Речь идет о новой Статье 23.11 КоАП (введена Законом от 15.04.2026 № 138-З).
Небрежное отношение к ИТ-инфраструктуре теперь повлечет штрафы для компаний и должностных лиц.
Что является триггером ответственности?
Штрафы по ст. 23.11 КоАП налагаются только при возникновении киберинцидента высокого уровня. Согласно законодательству, к ним относятся:
— несанкционированный доступ к ИТ-инфраструктуре и эксплуатация уязвимостей;
— внедрение вредоносных программ или использование инфраструктуры компании для проведения кибератак;
— перехват, захват или перенаправление сетевого трафика;
— рассылка спама с серверов компании;
— остановка работы систем в результате DDoS-атак («отказ в обслуживании»).
Таким образом, обычный взлом сайта, парализация работы CRM-системы или утечка персональных данных из-за уязвимости — это основание для применения ответственности за несоблюдение требований кибербезопасности.
Размеры штрафов при наступлении инцидента:
Эксплуатация систем БЕЗ обязательной системы защиты информации (СЗИ) (ч. 3 ст. 23.11):
Если закон обязывает аттестовать СЗИ, а её нет:
— на физлицо (должностное лицо): от 15 до 50 базовых величин (БВ);
— на юрлицо или ИП: от 40 до 200 БВ.
*️⃣ Ненадлежащая работа существующей СЗИ (ч. 2 ст. 23.11):
Если СЗИ есть, но нарушены правила техзащиты:
— на физлицо: от 10 до 25 БВ;
— на юрлицо или ИП: от 25 до 125 БВ.
Нарушения в иной инфраструктуре, где СЗИ не требуется (ч. 1 ст. 23.11):
При невыполнении общих правил безопасности:
— на физлицо: от 10 до 20 БВ;
— на юрлицо: от 20 до 100 БВ.
Кого это касается?
Аттестовать СЗИ обязаны собственники систем, где обрабатываются:
— персональные данные и сведения о частной жизни (например, интернет-магазины, CRM, HR-порталы, за редким исключением для некоторых резидентов ПВТ);
— электронные документы (ЭДО);
и некоторые другие компании.
Персональная ответственность директора
Согласно п. 15 Положения о защите информации, утвержденного ОАЦ, руководитель организации несет персональную ответственность за организацию технической и криптографической защиты информации. С 19 июня эта норма подкреплена реальными штрафами КоАП.
Если вы хотите подробно разобраться, какие требования по кибербезопасности применимы именно к вашей компании, какие шаги предпринять для минимизации рисков и как правильно настроить внутренние процессы — обращайтесь за консультацией к нашим специалистам.
Пишите нам в телеграм @SPPLAW или на почту info@spplaw.by.

