Новые оборотные штрафы за утечки ПДн: бизнес готовится к рекордным санкциям

С 30 мая 2025 года вступил в силу Федеральный закон № 420-ФЗ, кардинально изменивший экономику киберинцидентов для российского бизнеса. В 2026 году суды начали активно применять новые оборотные штрафы, и эксперты прогнозируют резкий рост как количества дел, так и сумм санкций.
Ключевые изменения для бизнеса:

• От 10 до 15 млн рублей — штраф за первичную утечку данных более 100 000 субъектов ПДн
  
• От 1 до 3% от годового оборота — штраф за повторную утечку любой категории. При этом минимальный порог составляет 20–25 млн рублей независимо от выручки компании
  
• Двухэтапное уведомление Роскомнадзора: первичное сообщение — в течение 24 часов, расширенный отчёт — в течение 72 часов с момента обнаружения
  

По данным открытых источников, в 2025 году по новым нормам было вынесено всего 6 административных штрафов, максимальная сумма — 150 тыс. рублей (РЖД и «Почта России»). Однако в 2026 году ситуация меняется: суды начали активно применять оборотные санкции, а злоумышленники адаптировались к новым реалиям — фиксируется переход от публичных сливов к модели «двойного вымогательства»: украсть данные + предложить выкуп за неразглашение инцидента регулятору.
Почему это важно для вашего бизнеса:
По оценкам экспертов, 70–85% утечек происходят по человеческому фактору (фишинг, ИИ-чат-боты, ошибки конфигурации). При этом наличие доказательств «должной заботы» — регулярные аудиты, пентесты, оперативное уведомление, Incident Response Plan — позволяет существенно снизить размер санкций, иногда в 2–5 раз.

Рекомендации специалистов ИЦРС:

1. Оперативное реагирование — уведомление Роскомнадзора в течение 24 часов и внутреннее расследование за 72 часа
   
2. Технические и организационные меры — регулярные пентесты и аудиты защищённости (минимум раз в год), актуальные политики обработки ПДн
   
3. Incident Response Plan — готовый план реагирования на инциденты с ролями, шаблонами и ежеквартальными тестами
   
4. Повышение осведомлённости сотрудников — переход от наказаний к мотивации: короткое обучение + бонусы за знания
   

Инвестиции в профилактику в 2026 году окупаются значительно быстрее, чем возможные санкции и вымогательство. Компаниям с выручкой от 500 млн рублей расчётный штраф за повторную утечку может составить 15 млн рублей, но с учётом минимального порога реальная санкция окажется не менее 20–25 млн рублей.