Справочник штрафов за нарушения ИБ — КоАП и УК РФ, 2026

Справочник штрафов ИБ 2026

Актуально на 2026 год — ФЗ №420-ФЗ, ФЗ №104-ФЗ

Штрафы за нарушения информационной безопасности в 2026 году

Полный справочник административной и уголовной ответственности за нарушения в сфере защиты информации, персональных данных и критической информационной инфраструктуры.

до 500 млн ₽

Макс. штраф за утечку ПДн

34 состава

нарушений в КоАП РФ

5 статей КоАП

покрывают сферу ИБ

до 10 лет

уголовная ответственность

Рассчитать свои риски

ФЗ №420-ФЗ от 30.11.2024

Оборотные штрафы за утечку персональных данных

С 30 мая 2025 года действует дифференцированная система штрафов за утечку персональных данных. Размер оборотного штрафа составляет 1-3% от выручки организации (минимум 20 млн, максимум 500 млн рублей) и применяется при повторных нарушениях по ст. 13.11 КоАП РФ.

1–10 тыс. ПДн

3–5 млн ₽

10–100 тыс. ПДн

5–10 млн ₽

100 тыс.+ ПДн

10–15 млн ₽

Повторная утечка

до 500 млн ₽

Все штрафы по ст. 13.11 КоАП РФ — нарушения в сфере персональных данных

Ст. 13.11 ч.1 КоАП

Обработка ПДн без оснований или несовместимо с целями

Граждане:10–15 тыс. ₽

Должн. лица:50–100 тыс. ₽

Юр. лица:150–300 тыс. ₽

Ст. 13.11 ч.1.1 КоАП

Повторное нарушение ч.1

Граждане:15–30 тыс. ₽

Должн. лица:100–200 тыс. ₽

Юр. лица:300–500 тыс. ₽

Ст. 13.11 ч.2 КоАП

Обработка ПДн без письменного согласия

Граждане:10–15 тыс. ₽

Должн. лица:100–300 тыс. ₽

Юр. лица:300–700 тыс. ₽

Ст. 13.11 ч.2.1 КоАП

Повторное нарушение ч.2

Граждане:15–30 тыс. ₽

Должн. лица:300–500 тыс. ₽

Юр. лица:500 тыс. – 1,5 млн ₽

Ст. 13.11 ч.3 КоАП

Невыполнение требования опубликовать политику защиты ПДн

Граждане:1,5–3 тыс. ₽

Должн. лица:6–12 тыс. ₽

Юр. лица:30–60 тыс. ₽

Ст. 13.11 ч.4 КоАП

Невыполнение обязанности предоставить информацию о ПДн

Граждане:2–4 тыс. ₽

Должн. лица:8–12 тыс. ₽

Юр. лица:40–80 тыс. ₽

Ст. 13.11 ч.5 КоАП

Невыполнение требования об уточнении/уничтожении ПДн

Граждане:2–4 тыс. ₽

Должн. лица:8–20 тыс. ₽

Юр. лица:50–90 тыс. ₽

Ст. 13.11 ч.5.1 КоАП

Повторное нарушение ч.5

Граждане:20–30 тыс. ₽

Должн. лица:30–50 тыс. ₽

Юр. лица:300–500 тыс. ₽

Ст. 13.11 ч.6 КоАП

Нарушение условий хранения ПДн без автоматизации

Граждане:1,5–4 тыс. ₽

Должн. лица:8–20 тыс. ₽

Юр. лица:50–100 тыс. ₽

Ст. 13.11 ч.8 КоАП

Невыполнение требований локализации ПДн граждан РФ

Граждане:30–50 тыс. ₽

Должн. лица:100–200 тыс. ₽

Юр. лица:1–6 млн ₽

Ст. 13.11 ч.9 КоАП

Повторное нарушение ч.8

Граждане:50–100 тыс. ₽

Должн. лица:500–800 тыс. ₽

Юр. лица:6–18 млн ₽

Ст. 13.11 ч.10 КоАП

Невыполнение уведомления о намерении обработки ПДн

Граждане:5–10 тыс. ₽

Должн. лица:30–50 тыс. ₽

Юр. лица:100–300 тыс. ₽

Ст. 13.11 ч.11 КоАП

Невыполнение уведомления об утечке ПДн

Граждане:50–100 тыс. ₽

Должн. лица:400–800 тыс. ₽

Юр. лица:1–3 млн ₽

Ст. 13.11 ч.12 КоАП

УТЕЧКА: 1–10 тыс. ПДн (10–100 тыс. идентификаторов)

Граждане:100–200 тыс. ₽

Должн. лица:200–400 тыс. ₽

Юр. лица:3–5 млн ₽

Ст. 13.11 ч.13 КоАП

УТЕЧКА: 10–100 тыс. ПДн (100 тыс.–1 млн идентиф.)

