Минцифры совместно с ФСБ, ФСТЭК и представителями ИБ-отрасли разрабатывает перечень мер, позволяющих компаниям смягчить штрафы за утечку персональных данных. Основанием для снижения наказания станут ежегодные траты в размере 0,1% от выручки на информационную безопасность в течение трех лет.
Компании, инвестирующие в ИБ, смогут претендовать на смягчение штрафов, однако в законе не прописаны конкретные направления расходов. «Они написаны так, что мы должны потратить 0,1% от выручки на мероприятия по ИБ, что бы это ни значило. Хотелось бы узнать, что это значит и на что конкретно [должно быть потрачено]», — заявила Ирина Левова, директор по стратегическим проектам Ассоциации больших данных, на форуме Positive Hack Days 2025. По её словам, Минцифры совместно с ФСБ и ФСТЭК уже обсуждают детали перечня, но при обязательном условии: наличие лицензии ФСБ на разработку криптографических систем или привлечение сертифицированных подрядчиков.
Представитель Минцифры рассказал «Ведомостям», что ведомство «открыто для обсуждения и предложений». Однако говорить о конкретных деталях и мероприятиях еще рано.
По данным источника «Ведомостей», ключевое разногласие — отсутствие в законе учета вложений в собственные ИБ-разработки и штатных специалистов. Сейчас учитываются только траты на софт, сертифицированный ФСТЭК. Но компании не спешат регистрировать свои разработки через ведомство из-за длительных процедур. Игорь Бедеров, директор департамента расследований T.Hunter, уточнил: процесс сертификации включает девять этапов — от подачи заявки до выдачи сертификата — и занимает 5–12 месяцев, а для сложных продуктов — до полутора лет. «Для малого и среднего бизнеса целесообразно сотрудничать с аккредитованными центрами, чтобы минимизировать риски», — резюмировал он.
Эксперты опасаются, что нечеткие формулировки приведут к формальному соблюдению норм.
