Если речь о том, что не выполнены обязательные требования (например, по защите значимого объекта, по реагированию/уведомлениям об инцидентах), то чаще всего привлекают юрлицо (субъект КИИ) и должностных лиц, которые обязаны были организовать выполнение требований.
Если речь о взломе/вредоносных действиях или о действиях/нарушениях, которые причинили вред КИИ, – это уже зона уголовной ответственности конкретных физлиц (включая тех, кто действовал “с использованием служебного положения”).
Что говорит законодательство
Сам 187-ФЗ прямо фиксирует общий принцип: за нарушение требований 187-ФЗ и подзаконных актов ответственность наступает “по общему законодательству РФ” (то есть по КоАП/УК и др.).
Административная ответственность (КоАП РФ)
КоАП РФ ст. 13.12.1 предусматривает ответственность и для должностных лиц, и для юридических лиц:
- за нарушение требований к созданию/функционированию системы безопасности значимых объектов КИИ или требований по обеспечению безопасности значимых объектов – штраф на должностных лиц 10–50 тыс. руб., на юрлиц 50–100 тыс. руб.;
- за нарушение порядка информирования об инцидентах/реагирования/ликвидации последствий атак в отношении значимых объектов – штраф на должностных лиц 10–50 тыс. руб., на юрлиц 100–500 тыс. руб.;
- за нарушение порядка обмена информацией об инцидентах – штраф на должностных лиц 20–50 тыс. руб., на юрлиц 100–500 тыс. руб..
Уголовная ответственность (УК РФ)
УК РФ ст. 274.1 устанавливает ответственность за неправомерное воздействие на КИИ РФ:
- создание/распространение/использование “вредоносного” для КИИ инструментария;
- неправомерный доступ к охраняемой информации в КИИ, если причинён вред;
- нарушение правил эксплуатации/правил доступа к объектам КИИ, если причинён вред;
- квалифицирующие признаки – группа, организованная группа, использование служебного положения, тяжкие последствия – санкции вплоть до лишения свободы (в т.ч. до 10 лет при тяжких последствиях).
Как это работает на практике
Обычно “расклад” по ответственности выглядит так:
- Юридическое лицо (субъект КИИ)
Привлекается, когда проверка/расследование показывает, что требования по значимому объекту не обеспечены как система: нет внедрённых мер, регламентов, контроля, инцидент-процедур и т.п. (это как раз “юридическое лицо” в КоАП 13.12.1). - Должностные лица
Привлекаются параллельно, когда видно, что обязанности по организации выполнения требований лежали на конкретных управленцах (руководитель, профильный заместитель, руководитель ИБ/ИТ, ответственный за КИИ/за значимый объект – в зависимости от распределения функций в компании). КоАП прямо выделяет субъектом ответственности “должностных лиц”. - Сотрудники/подрядчики/третьи лица как физлица
Если их действия подпадают под состав 274.1 (или иные составы УК по компьютерной информации), ответственность наступает персонально, причём “служебное положение” – отягчающий квалифицирующий признак в 274.1.
Выводы и рекомендации
187-ФЗ сам по себе говорит: ответственность – по КоАП/УК и иным законам РФ.
За “несоблюдение требований безопасности значимых объектов/порядка уведомлений” чаще всего отвечают юрлицо + должностные лица (КоАП 13.12.1).
За неправомерное воздействие/вред КИИ – физлица, включая действия “по должности” (УК 274.1).
Практически, чтобы снизить риск персональной ответственности, важно документально закрепить: кто отвечает за выполнение требований по каждому значимому объекту, кто ведёт инциденты/уведомления, и как контролируется исполнение (регламенты, журналы, проверки). Это потом – ключевой аргумент и в проверках, и при разборе инцидента.