Граждане:200–300 тыс. ₽

Должн. лица:300–500 тыс. ₽

Юр. лица:5–10 млн ₽

Ст. 13.11 ч.14 КоАП

УТЕЧКА: >100 тыс. ПДн (>1 млн идентификаторов)

Граждане:300–400 тыс. ₽

Должн. лица:400–600 тыс. ₽

Юр. лица:10–15 млн ₽

Ст. 13.11 ч.15 КоАП

Повторные нарушения ч.12–14, 16–18 (оборотный штраф)

Граждане:400–600 тыс. ₽

Должн. лица:800 тыс. – 1,2 млн ₽

Юр. лица:1–3% выручки (мин. 20 млн, макс. 500 млн ₽)

Ст. 13.11 ч.16 КоАП

УТЕЧКА: Специальная категория ПДн (здоровье, раса и др.)

Граждане:300–400 тыс. ₽

Должн. лица:1–1,3 млн ₽

Юр. лица:10–15 млн ₽

Ст. 13.11 ч.17 КоАП

УТЕЧКА: Биометрические ПДн

Граждане:400–500 тыс. ₽

Должн. лица:1,3–1,5 млн ₽

Юр. лица:15–20 млн ₽

Ст. 13.11 ч.18 КоАП

Повторная утечка специальных/биометрических ПДн

Граждане:500–800 тыс. ₽

Должн. лица:1,5–2 млн ₽

Юр. лица:1–3% выручки (мин. 25 млн, макс. 500 млн ₽)

Штрафы за нарушение правил защиты информации (ст. 13.12 КоАП)

Статья 13.12 КоАП охватывает нарушения правил защиты информации: использование несертифицированных средств защиты информации (СЗИ), нарушение условий лицензии ФСТЭК, несоблюдение требований по защите государственной тайны. Штрафы ужесточены ФЗ №104-ФЗ от 23.05.2025.

Ст. 13.12 ч.1 КоАП

Нарушение условий лицензии на защиту информации

Граждане:1–1,5 тыс. ₽

Должн. лица:1,5–2,5 тыс. ₽

Юр. лица:15–20 тыс. ₽

Ст. 13.12 ч.2 КоАП

Использование несертифицированных СЗИ

Граждане:5–10 тыс. ₽

Должн. лица:10–50 тыс. ₽

Юр. лица:50–100 тыс. ₽

⚠️ Конфискация СЗИ

Ст. 13.12 ч.4 КоАП

Несертифицированные СЗИ для гос. тайны

Должн. лица:20–50 тыс. ₽

Юр. лица:50–100 тыс. ₽

⚠️ Конфискация

Ст. 13.12 ч.5 КоАП

Прочие нарушения требований защиты информации

Граждане:1–2 тыс. ₽

Должн. лица:2–4 тыс. ₽

Юр. лица:15–30 тыс. ₽

Ст. 13.12 ч.6 КоАП

Нарушения при защите гос. тайны

Граждане:10–20 тыс. ₽

Должн. лица:20–50 тыс. ₽

Юр. лица:50–100 тыс. ₽

Штрафы для субъектов КИИ (ст. 13.12.1 КоАП)

Нарушения в области безопасности критической информационной инфраструктуры: невыполнение требований к созданию системы безопасности, нарушение порядка информирования об инцидентах, несоблюдение обмена с ГосСОПКА. При повторных нарушениях — штраф до 1 млн рублей или дисквалификация до 3 лет.

Ст. 13.12.1 ч.1 КоАП

Нарушение требований к созданию систем безопасности объектов КИИ

Должн. лица:10–50 тыс. ₽

Юр. лица:50–100 тыс. ₽

Ст. 13.12.1 ч.2 КоАП

Нарушение требований по обеспечению безопасности значимых объектов КИИ

Должн. лица:10–50 тыс. ₽

Юр. лица:50–100 тыс. ₽

Ст. 13.12.1 ч.3 КоАП

Нарушение порядка информирования о компьютерных инцидентах

Должн. лица:10–50 тыс. ₽

Юр. лица:100–500 тыс. ₽

Ст. 13.12.1 ч.4 КоАП

Нарушение порядка обмена информацией об инцидентах с ГосСОПКА

Должн. лица:20–50 тыс. ₽

Юр. лица:100–500 тыс. ₽

Ст. 13.12.1 ч.5 КоАП

Повторное нарушение ч.1–4

Должн. лица:50–100 тыс. ₽ или дисквалификация до 3 лет

Юр. лица:500 тыс. – 1 млн ₽

Невыполнение предписаний и непредставление сведений

Штрафы за невыполнение предписаний ФСТЭК и ФСБ по защите информации (ст. 19.5 КоАП) и за нарушение порядка представления сведений о категорировании объектов КИИ (ст. 19.7.15 КоАП).

