Ответственность за нарушение требований по кибербезопасности: какие изменения ожидаются в законодательстве?

15 апреля 2026 года Президентом Республики Беларусь был подписан Закон «Об изменении кодексов по вопросам административной ответственности».

В числе иных изменений устанавливается ответственность за нарушение требований в сфере кибербезопасности.

Что применяется сегодня?

В настоящий момент законодательство не содержит специальных норм, предусматривающих ответственность за нарушения в сфере обеспечения кибербезопасности.

За несоблюдение требований о кибербезопасности может наступать:

  • административная ответственность (ст. 24.58 Кодекса Республики Беларусь об административных правонарушениях (далее — КоАП) — «Непринятие мер по надлежащей организации деятельности юридического лица»);
  • уголовная ответственность (ст. 203-2 Уголовного кодекса Республики Беларусь — «Несоблюдение мер обеспечения защиты персональных данных»);
  • дисциплинарная ответственность.

Что планируется дополнить?

Закон «Об изменении кодексов по вопросам административной ответственности» предусматривает дополнение КоАП:

  • статьёй 23.11 — «Нарушение требований по кибербезопасности»;
  • статьёй 23.12 — «Нарушение требований по кибербезопасности критически важных объектов информатизации».

Статья 23.11: Ответственность за нарушения в сфере кибербезопасности

Статья 23.11 предусматривает несколько степеней ответственности:

  1. Если обязанность использовать системы защиты информации (далее — СЗИ) на объекте информационной инфраструктуры отсутствует, но произошло нарушение требований к кибербезопасности, собственнику (владельцу) такого объекта грозит штраф: для физических лиц — до 20 базовых величин; для юридических лиц — до 100 базовых величин.
  2. Невыполнение либо ненадлежащее выполнение требований по технической и криптографической защите информации, если в информационной системе применяются СЗИ: для физических лиц — до 25 базовых величин; для ИП и юридических лиц — до 125 базовых величин.
  3. Неиспользование СЗИ в случаях, когда такая обязанность установлена законодательством: для физических лиц — до 50 базовых величин; для ИП и юридических лиц — до 200 базовых величин.
  4. Невыполнение либо ненадлежащее выполнение центром обеспечения кибербезопасности требований, предъявляемых к таким центрам: для физических лиц — до 150 базовых величин; для юридических лиц — до 600 базовых величин.

*Под центром обеспечения кибербезопасности понимается специальное структурное подразделение, создаваемое для непрерывного мониторинга, обнаружения, анализа и предотвращения киберинцидентов.

Требования к таким центрам, а также перечень организаций, для которых наличие центров обеспечения кибербезопасности является обязательным, установлены Указом Президента Республики Беларусь от 14 февраля 2023 г. № 40 «О кибербезопасности».

Важно: ответственность по статье 23.11 наступает только при возникновении киберинцидента высокого уровня.

Однако при возникновении киберинцидента низкого уровня, в случае нарушения требований о кибербезопасности, ответственность может наступать по ст. 24.58 КоАП.

Статья 23.12: Ответственность для критически важных объектов информатизации

Статья 23.12 применяется исключительно к критически важным объектам информатизации.

Ответственность устанавливается в следующих случаях:

  1. Невыполнение владельцем требований по технической и криптографической защите информации: — для физических лиц — до 50 базовых величин; — для юридических лиц — до 200 базовых величин.
  2. Если деяние, указанное в п. 1, повлекло причинение ущерба национальным интересам Республики Беларусь: — для физических лиц — до 100 базовых величин; — для юридических лиц — до 500 базовых величин.
  3. Невыполнение владельцем требований по отнесению объекта к критически важному и обеспечению технической и криптографической защиты информации: — для физических лиц — до 150 базовых величин; — для юридических лиц — до 700 базовых величин.
  4. Если деяние, указанное в п. 3, повлекло причинение ущерба национальным интересам Республики Беларусь: — для физических лиц — до 200 базовых величин; — для юридических лиц — до 1000 базовых величин.

Важно: ответственность по ст. 23.12 также наступает только при возникновении киберинцидента высокого уровня.

Что можно сделать уже сейчас?
Рекомендации REVERA law group

Принятие нового регулирования в сфере кибербезопасности подтверждает повышенное внимание государства к вопросам её обеспечения.

Несоблюдение требований в данной сфере может повлечь не только административную, уголовную либо иную ответственность, но также финансовые и репутационные потери.

В частности, бизнесу уже сейчас рекомендуется проверить соблюдение 

  • законодательства о защите персональных данных;

  • требований об использовании национального сегмента сети Интернет (Указ Президента Республики Беларусь от 01.02.2010 № 60);
  • специальных требований по обеспечению кибербезопасности (Приказ ОАЦ от 25.07.2023 № 130) и др.;

Для минимизации рисков и своевременной подготовки к вступлению новых норм в силу рекомендуем провести аудит внутренних процессов по кибербезопасности и пересмотреть действующие требования в этой области.

 

Авторы: Людмила Епихова, Александра Маглыш

Напишите нашему юристу, чтобы узнать подробности

Написать юристу

Читайте ещё

новости

Aptoide подает антимонопольный иск против Google: борьба за открытость Android-экосистемы продолжается

 статьи

Подробный обзор руководства UDRP REVERA law group

 новости

Material adverse effect – что решил суд?