2026 год станет переломным для сферы кибербезопасности в РФ. Готовятся поправки, разграничивающие административную и уголовную ответственность, а регуляторы наращивают число штрафов. Риски становятся персональными для руководства, а любое несоответствие нормам несёт разрушительные последствия.
- 1. Введение
- 2. Законодательная эволюция: от статей 272–274 УК РФ к тотальному регулированию
- 3. Реалии ИБ-законодательства в 2026 году
- 4. Гражданско-правовая ответственность: иски клиентов и регуляторов
- 5. Почему руководители ИТ и ИБ стали главными фигурантами?
- 6. Цепная реакция: как ответственность распространяется на подрядчиков и вендоров
- 7. Стратегия выживания: практические меры для бизнеса
- 8. Выводы
Введение
Кибербезопасность в России стремительно трансформируется из сугубо технической задачи в зону жёсткого правового и финансового риска для бизнеса. К 2026 году формируется полная система ответственности, где цена недостаточной защиты измеряется не только ущербом от атак, но и многомиллионными штрафами, судебными исками и реальными уголовными делами.
По данным ФСТЭК России, проверки более 700 объектов критической информационной инфраструктуры (КИИ) в январе 2026 года выявили свыше 1 200 нарушений. Лишь 36 % организаций достигли минимального уровня защиты, а основными проблемами стали отсутствие учёта ИТ-активов, хранение бекапов вместе с основными системами и изоляция ИБ-специалистов от бизнеса.
На этом фоне законодатели завершают работу над поправками, которые точечно разделят административную и уголовную ответственность, а надзорные органы резко наращивают давление. В новой реальности риски становятся персональными для генеральных директоров, технических руководителей и специалистов по ИБ, а цепочка ответственности протягивается к подрядчикам и вендорам.
Законодательная эволюция: от статей 272–274 УК РФ к тотальному регулированию
Изначально судебная практика по киберинцидентам в инфраструктурах ИБ в РФ сводилась к возбуждению единичных дел против внешних хакеров по статьям 272 (Неправомерный доступ) и 273 (Создание вредоносных программ).
Впоследствии к инцидентам в сфере информационной безопасности, особенно на объектах КИИ, начали применять преимущественно уголовную ответственность по статье 274.1 УК РФ (Неправомерное воздействие на критическую информационную инфраструктуру (КИИ) РФ). Эта статья вводила уголовную ответственность в виде лишения свободы от 6 до 8 лет с выплатой штрафа от 500 тысяч до 1 миллиона рублей за нарушение правил защиты КИИ, где недостаточность мер защиты стала приравниваться к преступной халатности, если это повлекло тяжкие последствия.
Однако в 2026 году в силу вступает серия правок в статью 274.1 УК РФ, которая создаёт двухуровневую систему ответственности за киберинцеденты.
Согласно поправкам, уголовная ответственность сохраняется, если инцидент повлёк доказанное уничтожение, блокирование, модификацию или копирование данных в КИИ. В случаях, если вышеуказанные последствия не произошли, статья предусматривает введение административной ответственности с выплатой штрафов для юридических лиц от 100 до 500 тысяч рублей. Но если нарушение произошло повторно, а требования регулятора систематически игнорируются — будет инициирована уголовная ответственность.
Тренд на криминализацию касается и сферы защиты персональных данных (152-ФЗ): размеры штрафов продолжают ужесточаться, а ответственность начинает зависеть не только от типа нарушения, но и от масштаба утечки.
Реалии ИБ-законодательства в 2026 году
Глядя на эволюцию ИБ-законодательства, становится очевидно, что в 2026 году бизнес столкнётся с ещё одной чередой усугублений наказаний и системным давлением со стороны всех надзорных органов. Уже в 2026 году в ходе проверок 700 объектов КИИ регуляторами ФСТЭК доля компаний с ненадлежащей системой защиты составила 64 %.
Административные штрафы растут год от года, поэтому можно ожидать, что за обработку персональных данных без согласия максимальные штрафы для юридических лиц могут достигнуть цифры от 1 до 3 миллионов рублей за первое нарушение и от 6 до 18 миллионов рублей за повторное нарушение. В таком случае медианный штраф будет составлять около 9 миллионов рублей. Эти цифры подтверждаются положениями Федерального закона от 30 ноября 2024 года № 420-ФЗ (вступил в силу 30 мая 2025 года).
