Штрафы и проверки по КИИ в 2026 году: обзор ст. 13.12.1 КоАП РФ и новой ст. 13.12.2

В 2026 году регуляторное давление на субъектов критической информационной инфраструктуры достигло рекордного уровня. ФСТЭК выявила более 1200 нарушений за один год, Госдума рассматривает законопроекты об ужесточении ответственности, а Минцифры готовит оборотные штрафы за срыв импортозамещения. Только 35% проверенных объектов КИИ соответствуют минимальному базовому уровню безопасности.

В этом обзоре мы разбираем все виды штрафов и санкций по КИИ — от административных (до 500 тыс. руб.) до уголовных (до 10 лет лишения свободы), а также даём практический чек-лист подготовки к проверке ФСТЭК.

Оборотные штрафы за срыв импортозамещения на объектах КИИ

Помимо действующих и проектируемых штрафов по КоАП, субъекты КИИ сталкиваются с ещё одной серьёзной финансовой угрозой — оборотными штрафами за несоблюдение требований по переходу на отечественное программное обеспечение. Инициатива Минцифры, озвученная главой ведомства Максутом Шадаевым, предполагает введение штрафов, привязанных к годовой выручке компании.

Нормативная база и сроки

Требование о переходе на российское ПО и оборудование на значимых объектах КИИ закреплено указами Президента РФ № 166 от 30.03.2022 и № 250 от 01.05.2022, а также Федеральным законом от 31.07.2025 № 325-ФЗ, вступающим в силу с 01.03.2026. С 1 января 2025 года уже действует запрет на использование иностранных средств защиты информации на объектах КИИ.

Ключевые даты для субъектов КИИ:

• До 1 июня 2026 г. — ведомства утверждают отраслевые планы перехода субъектов КИИ на отечественное ПО.
• До 1 сентября 2026 г. — компании, которым требуется длительное внедрение, должны заключить контракт на внедрение российских решений. В этом случае на завершение даётся 48 месяцев.
• 1 января 2028 г. — основной дедлайн перехода на российский софт.
• До 1 декабря 2030 г. — предельный срок продления при наличии объективных оснований по решению президиума правительственной комиссии по цифровому развитию.

Размер оборотных штрафов

Конкретные размеры оборотных штрафов пока обсуждаются. Однако по аналогии с оборотными штрафами за утечку персональных данных (до 3% годовой выручки, введённые в 2025 году) можно ожидать сопоставимые величины. Принципиальная особенность — штрафы будут взиматься ежегодно до тех пор, пока компания не выполнит требования по переходу.

По оценкам АРПП «Отечественный софт», к концу 2025 года на российское ПО перешли только 40–45% субъектов КИИ. Это означает, что более половины организаций потенциально попадают под действие будущих оборотных штрафов.

Возможности отсрочки

Законодательство предусматривает несколько механизмов отсрочки. Компания может заключить с правительством соглашение о реализации особо значимого проекта (ОЗП) по созданию недостающего отечественного решения — это даёт перенос срока на два года. Для программно-аппаратных комплексов (ПАК) разрешена эксплуатация зарубежных решений до истечения срока амортизации.

Проверки ФСТЭК в 2026 году: порядок, основания, статистика

Государственный контроль в области обеспечения безопасности значимых объектов КИИ осуществляется ФСТЭК России в соответствии с постановлением Правительства РФ от 17.02.2018 № 162. В 2026 году количество проверок, по заявлению представителей ведомства, будет существенно увеличено.

Виды проверок

Плановые проверки проводятся в соответствии с ежегодным планом, утверждаемым руководителем ФСТЭК. Основание для включения в план — истечение 3 лет с момента внесения значимого объекта КИИ в реестр или с даты последней плановой проверки. ФСТЭК уведомляет субъектов заблаговременно — как правило, в декабре предшествующего года.

Внеплановые проверки могут проводиться по следующим основаниям: поступление информации о нарушении требований безопасности, истечение срока исполнения ранее выданного предписания, компьютерный инцидент на объекте КИИ, поручение Президента или Правительства РФ.

Что проверяет ФСТЭК

При проверке должностные лица ФСТЭК вправе:

• знакомиться с документами, касающимися обеспечения безопасности значимых объектов КИИ;
• получать доступ к значимым объектам КИИ;
• проводить оценку эффективности принимаемых мер по обеспечению безопасности с использованием сертифицированных программных и аппаратно-программных средств контроля;
• проверять состав комиссии по категорированию и документирование её деятельности;
• сверять фактический состав объектов КИИ с данными реестра;
• выявлять новые создаваемые объекты КИИ, не прошедшие категорирование.

Важно: даже если в уведомлении о проведении проверки указаны только значимые объекты КИИ, ФСТЭК уполномочена проверить корректность работы комиссии по категорированию в целом, включая объекты без присвоенной категории.

