Административная ответственность за нарушение кибербезопасности с 2026 года

С 19 июня 2026 года вступают в силу масштабные поправки в Кодекс Республики Беларусь об административных правонарушениях (КоАП). Законодатель вводит долгожданные специальные составы правонарушений в сфере кибербезопасности. Теперь за халатность в защите информации, которая привела к серьезным сбоям, юридическим лицам и должностным лицам грозят чувствительные штрафы — вплоть до сотен базовых величин.

Как юридическая компания, специализирующаяся на IT-праве и защите бизнеса, мы подготовили детальный разбор статьи 23.11 КоАП («Нарушение требований по кибербезопасности»). Разберем, за что именно накажут, кто в зоне риска и как избежать ответственности.

1. Суть новых правил: наказывают за последствия

Главное, что нужно понять: ст. 23.11 КоАП имеет материальный состав. Это означает, что ответственность наступает не за сам факт отсутствия какой-то «бумажки» или галочки в чек-листе, а за наступление реальных общественно опасных последствий — киберинцидента высокого уровня.

Государство вводит эти нормы как логическое продолжение Указа Президента № 40 «О кибербезопасности». Если раньше под прицелом были в основном операторы персональных данных и владельцы критически важных объектов информатизации (КВОИ), то теперь требования по технологической дисциплине распространяются практически на весь корпоративный сектор.

2. Кто отвечает по ст. 23.11 КоАП? (Субъекты)

По новой статье к ответственности привлекаются не хакеры, а сами владельцы инфраструктуры и те, кто оказывает им услуги. Субъектами правонарушения являются:

• Юридические лица — основной субъект. Именно на организацию налагаются крупные штрафы.

• Индивидуальные предприниматели (ИП).

• Должностные лица — руководители IT-подразделений, директора по информационной безопасности, технические директора, в обязанности которых входит контроль за системой защиты информации (СЗИ).

Важно отметить, что рядовые сотрудники (физические лица) не являются субъектами этой административной статьи. Если системный администратор или бухгалтер по неосторожности «уронил» систему, к нему могут быть применены другие меры (вплоть до уголовной ответственности по ст. 349–355 УК), но не штрафы по КоАП для бизнеса.

3. Четыре части статьи 23.11: детальный анализ

Статья дифференцирует наказание в зависимости от наличия системы защиты и статуса нарушителя. Рассмотрим каждый состав:

Части 1 и 2: Халатность в настройках и регламентах

Здесь ключевое различие в том, как эксплуатируется информационная система:

• Часть 1 ст. 23.11 КоАП — ответственность для систем, которые могут работать без СЗИ (обычно обрабатывают только общедоступную информацию). Если в такой системе случился киберинцидент из-за пренебрежения базовыми организационными мерами (нет ответственного за ИБ, не утверждены политики, порядок реагирования), наступает ответственность.

• Часть 2 ст. 23.11 КоАП — ответственность для систем, которые обязаны работать только с применением СЗИ (обработка ограниченной информации). Сюда попадают ситуации, когда «железо» купили, но настроили неправильно: отключили обновления антивируса, не разграничили права доступа, выдали пароли посторонним, из-за чего произошел инцидент.

Типичные нарушения: непроведение инструктажей, использование пиратского или несертифицированного ПО, отсутствие резервного копирования, игнорирование логов.

Часть 3: Самый грубый состав — игнорирование СЗИ

Это самостоятельная и более жесткая норма. Ответственность наступает за эксплуатацию информационной системы вовсе без системы защиты, когда она обязательна по закону. Это ситуация, когда организация сознательно или по незнанию работает «на живую», без аттестованного комплекса защиты, и это приводит к крупному инциденту.

Часть 4: Ответственность подрядчиков (Центров кибербезопасности)

Новелла касается не только клиентов, но и исполнителей. Если компания наняла профессиональный Центр обеспечения кибербезопасности на аутсорсинг, и тот проявил халатность (не заметил атаку в режиме 24/7, не обновил ПО вовремя, нарушил регламент реагирования), повлекшую киберинцидент у клиента, центр также понесет административную ответственность. Это повышает гарантии качества платных услуг по киберзащите.

4. Ключевое понятие: Киберинцидент высокого уровня

Никто не будет наказывать бизнес за одну неудачную попытку входа в систему. Для применения санкций требуются последствия. Закон четко определяет критерии инцидента высокого уровня (согласно Приказу ОАЦ № 130):

• Полная или частичная остановка бизнес-процессов (атака вируса-шифровальщика парализовала бухгалтерию или склад на несколько часов).

• Внедрение и функционирование вредоносных программ.

• Несанкционированный доступ к инфраструктуре.

• Масштабная утечка персональных данных клиентов или коммерческой тайны.

• Использование ваших мощностей для кибератак на другие объекты.

• Прекращение функционирования системы (DDoS-атака с успешным результатом).

Важно: Если инцидент удалось купировать на ранней стадии (попытка сканирования, единичный фишинг без проникновения), это считается инцидентом низкого уровня и состава правонарушения по ст. 23.11 не образует.

5. Санкции: цена халатности

Размер штрафа по ст. 23.11 напрямую зависит от части статьи и субъекта. Особенно суровые санкции предусмотрены частью 4 для Центров кибербезопасности.

Составлять протоколы по данной статье уполномочен Национальный центр обеспечения кибербезопасности и реагирования на киберинциденты (Государственный центр, а не коммерческие).

Юридическая компания «Юридическое агентство Деловые отношения» готова провести правовой комплаенс вашей системы информационной безопасности, проверить договоры с подрядчиками и подготовить корпоративную документацию в соответствии с новыми требованиями КоАП. Свяжитесь с нами, чтобы обезопасить свой бизнес от штрафов.

Наши услуги https://d-o.by/services/

Прейскурант цен https://d-o.by/prejskurant/

Кейсы https://d-o.by/cases/

Защитите свой бизнес заранее. Запишитесь на консультацию, и мы выстроим для вас надежный правовой барьер от утечек информации.