалификацию по ст. 2741 УК РФ. Именно поэтому отсутствие регламентов рассматривается не как нейтральное обстоятельство, а как юридически значимый дефект управления.

Суды толкуют «правила эксплуатации» широко: в их число входят не только общие нормативные требования, но и любые внутренние документы - должностные инструкции, стандарты предприятия, положения, приказы. Отдельно проверяется, был ли работник с ними ознакомлен: этот факт суды признают юридически значимым. Когда нарушение таких правил и его связь с вредом объекту КИИ или с нарушением целостности данных доказаны, квалификация по ст. 2741 УК РФ признаётся обоснованной. Если же вред или причинная связь не подтверждены — обвинение по этой статье не удерживается.

Аналогичная логика прослеживается в определении Второго кассационного суда общей юрисдикции от 10 июня 2025 года по делу № 77-1634/2025: отсутствие надлежащего категорирования объектов КИИ и соответствующих мер защиты было признано достаточным основанием для обвинительного приговора.

Однако в настоящее время практика может значительно измениться.

Законодательство ужесточается

В 2026 году регулирование в сфере КИИ претерпевает существенные изменения. Государственная Дума РФ приняла поправки к части 3 статьи 274 УК РФ (законопроект № 1071966-8), уточняющие последствия, образующие состав преступления.

В результате формируется более жёсткая правоприменительная логика: установлен конкретный перечень последствий (уничтожение, блокирование, модификация, копирование). Тем самым исключено расширительное толкование понятия «вред», упрощено доказывание объективной стороны (самого факта нарушения), повышена вероятность квалификации деяния по ст. 2741 УК РФ.

Конкретизация состава сужает пространство для интерпретации и существенно ограничивает возможности защиты, переводя оценку из дискуссионной плоскости в формально-юридическую.

Одновременно законодатель вводит условие освобождения от уголовной ответственности: фиксация и сохранение следов инцидента в сочетании с активным содействием расследованию могут снизить общественную опасность деяния и стать основанием для прекращения уголовного преследования.

Параллельно формируется двухуровневая модель ответственности:

• административная - при формальных («бумажных») нарушениях без наступивших последствий;
• уголовная - при наступлении последствий, прямо указанных в законе.

Как снизить риски

Практические меры включают три блока.

Выявление пробелов, которые будут квалифицированы как нарушение. Проведите анализ внутренних документов, регулирующих безопасность значимых объектов КИИ, с фокусом на зоны, которые при проверке или расследовании будут интерпретированы как несоответствие требованиям. В частности, проверьте корректность категорирования по постановлению № 92, наличие и актуальность планов мероприятий, полноту документации по значимым объектам и результаты анализа уязвимостей.

Закрепление ответственности, иначе она будет распределена следствием. Обязанности по обеспечению безопасности КИИ должны быть закреплены за конкретными должностными лицами с подтверждённой квалификацией (с учётом требований приказа ФСТЭК № 235 и Указа Президента РФ № 250 от 1 мая 2022 года). Если ответственность формально назначена, но не обеспечена полномочиями и ресурсами, при инциденте она будет перераспределена в рамках расследования, как правило, на уровень менеджмента.

Проверка реализуемости процедур, чтобы избежать фиксации их неработоспособности. Одного наличия регламентов недостаточно: необходимо подтвердить их фактическую применимость. Проведите моделирование инцидентов, протестируйте процедуры реагирования и уровень управленческого контроля — это позволит выявить неработающие элементы заблаговременно, пока они не зафиксированы следствием как системные нарушения.

Двухуровневая модель ответственности, вводимая поправками 2026 года, меняет саму логику корпоративного управления в сфере информационной безопасности. Граница между административным и уголовным риском теперь проходит не по факту инцидента, а по состоянию системы управления в момент его наступления: задокументированы ли правила, назначен ли ответственный, работают ли процедуры. Компании, выстраивающие эту систему превентивно, получают не только защитный аргумент в суде - они меняют саму природу своего киберриска с неуправляемого на управляемый.

РБК Компании

Прочитавших: 382