Изменение КоАП для субъектов КИИ. Минэкономразвития на нашей стороне.

  Минэкономразвитие не подвело. Вполне здравое отрицательное заключение к законопроекту по наказанию субъектов КИИ. Почему ФСТЭК жаловалась на юристов, не понимающих ИБ? Непонятно. Все замечания логичные и из области менеджмента, а не юридического характера.

   Ключевые моменты:
1. Надо перераспределять ответственность субъекта между уголовной и административной,а не ужесточать дополнительно уголовную за счет дополнительного введения административной. Уже два года за это бьемся.
2. Финансово-экономическое обоснование с указанием" не потребует расходов бюджета" не верно. Это уже видно по опыту реализации самого 187-ФЗ, когда Минкомсвязь вынуждена субсидировать из федерального бюджета региональные органы власти. Интересно,а какая то ответственность предусмотрена для авторов 187-ФЗ, которые ввели в заблуждение законодательную ветвь власти и провели закон с обоснованием, что денег из бюджета не потребуется?
3. Нечего наказывать субъекты КИИ, пока они не освоили субсидии на выполнение 187-ФЗ от Минкомсвязи.
4. Субъекты КИИ нарушают 187-ФЗ в силу объективных причин.
5. В 187-ФЗ было необходимо предусмотреть переходный период. Пока рано наказывать.

№ 4250-АХ/Д26и от 14.02.2020 г.
ЗАКЛЮЧЕНИЕ
об оценке регулирующего воздействия на проект федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях
в части установления административной ответственности за нарушение законодательства
в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации»