В 2026 году индустрия ИБ также может столкнуться с новым трендом — параллельным привлечением к ответственности. Регуляторы всё чаще наказывают не только юридическое лицо, но и конкретного должностного лица (например, технического директора или CISO), чьи действия или бездействие привели к нарушению. За первое нарушение максимальный штраф для должностного лица будет составлять до 800 тысяч рублей, а за повторное нарушение до 1,5 миллионов рублей. Медианный штраф может составить 1,2 миллиона рублей.
Кроме того, под регулирование подпадают не только владельцы КИИ, но их облачные провайдеры, MSSP-аутсорсеры и разработчики отечественного ПО. Например, уже в 2023 году ПАО «ВымпелКом» была привлечена к ответственности после инцидента, связанного с утечкой персональных данных. Регулятор назначил штраф в размере 60 тысяч рублей по ч. 1 ст. 13.11 КоАП РФ, поскольку на тот момент увеличение штрафов за утечку персональных данных ещё не вступило в силу — сейчас за подобное нарушение с «ВымпелКом» могли бы взыскать около 1 миллиона рублей.
Рисунок 1. Общая сумма штрафов, наложенная Роскомнадзором на операторов персональных данных
Гражданско-правовая ответственность: иски клиентов и регуляторов
Помимо санкций от государства, бизнес сталкивается с растущим валом исков от пострадавших сторон. После публичных утечек данных люди массово подают иски о возмещении морального вреда. Только за первое полугодие 2024 года количество таких исков увеличилось в 2,5 раза по сравнению с аналогичным периодом 2023 года. Размер компенсации морального вреда варьируется от 1 до 5 тысяч рублей на человека в зависимости от объёма утёкших данных и доказанности причинённых неудобств. Существует 3 типа исков:
- Иски субъектов ПДн — иски физических лиц, чьи данные были скомпрометированы в ходе утечек;
- Регуляторные иски — регулятор может подавать в суд иск о возмещении вреда, причинённого субъектам ПДн в целом, требуя перечисления крупных сумм в доход государства;
- Коммерческие иски контрагентов — компания требует с другой организации компенсации убытков, возникших из-за киберинцидента, который парализовал общие бизнес-процессы или цепочки поставок.
На фоне таких тенденций роль страхования киберрисков как механизма трансфера этой ответственности резко возросла. Однако в современных санкционных условиях существует серьёзное ограничение. Многие международные страховые полисы либо прекратили действие на территории РФ, либо исключили покрытие рисков, связанных с геополитической обстановкой, что вынуждает бизнес искать решения на локальном страховом рынке, где выплаты и опыт пока ограничены.
Почему руководители ИТ и ИБ стали главными фигурантами?
2026 год окончательно стирает грань между технической ошибкой и преступной халатностью в сфере ИБ. Теперь руководители несут персональную ответственность сразу по нескольким направлениям, а основанием для привлечения становятся: подписанные акты о вводе в эксплуатацию незащищённых систем, неисполнение предписаний регулятора или непредставление ресурсов для выполнения требований.
Тип ответственности варьируется от дисциплинарной (выговор, увольнение) и административной (крупный штраф) до субсидиарной (взыскание долгов компании с личного имущества) и уголовной по статьям о халатности или 274.1 УК РФ. В последние годы в судебной практике уже неоднократно заводили уголовные и административные дела на руководителей ИТ и ИБ, однако из-за рисков раскрыть уязвимости КИИ информацию о подобных делопроизводствах не выкладывают в открытый доступ.
Ответственность за действия или бездействие рядового сотрудника распространяется на его непосредственного руководителя (начальника отдела ИБ), далее на технического директора, курирующего направление, и в итоге на генерального директора как на лицо, ответственное за всю деятельность компании. Эта вертикаль ответственности закрепляется в должностных инструкциях и внутренних регламентах компании.
Для защиты руководителям необходимо формализовать все доклады о рисках и запросы на финансирование ИБ-мер, получать письменные отказы руководства в выделении средств и рассмотреть возможность личного страхования ответственности директоров (D&O).
Рисунок 2. Риски киберугроз в разных КИИ
Цепная реакция: как ответственность распространяется на подрядчиков и вендоров
Ответственность за инцидент теперь не заканчивается на границе корпоративной сети. Риски передаются по цепочке поставщикам услуг. Если инцидент происходит у подрядчика, проверке и штрафам подвергается и компания-заказчик. Регулятору недостаточно факта передачи функций — требуется доказать, что заказчик осуществлял должный контроль за безопасностью у подрядчика.
