Госдума и Совет Федерации больше не шутят с бизнесом, который относится к персональным данным клиентов как к расходному материалу. С 1 января 2026 года (с отсрочкой для малого бизнеса до 1 апреля, но уже всё действует) вступил в силу пакет поправок в КоАП и УК РФ, который называют «термоядерным» для рынка ИБ.
Что конкретно грозит?
-
Штрафы (ст. 13.11 КоАП РФ в новой редакции):
-
Первая утечка (до 1000 записей) — 3–5 млн рублей.
-
Повторная утечка или утечка более 10 000 записей — оборотный штраф от 1% до 3% годовой выручки, но не менее 20 млн рублей и не более 500 млн рублей.
-
Важный нюанс: штраф считается от всей выручки юрлица за календарный год, а не от чистой прибыли.
-
-
Уголовная ответственность (ст. 272 и 274 УК РФ):
-
За незаконное собирание и хранение персональных данных с целью сбыта — до 5 лет колонии.
-
За организацию утечки (создание вредоносного ПО, заказная атака) — до 10 лет колонии.
-
Искупление деньгами не работает: даже если возместите ущерб, уголовное дело могут не закрыть.
-
Лазейка для тех, кто инвестирует в ИБ: Закон предусматривает снижение штрафа в два раза, если компания докажет, что тратила на кибербезопасность не менее 0,1% от выручки за последние 3 года. То есть если ваша выручка 1 млрд рублей, вы должны были вкладывать минимум 1 млн рублей в год в ИБ. Многие компании сейчас в панике собирают старые чеки на антивирусы и межсетевые экраны.
Статистика на 6 апреля 2026: По данным мониторинга утечек InfoWatch, с начала года в открытый доступ уже попали 98,7 млн записей персональных данных россиян. Первые приговоры по новой статье ожидаются уже в мае. Эксперты ООО «ИЦРС» рекомендуют срочно провести внутреннее расследование — где у вас хранятся ПДн, кто имеет к ним доступ, и есть ли шифрование.