    Минэкономразвития России в соответствии с пунктом 26 Правил проведения федеральными органами исполнительной власти оценки регулирующего воздействия проектов нормативных правовых актов и проектов решений Евразийской экономической комиссии, утвержденных постановлением Правительства Российской Федерации от 17 декабря 2012 г. № 1318 (далее – Правила), рассмотрело проект федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части установления административной ответственности за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации» (далее соответственно – проект акта, КоАП РФ), разработанный и направленный для подготовки настоящего заключения ФСТЭК России (далее – разработчик), и сообщает следующее.
    Разработчиком проведены публичные обсуждения проекта акта и сводного отчета
о проведении оценки регулирующего воздействия (далее – сводный отчет) в период с 18 октября по 15 ноября 2019 года.
   Проектом акта предлагается установить административную ответственность
за нарушение требований в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, в том числе непредставление или нарушение срока представления сведений, предусмотренных законодательством
в области обеспечения безопасности критической информационной инфраструктуры.
   Минэкономразвития России в соответствии с пунктом 28 Правил были проведены публичные консультации с органами государственной власти субъектов Российской Федерации, а также представителями субъектов предпринимательской деятельности в период с 29 января по 7 февраля 2020 года. В ходе публичных консультаций были получены позиции комиссии РСПП по связи и информационно-коммуникационным технологиям, Ассоциации организаций цифрового развития отрасли «Цифровая энергетика», АО «СО ЕЭС», ПАО «МегаФон», АО «ЭР-Телеком Холдинг», а также органов исполнительной власти отдельных субъектов Российской Федерации: Республики Карелия, Краснодарского края, Самарской области, Республики Татарстан, Хабаровского края, Республики Хакасия, Чувашской Республики. Неучтенные замечания и предложения приведены в приложении к настоящему заключению.
   Концептуально поддерживая подход к установлению обязательных требований совместно с мерами ответственности за их нарушение, Минэкономразвития России
в отношении предлагаемого регулирования отмечает следующее.
   В настоящее время административная ответственность за нарушение требований в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации не установлена.
    Однако частью 3 статьи 274.1 Уголовного кодекса Российской Федерации установлена уголовная ответственность, предусматривающая в том числе лишение свободы на срок до шести лет  за нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации.
   Таким образом, может быть сделан вывод о том, что баланс нарушений и мер ответственности за них в настоящее время соблюден. Представляется, что дополнительное установление широкого спектра мер административной ответственности должно быть синхронизировано с одновременным снижением мер уголовной ответственности.
    Кроме того, принятие проекта акта может быть сопряжено с риском возложения дополнительных расходов на соответствующие бюджеты бюджетной системы Российской Федерации, хотя проект акта и не устанавливает новых полномочий органов власти субъектов Российской Федерации и органов местного самоуправления.
   Так, по информации, представленной органами исполнительной власти субъектов Российской Федерации, для исполнения требований Федерального закона от 26 июля
2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» требуются значительные расходы. Например, органам исполнительной власти Республики Хакасия для реализации установленных требований требуются финансовые затраты в размере более 200 млн рублей. В случае принятия проекта акта размер указанных затрат может увеличиться пропорционально размеру административных штрафов, налагаемых на учреждения субъектов Российской Федерации за невыполнение вышеуказанных требований, что может увеличить нагрузку на соответствующие бюджеты.
   Отдельно следует отметить, что в целях реализации субъектами Российской Федерации требований в сфере обеспечения безопасности объектов критической информационной инфраструктуры Минкомсвязью России предоставляются субсидии из федерального бюджета на доведение уровня безопасности объектов критической информационной инфраструктуры до установленных законодательством Российской Федерации требований. Финансирование указанных мероприятий для объектов 1 и 2 категории значимости в 2020 году продолжается.      Такое обстоятельство указывает на невыполнение в настоящее время действующих требований субъектами Российской Федерации, которое будет продолжаться как минимум до момента доведения предусмотренных денежных средств и их освоения.
    Более того, реализация требований по обеспечению безопасности объектов критической информационной инфраструктуры Российской Федерации также требует значительных временных и материальных ресурсов субъектов предпринимательской деятельности. При этом в пункте 3.3 сводного отчета разработчик обращает внимание на невыполнение указанных требований большинством субъектов предпринимательской деятельности. Представляется, что указанная ситуация может быть следствием высокой затратности исполнения установленных требований, а также недостаточного переходного периода при подготовке, разработке и принятии действующих в настоящее время требований.
   Таким образом, установление дополнительных санкций в таких случаях способно усугубить ситуацию с невыполнением требований, а также увеличить сроки реализации действующих в области обеспечения безопасности критической информационной инфраструктуры требований в связи с дополнительными материальными затратами на уплату штрафов.
   Отдельно следует отметить, что проектом акта переходный период
не предусмотрен. В этой связи установление ответственности за нарушение требований, которые в настоящее время не исполнены в полной мере в силу объективных причин, представляется избыточным.
    В целях нивелирования возможных негативных последствий предлагаемого регулирования для бюджетов бюджетной системы Российской Федерации, а также планомерного и поступательного исполнения установленных требований субъектами предпринимательской деятельности без избыточной финансовой нагрузки представляется целесообразным предусмотреть в проекте акта переходный период, преимущественно
в отношении трудозатратных мероприятий, ответственность за которые предусмотрена проектируемыми частями 1 и 2 статьи 13.12.1 КоАП РФ, а также синхронизировать вступление в силу проекта акта с отменой мер ответственности, предусмотренных частью 3 статьи 274.1 Уголовного кодекса Российской Федерации.
   По результатам оценки регулирующего воздействия Минэкономразвития России может быть сделан вывод о том, что наличие проблемы и целесообразность ее решения
с помощью регулирования, предусмотренного проектом акта, обоснованы. В проекте акта выявлены положения, которые вводят избыточные административные и иные ограничения и обязанности для субъектов предпринимательской и иной деятельности или способствуют их введению, а также способствуют возникновению необоснованных расходов субъектов предпринимательской и иной деятельности или способствуют возникновению необоснованных расходов бюджетов всех уровней бюджетной системы Российской Федерации.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite
******Группа вконтакте https://vk.com/klub187fz