Ст. 19.5 КоАП — невыполнение требований органов власти

Ст. 19.5 ч.2.2 КоАП

Невыполнение требования о защите информации (ГОС/КИИ)

Должн. лица:16–20 тыс. ₽ или дисквалификация до 3 лет

Юр. лица:300–500 тыс. ₽

Ст. 19.5 ч.2.3 КоАП

Невыполнение требования ФСБ по ИБ

Должн. лица:12–20 тыс. ₽ или дисквалификация до 3 лет

Юр. лица:300–500 тыс. ₽

Ст. 19.5 ч.4 КоАП

Повторное невыполнение требований

Граждане:1,5–2,5 тыс. ₽

Должн. лица:5–10 тыс. ₽

Юр. лица:50–100 тыс. ₽

⚠️ Приостановление до 90 суток

Ст. 19.7.15 КоАП — непредставление сведений о КИИ

Ст. 19.7.15 ч.1 КоАП

Непредставление сведений о категорировании КИИ

Должн. лица:10–50 тыс. ₽

Юр. лица:50–100 тыс. ₽

Ст. 19.7.15 ч.2 КоАП

Непредставление сведений в ГосСОПКА

Должн. лица:10–50 тыс. ₽

Юр. лица:100–500 тыс. ₽

Ст. 19.7.15 ч.3 КоАП

Повторное нарушение ч.1

Должн. лица:50–100 тыс. ₽

Юр. лица:100–200 тыс. ₽

УК РФ

Уголовная ответственность за компьютерные преступления

За наиболее серьёзные нарушения в сфере информационной безопасности предусмотрена уголовная ответственность по статьям 272, 273, 274 и 274.1 УК РФ. Максимальное наказание — лишение свободы до 10 лет по ст. 274.1 за воздействие на КИИ при тяжких последствиях.

Ст. 272 УК РФ

Неправомерный доступ к компьютерной информации

Ч.1Неправомерный доступ, повлекший уничтожение/блокирование/модификацию

Штраф до 200 тыс. ₽ или лишение свободы до 2 лет

Ч.2То же, группой лиц или с использованием служебного положения

Штраф 300–500 тыс. ₽ или лишение свободы до 5 лет

Ч.3При тяжких последствиях

Лишение свободы до 7 лет

Ст. 273 УК РФ

Создание и распространение вредоносных программ

Ч.1Создание/распространение вредоносного ПО

Штраф до 200 тыс. ₽ или лишение свободы до 4 лет

Ч.2С использованием служебного положения

Штраф 100–200 тыс. ₽ или лишение свободы до 5 лет

Ч.3При тяжких последствиях

Лишение свободы до 7 лет

Ст. 274 УК РФ

Нарушение правил эксплуатации средств хранения, обработки или передачи информации

Ч.1Нарушение правил, причинившее крупный ущерб

Штраф до 500 тыс. ₽ или лишение свободы до 2 лет

Ч.2При тяжких последствиях

Лишение свободы до 5 лет

Ст. 274.1 УК РФ

Неправомерное воздействие на КИИ Российской Федерации

Ч.1Создание ВПО для воздействия на КИИ

Штраф 500 тыс. – 1 млн ₽ + лишение свободы 2–5 лет

Ч.2Неправомерный доступ к КИИ с причинением вреда

Штраф 500 тыс. – 1 млн ₽ + лишение свободы 2–6 лет

Ч.3Нарушение правил эксплуатации КИИ

Лишение свободы до 6 лет

Ч.4Группой лиц или с использованием служебного положения

Лишение свободы 3–8 лет

Ч.5При тяжких последствиях

Лишение свободы 5–10 лет

Статистика проверок ФСТЭК России

Данные по итогам проверок ФСТЭК за 2024-2025 годы. Количество проверок и выявленных нарушений растёт, при этом 40% нарушений квалифицируются как грубые и влекут составление протокола.

