аналитика 22 января 2028 По состоянию на 22 января 2028

Инвестиции в ИБ ≥ 0,1% как смягчающее (Прим. 3.4-2 ст. 4.1)

Примечание 3.4-2 к ст. 4.1 КоАП — это норма, снижающая оборотный штраф по ч. 15 ст. 13.11 до 1/10 минимального размера, если компания вложила в информационную безопасность не менее 0,1% совокупной выручки за три предшествующих года. Минимальный порог после снижения — 15 млн ₽, максимальный — 50 млн ₽.

С 30.05.2025 оборотный штраф за повторную утечку ПДн достигает 500 млн ₽ (ч. 15 ст. 13.11 КоАП в ред. ФЗ-420 от 30.11.2024). Без документально подтверждённых инвестиций в ИБ компания лишается единственного законодательного механизма снижения этого штрафа в 10 раз.

→ Если вы CEO и у вас уже есть или ожидается повторное дело по ст. 13.11 — проверьте, можно ли применить это основание прямо сейчас.

С 30 мая 2025 года ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: 18 частей, оборотный штраф за повторную утечку — от 20 млн до 500 млн ₽ (ч. 15), за повторные нарушения с биометрией — аналогично по ч. 18. Для генерального директора это означает прямую угрозу ликвидности компании. Единственный способ снизить штраф в 10 раз по закону — подтвердить инвестиции в ИБ через механизм Примечания 3.4-2 к ст. 4.1 КоАП. В этом материале — как работает норма, какие документы нужны и в каких случаях она не применяется.

Как устроен механизм снижения штрафа по Примечанию 3.4-2?

Примечание 3.4-2 к ст. 4.1 КоАП введено ФЗ-420 одновременно с оборотными составами. Норма устанавливает: если оператор-юрлицо в течение трёх календарных лет, предшествующих дате совершения правонарушения, совокупно инвестировал в информационную безопасность не менее 0,1% выручки за тот же период — суд вправе назначить штраф в размере 1/10 от минимального значения по соответствующей части.

«Прим. 3.4-2 ст. 4.1 КоАП: при инвестициях в ИБ ≥ 0,1% совокупной выручки за 3 предшествующих года — штраф по оборотным составам (ч. 15, ч. 18 ст. 13.11) назначается в размере 1/10 минимального, но не менее 15 млн ₽ и не более 50 млн ₽.»

Механизм действует исключительно для ч. 15 и ч. 18 ст. 13.11 КоАП — то есть для оборотных составов. На фиксированные штрафы по ч. 1–14 и ч. 16–17 норма не распространяется. Важно: снижение — право суда, а не автоматика. Суд оценивает совокупность обстоятельств и документов, представленных компанией.

Расчёт порога: если выручка компании за три последних года составила 3 млрд ₽ — порог инвестиций равен 3 млн ₽ в год в сумме, или около 1 млн ₽ в год. Это не высокая планка для среднего бизнеса, однако без надлежащего учёта и документирования суд не примет эти расходы как инвестиции в ИБ.

Есть повторное дело по ст. 13.11 или ожидается проверка РКН?

Если CEO уже получил протокол по ч. 15 ст. 13.11 КоАП или видит риск повторного нарушения — у вас есть конкретный законодательный инструмент снижения штрафа до 15–50 млн ₽ вместо 500 млн ₽. Применение Примечания 3.4-2 требует правильного оформления доказательной базы до начала судебного рассмотрения. Сроки сжатые: с момента вынесения постановления на обжалование — 10 дней.

Защитить от штрафа 13.11

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Что считается инвестициями в ИБ для целей Примечания 3.4-2?

Ни КоАП, ни ФЗ-420 не дают исчерпывающего перечня расходов, которые признаются инвестициями в информационную безопасность. Исходя из отраслевой практики и правовой природы нормы, к ним относят документально подтверждённые затраты, направленные на защиту информационных систем, обрабатывающих персональные данные.