Особенно опасен феномен «чёрного ящика» при работе с MSSP-провайдерами. Когда заказчик не имеет возможности проверить реальный уровень защиты у MSSP-провайдера и полагается лишь на его репутацию и сертификаты, он принимает на себя все репутационные и финансовые риски. Налицо полная зависимость от компетенции подрядчика.
Политика импортозамещения несёт дополнительные риски: подрядчики и вендоры начинают нести реальную ответственность за критические уязвимости в отечественном ПО, которые возникают из-за отсутствия качественных обновлений и исчерпания экспертизы разработчиков после ухода международных вендоров.
Юридическую ответственность перед регулятором за несоблюдение 152-ФЗ и 187-ФЗ несёт владелец данных и оператор КИИ, даже если обработку ведёт подрядчик. Фактические убытки от простоя или утраты данных несёт сам бизнес. Репутационные риски также ложатся в первую очередь на компанию, чьи клиенты пострадали.
На фоне этого, юридические требования к договорам ужесточаются. Обязательными пунктами становятся гарантии соответствия подрядчика 152-ФЗ/187-ФЗ, безусловное право заказчика на проведение аудита безопасности, детально прописанный порядок действий при инциденте и фиксированный размер гарантийных обязательств и штрафных санкций за нарушение условий безопасности.
В ответ на эти риски рынок увидел появление специализированных аудиторов, проверяющих исключительно подрядчиков, а также рост спроса на услуги ИБ, сертифицированные по ГОСТ Р ИСО/МЭК 27035 как знак гарантированного качества.
Стратегия выживания: практические меры для бизнеса
Для эффективного противодействия растущим рискам в 2026 году бизнесу необходимо немедленно реализовать комплексную стратегию по 4 направлениям:
- Тактический уровень (6 месяцев): провести срочный аудит (gap-анализ) на соответствие актуальным требованиям ФСТЭК и Роскомнадзора с составлением плана устранения нарушений, пересмотреть все договоры с подрядчиками (MSSP, облако) на предмет их ответственности за ИБ и вашего права на проведение аудита. Также важно внедрить базовые регламенты управления инцидентами и начать регулярные тренировки команды реагирования на реалистичных сценариях.
- Стратегический уровень (1–2 года): построить и внедрить систему управления рисками ИБ, интегрированную с процессами компании; перейти от отчётов о проделанной работе к контролю метрик эффективности защиты: среднее время на обнаружение (MTTD) и устранение угроз (MTTR). Необходимо диверсифицировать поставщиков ИБ-услуг для снижения зависимости и внедрить страхование киберрисков для покрытия убытков.
- Работа с персоналом: заменить разовые инструктажи на постоянные программы осведомлённости с ежеквартальным тестированием на фишинг, чётко прописать зоны персональной ответственности за ИБ в должностных инструкциях. Для руководителей ИБ — формализовать процедуру согласования рисков и получать письменные решения по выделению или отказу в финансировании мер защиты.
- Взаимодействие с государством: участвовать в отраслевых рабочих группах при регуляторах для учёта своих интересов при формировании требований; наладить внутренний процесс мониторинга новых законопроектов и разъяснений ФСТЭК/Роскомнадзора.
Эти меры помогут предотвратить нарушения законных требований регулятора и обезопасят ваш бизнес от возбуждения уголовных и административных дел по ИБ-статьям.
Выводы
2026 год знаменует завершение формирования в России жёсткой, многоуровневой системы ответственности за кибербезопасность. Цена недостаточной защиты теперь выражается в огромных финансовых штрафах, судебных исках, разрушении репутации и персональной ответственности руководителей.
Для бизнеса инвестиции должны быть направлены не на симуляцию соответствия требованиям регулятора, а на построение действительно эффективной системы защиты, главным доказательством эффективности которой становятся реальные метрики, а не папки с документами и формальностями.
Для рынка ИБ грядёт консолидация вокруг игроков, которые смогут предложить не просто очередной защитный продукт, а комплексную ответственность за результат, включая финансовые гарантии и разделение рисков в случае нарушений. В новой эре кибербезопасность становится стратегической инвестицией для компаний, ведь потери при несоблюдении нормативов теперь могут разрушить даже самую отлаженную бизнес-модель.