Период	Проверено объектов	Выявлено нарушений	Возбуждено дел
2024 год	~300	500+	150+
2025 год (1-3 кв)	700+	1100+	~350

98%

нарушений — расхождение состава КИИ с реестром

40%

нарушений — грубые (протокол об АП)

60%

субъектов КИИ не соответствуют приказам 235/239

1700+

объектов нарушают сроки категорирования

Типичные нарушения

98%

Архитектурные несоответствия

Расхождение между фактическим составом КИИ и данными в реестре: неучтённые объекты, тестовые стенды как критичные элементы

Отсутствие анализа уязвимостей

Формальный анализ или его полное отсутствие. При проверке 100 ГИС выявлено 1250+ уязвимостей

Недостатки в категорировании

Занижение категории значимости, отсутствие пересмотра после модернизации

Отсутствие контроля подрядчиков

Выявлено практически во всех проверенных организациях — нет контроля за действиями подрядных организаций

Использование несертифицированных СЗИ

Применение СЗИ без сертификатов ФСТЭК/ФСБ или устаревших версий

Как показатель КЗИ связан с рисками штрафов

Показатель КЗИ (класс защищённости информации) по приказу ФСТЭК №117 — это количественная оценка зрелости вашей системы защиты. Значение КЗИ ниже 1 означает повышенный риск выявления нарушений при проверке и, как следствие, штрафов.

Организация (к1-к3)

Отсутствие ответственного за ИБ, подразделения, контроля подрядчиков → штрафы по ст. 13.12, 13.12.1 КоАП

Пользователи (к4-к7)

Слабые пароли, нет MFA, активные учётки уволенных → риск утечки ПДн и штрафы по ст. 13.11 КоАП

Мониторинг (к14-к16)

Нет сбора событий, корреляции, регламента реагирования → штрафы по ст. 13.12.1 КоАП (КИИ)

Рассчитать ваш КЗИ

Часто задаваемые вопросы о штрафах

Максимальный штраф за утечку персональных данных — до 500 млн рублей (оборотный штраф 1-3% от выручки). Он применяется при повторных нарушениях по ст. 13.11 ч.15 КоАП РФ, введённой ФЗ №420-ФЗ от 30.11.2024.

Оборотные штрафы — это санкции, размер которых привязан к выручке организации (1-3%). Они применяются при повторных утечках персональных данных: минимум 20 млн рублей (25 млн для спецкатегорий), максимум 500 млн рублей. Введены ФЗ №420-ФЗ, действуют с 30 мая 2025 года.

За нарушение требований защиты информации (приказ ФСТЭК №117) штрафы установлены ст. 13.12 КоАП: до 100 тыс. рублей для юрлиц за использование несертифицированных СЗИ, до 30 тыс. за прочие нарушения. При невыполнении предписания ФСТЭК — до 500 тыс. рублей по ст. 19.5 КоАП.

Эксплуатация ГИС без аттестата соответствия является нарушением ст. 13.12 ч.5 КоАП — штраф до 30 тыс. рублей для юрлиц. При повторном нарушении или невыполнении предписания ФСТЭК — до 500 тыс. рублей. Также возможна дисквалификация должностных лиц до 3 лет.

По ст. 274.1 УК РФ за неправомерное воздействие на критическую информационную инфраструктуру грозит лишение свободы до 10 лет. За создание вредоносного ПО для КИИ — до 5 лет, за неправомерный доступ — до 6 лет, за нарушение правил эксплуатации — до 6 лет.

Используйте калькулятор КЗИ на нашем сайте — он оценивает показатель защищённости и показывает потенциальные штрафы по каждому невыполненному требованию. Расчёт учитывает все применимые статьи КоАП и выводит суммарный риск.

Два ключевых изменения: ФЗ №420-ФЗ (с 30.05.2025) ввёл оборотные штрафы до 500 млн за утечки ПДн и дифференцированную шкалу по объёму данных. ФЗ №104-ФЗ (с 23.05.2025) увеличил штрафы по ст. 13.12 в 2,5-25 раз и расширил срок давности с 60 дней до 1 года.

Да. Должностные лица несут персональную административную ответственность: штрафы до 2 млн рублей по ст. 13.11 КоАП, дисквалификация до 3 лет по ст. 19.5. По УК РФ (ст. 274.1) — лишение свободы до 10 лет при тяжких последствиях воздействия на КИИ.

Ключевые меры: провести аудит ИБ, получить аттестат соответствия для ГИС, внедрить сертифицированные СЗИ, наладить процесс управления уязвимостями, обеспечить уведомление о утечках в 24 часа. Калькулятор КЗИ покажет конкретные направления для улучшения.

В 2025 году ФСТЭК проверила более 700 объектов и выявила свыше 1100 нарушений. 98% нарушений связаны с расхождением состава КИИ и реестра. 40% нарушений квалифицируются как грубые и влекут административный протокол. 60% субъектов КИИ не соответствуют приказам №235 и №239.

Не знаете свой уровень защищённости?

Рассчитайте КЗИ бесплатно или закажите аудит информационной безопасности вашей организации

Рассчитать КЗИ