Статистика 2025 года

По данным начальника управления ФСТЭК Елены Торбенко, в 2025 году ведомство проверило данные почти по 800 значимым объектам КИИ и ещё столько же — в рамках проверок государственных органов. Результаты:

• выявлено более 1200 нарушений обязательных требований;
• составлено 603 протокола об административных правонарушениях (111 — по ст. 13.12.1, 492 — по ст. 19.7.15 КоАП);
• выдано более 2000 предписаний;
• почти половина нарушений, по оценке экспертов, может быть использована злоумышленниками для полного прекращения штатного функционирования объекта;
• 98% нарушений связаны с несоответствием фактического состава значимых объектов КИИ сведениям, включённым в реестр.

Результаты проверки и последствия

По итогам проверки составляется акт в 3 экземплярах, один из которых вручается руководителю субъекта КИИ. Если нарушения не устранены на месте, выдаётся предписание с указанием срока устранения. Неисполнение предписания является основанием для внеплановой проверки и дополнительных штрафных санкций. В 2024 году за нарушения в сфере КИИ были привлечены к ответственности более 300 организаций.

Сводная таблица штрафов и санкций по КИИ

Ниже приведена сводная таблица, объединяющая действующие и проектируемые нормы ответственности за нарушения в области безопасности КИИ. Таблица поможет юристам и руководителям быстро оценить финансовые и правовые риски.

Обратите внимание: статья 19.7.15 КоАП РФ также имеет прямое отношение к субъектам КИИ. Она устанавливает ответственность за непредставление или нарушение сроков представления во ФСТЭК сведений о результатах категорирования объектов КИИ. С декабря 2025 года штрафы по этой статье распространены и на случаи передачи недостоверных сведений.

Чек-лист: как подготовиться к проверке и снизить риски

Ниже представлен практический чек-лист для руководителей и юристов субъектов КИИ. Выполнение этих пунктов существенно снизит риски штрафов при плановой или внеплановой проверке ФСТЭК.

Категорирование и реестр

• Убедитесь, что комиссия по категорированию создана, её состав утверждён приказом руководителя, деятельность документирована.
• Сверьте фактический перечень объектов КИИ с данными реестра ФСТЭК — 98% нарушений связаны именно с расхождениями.
• Проверьте, все ли новые информационные системы и АСУ ТП прошли категорирование в соответствии с ПП РФ № 1762.
• Убедитесь, что сведения о результатах категорирования направлены во ФСТЭК в установленные сроки.

Система безопасности

• Проверьте наличие и актуальность модели угроз для каждого значимого объекта КИИ.
• Убедитесь, что система безопасности создана в соответствии с требованиями приказа ФСТЭК № 235.
• Проверьте выполнение мер по обеспечению безопасности в соответствии с приказом ФСТЭК № 239.
• Все используемые средства защиты информации должны быть сертифицированы и не должны быть произведены в «недружественных» странах (требование Указа Президента № 250).
• Назначьте ответственных лиц за обеспечение безопасности КИИ, утвердите организационно-распорядительную документацию.

Реагирование на инциденты

• Разработайте и утвердите план реагирования на компьютерные инциденты.
• Обеспечьте техническую возможность информирования НКЦКИ в течение 24 часов с момента обнаружения инцидента.
• Проведите учебные тренировки по реагированию на инциденты с фиксацией результатов.

Импортозамещение

• Проведите аудит используемого ПО и оборудования на объектах КИИ.
• Составьте план перехода на отечественные решения с учётом отраслевых особенностей и типовых перечней объектов КИИ.
• Если полный переход к 2028 году невозможен — заключите контракт на внедрение российского ПО до 1 сентября 2026 года.
• Рассмотрите возможность участия в программе ОЗП для получения отсрочки.

Документация для проверки

• Подготовьте комплект документов в соответствии с типовым запросом ФСТЭК: приказы, акты категорирования, модели угроз, техническое задание на систему безопасности, проектная и эксплуатационная документация.
• Храните документы в структурированном виде — их комплектность проверяется в первую очередь.
• Фиксируйте все изменения в составе объектов КИИ и их компонентов — это позволит избежать расхождений с реестром.

Итог

2026 год становится переломным в регулировании безопасности КИИ в России. Формируется трёхуровневая система ответственности: административные штрафы до 500 тыс. руб. по действующей ст. 13.12.1 и проектируемой ст. 13.12.2 КоАП, уголовная ответственность по ст. 274.1 УК за деяния с доказанным ущербом (до 10 лет лишения свободы) и оборотные штрафы за срыв импортозамещения.

ФСТЭК увеличивает число проверок, составляет сотни протоколов ежегодно, а нарушения выявляются практически у каждой проверенной организации. Только 35% значимых объектов КИИ соответствуют минимальному базовому уровню безопасности. В таких условиях системная подготовка к проверкам и приведение инфраструктуры в соответствие — не вопрос выбора, а необходимость.

Для руководителей компаний и юристов ключевой вывод: стоимость бездействия уже сегодня многократно превышает затраты на выполнение требований. А с принятием новых законопроектов и введением оборотных штрафов эта пропорция станет ещё более очевидной.

Нужна помощь с категорированием объектов КИИ или подготовкой к проверке ФСТЭК? Оставьте заявку — специалисты sertifikat.bz проведут бесплатную экспресс-оценку вашей ситуации. Звоните: 8(800) 70-70-144.