Ответственность за нарушение требований по кибербезопасности: какие изменения ожидаются в законодательстве?
- Что применяется сегодня?
- Что планируется дополнить?
- Статья 23.11: Ответственность за нарушения в сфере кибербезопасности
- Статья 23.12: Ответственность для критически важных объектов информатизации
- Напишите нашему юристу, чтобы узнать подробности
В числе иных изменений устанавливается ответственность за нарушение требований в сфере кибербезопасности.
Что применяется сегодня?
В настоящий момент законодательство не содержит специальных норм, предусматривающих ответственность за нарушения в сфере обеспечения кибербезопасности.
За несоблюдение требований о кибербезопасности может наступать:
- административная ответственность (ст. 24.58 Кодекса Республики Беларусь об административных правонарушениях (далее — КоАП) — «Непринятие мер по надлежащей организации деятельности юридического лица»);
- уголовная ответственность (ст. 203-2 Уголовного кодекса Республики Беларусь — «Несоблюдение мер обеспечения защиты персональных данных»);
- дисциплинарная ответственность.
Что планируется дополнить?
Закон «Об изменении кодексов по вопросам административной ответственности» предусматривает дополнение КоАП:
- статьёй 23.11 — «Нарушение требований по кибербезопасности»;
- статьёй 23.12 — «Нарушение требований по кибербезопасности критически важных объектов информатизации».
Статья 23.11: Ответственность за нарушения в сфере кибербезопасности
Статья 23.11 предусматривает несколько степеней ответственности:
- Если обязанность использовать системы защиты информации (далее — СЗИ) на объекте информационной инфраструктуры отсутствует, но произошло нарушение требований к кибербезопасности, собственнику (владельцу) такого объекта грозит штраф: для физических лиц — до 20 базовых величин; для юридических лиц — до 100 базовых величин.
- Невыполнение либо ненадлежащее выполнение требований по технической и криптографической защите информации, если в информационной системе применяются СЗИ: для физических лиц — до 25 базовых величин; для ИП и юридических лиц — до 125 базовых величин.
- Неиспользование СЗИ в случаях, когда такая обязанность установлена законодательством: для физических лиц — до 50 базовых величин; для ИП и юридических лиц — до 200 базовых величин.
- Невыполнение либо ненадлежащее выполнение центром обеспечения кибербезопасности требований, предъявляемых к таким центрам: для физических лиц — до 150 базовых величин; для юридических лиц — до 600 базовых величин.
*Под центром обеспечения кибербезопасности понимается специальное структурное подразделение, создаваемое для непрерывного мониторинга, обнаружения, анализа и предотвращения киберинцидентов.
Требования к таким центрам, а также перечень организаций, для которых наличие центров обеспечения кибербезопасности является обязательным, установлены Указом Президента Республики Беларусь от 14 февраля 2023 г. № 40 «О кибербезопасности».
|
Важно: ответственность по статье 23.11 наступает только при возникновении киберинцидента высокого уровня. Однако при возникновении киберинцидента низкого уровня, в случае нарушения требований о кибербезопасности, ответственность может наступать по ст. 24.58 КоАП. |
Статья 23.12: Ответственность для критически важных объектов информатизации
Статья 23.12 применяется исключительно к критически важным объектам информатизации.
Ответственность устанавливается в следующих случаях:
- Невыполнение владельцем требований по технической и криптографической защите информации: — для физических лиц — до 50 базовых величин; — для юридических лиц — до 200 базовых величин.
- Если деяние, указанное в п. 1, повлекло причинение ущерба национальным интересам Республики Беларусь: — для физических лиц — до 100 базовых величин; — для юридических лиц — до 500 базовых величин.
- Невыполнение владельцем требований по отнесению объекта к критически важному и обеспечению технической и криптографической защиты информации: — для физических лиц — до 150 базовых величин; — для юридических лиц — до 700 базовых величин.
- Если деяние, указанное в п. 3, повлекло причинение ущерба национальным интересам Республики Беларусь: — для физических лиц — до 200 базовых величин; — для юридических лиц — до 1000 базовых величин.
|
Важно: ответственность по ст. 23.12 также наступает только при возникновении киберинцидента высокого уровня. |
Что можно сделать уже сейчас?
Рекомендации REVERA law group
Принятие нового регулирования в сфере кибербезопасности подтверждает повышенное внимание государства к вопросам её обеспечения.
Несоблюдение требований в данной сфере может повлечь не только административную, уголовную либо иную ответственность, но также финансовые и репутационные потери.
В частности, бизнесу уже сейчас рекомендуется проверить соблюдение
-
законодательства о защите персональных данных;
- требований об использовании национального сегмента сети Интернет (Указ Президента Республики Беларусь от 01.02.2010 № 60);
- специальных требований по обеспечению кибербезопасности (Приказ ОАЦ от 25.07.2023 № 130) и др.;
Для минимизации рисков и своевременной подготовки к вступлению новых норм в силу рекомендуем провести аудит внутренних процессов по кибербезопасности и пересмотреть действующие требования в этой области.
Авторы: Людмила Епихова, Александра Маглыш
Напишите нашему юристу, чтобы узнать подробности
Написать юристу
