Кибербезопасность и ответственность: правовые аспекты защиты данных в 2025 году

В 2025 году российское законодательство в сфере кибербезопасности значительно усилилось. Эти изменения затрагивают почти каждый бизнес, особенно тех, кто работает с персональными данными, использует цифровую инфраструктуру или взаимодействует с государственными заказами. Новые нормы вводят не только более строгие правила обработки информации, но и реальную ответственность — как административную, так и уголовную.

Особое внимание уделено персональным данным. С декабря 2024 года в Уголовный кодекс введена новая статья (272.1), которая устанавливает ответственность за незаконное использование и распространение персональной информации. Нарушение может повлечь не только штрафы, но и уголовное дело — особенно если компания допустила утечку данных, которые должны были быть защищены. При этом не имеет значения, была ли утечка преднамеренной или стала результатом халатности. Сам факт недостаточной защиты уже расценивается как нарушение, особенно если компания не предприняла необходимых мер для предотвращения инцидента.

Одновременно с этим расширились требования к обезличенным данным. Ранее бизнес использовал их как более «свободный» ресурс: применял в аналитике, обучении нейросетей или передавал третьим лицам. Однако с 1 сентября 2025 года такие данные подпадают под новые правила, особенно если они направляются в государственные информационные системы. Теперь требуется вести строгий учёт, при каких условиях данные обезличиваются, кто их обрабатывает и как обеспечивается невозможность обратной идентификации. Нарушение этих требований также может повлечь санкции.

Компании, входящие в сферу критической информационной инфраструктуры (КИИ), получили дополнительный список обязанностей. В марте 2025 года вступили в силу изменения к закону № 187-ФЗ, усилившие контроль за безопасностью таких объектов. Теперь компании обязаны проходить регулярные аудиты, предоставлять отчётность и оперативно сообщать о киберинцидентах. Кроме того, ФСТЭК получила больше полномочий по надзору, включая право внеплановых проверок. При этом перечень отраслей, относящихся к КИИ, был расширен: теперь он охватывает не только энергетику, связь и финансы, но и крупные технологические платформы, в том числе маркетплейсы и облачные сервисы.

Серьёзные изменения коснулись и сферы госзакупок. С 1 января 2025 года вступил в силу Указ Президента РФ № 166, запрещающий государственным заказчикам и их подрядчикам использовать иностранные решения в области кибербезопасности. Это касается не только антивирусов, но и облачных хранилищ, средств шифрования, систем мониторинга и других элементов цифровой инфраструктуры. Бизнесу, работающему с госсектором, пришлось оперативно пересматривать IT-архитектуру, отказываясь от привычных зарубежных решений. Несоблюдение запрета автоматически лишает компанию возможности участвовать в тендерах и госпрограммах.

ФСТЭК России в феврале 2025 года также обновила методические рекомендации по защите информации. Теперь, чтобы участвовать в проектах для госсектора, необходимо использовать только сертифицированные в РФ средства защиты, пройти проверку на соответствие и доказать, что система безопасности действительно функционирует. Это особенно важно для разработчиков программного обеспечения, IT-подрядчиков и интеграторов, работающих на стыке частного и государственного секторов.