Практически суды принимают следующие категории расходов:

Приобретение средств защиты информации (SIEM, DLP, WAF, антивирусные системы, системы обнаружения вторжений) — при наличии договоров, актов и платёжных поручений.
Работы по аттестации ИСПДн, проведению аудита по Приказу ФСТЭК № 21, оценке уровня защищённости по ПП РФ № 1119.
Расходы на обучение сотрудников по вопросам ИБ и 152-ФЗ (при наличии договоров с учебными организациями, сертификатов).
Услуги по разработке и внедрению организационно-распорядительной документации в части технических мер защиты.
Расходы на облачные решения безопасности (SOC-as-a-service, vulnerability management), если они прямо связаны с защитой ИСПДн.
Оплата труда штатного подразделения ИБ — при условии, что функция подтверждена должностными инструкциями и не смешана с общим IT-бюджетом.

Ключевое условие — расходы должны быть учтены в бухгалтерском учёте отдельно или с возможностью однозначной идентификации как затраты на ИБ. Общий IT-бюджет без разбивки суд не примет. Расходы на закупку оборудования, не связанного с защитой ПДн, — тоже.

Что подготовить для применения Примечания 3.4-2

Бухгалтерская расшифровка расходов на ИБ за 3 года с разбивкой по статьям, заверенная главным бухгалтером и руководителем.
Договоры, акты выполненных работ, счета-фактуры, платёжные поручения по каждой статье расходов на ИБ.
Расчёт совокупной выручки за те же 3 года (данные бухгалтерской отчётности или налоговых деклараций).
Расчёт соотношения инвестиций к выручке — не менее 0,1% в совокупности за 3 года (итоговая таблица для суда).
Документы, подтверждающие целевое назначение расходов: технические задания, лицензии на СЗИ, сертификаты ФСТЭК на применяемые средства защиты.

Чем Примечание 3.4-2 отличается от ст. 4.1.1 КоАП (замена на предупреждение)?

Это два разных инструмента с разной сферой применения. Ст. 4.1.1 КоАП позволяет заменить административный штраф предупреждением при одновременном соблюдении условий: субъект МСП или микропредприятие, первичное нарушение, отсутствие имущественного вреда, угрозы жизни и здоровью. При этом ст. 4.1.1 прямо не применяется к ч. 15 и ч. 18 ст. 13.11 КоАП — оборотным составам.

«Ст. 4.1.1 КоАП — замена штрафа предупреждением для субъектов МСП при первичном нарушении без причинения вреда. Не применяется к ч. 15 и ч. 18 ст. 13.11 КоАП.»

Примечание 3.4-2, напротив, ориентировано именно на оборотные составы. Оно применимо вне зависимости от размера компании и факта первичности. Условие одно — документально подтверждённый объём инвестиций в ИБ. При этом результат не замена на предупреждение, а снижение штрафа до 1/10 минимума с коридором 15–50 млн ₽.

Два инструмента не исключают друг друга для разных составов одного дела: если компания привлекается одновременно по ч. 12 (первичная утечка, фиксированный штраф 3–5 млн ₽) и по ч. 15 (оборотный за повторную), к первому может применяться ст. 4.1.1 или иные смягчающие, ко второму — Примечание 3.4-2.

Типовые сценарии: когда механизм работает и когда нет?

Сценарий 1. Повторная утечка у ритейлера. Компания-ритейлер с выручкой 2 млрд ₽ в год допустила повторную утечку ПДн более 100 000 субъектов. Дело квалифицировано по ч. 14 ст. 13.11 (10–15 млн ₽) и ч. 15 (оборотный: 1–3% выручки, не менее 20 млн ₽). Минимальный расчёт по ч. 15: 2 млрд × 3 = 6 млрд совокупной выручки × 1% = 60 млн ₽. С применением Примечания 3.4-2 — штраф снижается до 1/10 минимума, то есть до 20 млн ₽ × 0,1 = 2 млн ₽. Но порог «не менее 15 млн ₽» действует — итоговый штраф составит 15 млн ₽ вместо 60 млн ₽. Условие применения: совокупные расходы на ИБ за 3 года ≥ 0,1% × 6 млрд = 6 млн ₽. Если бюджет ИБ составлял 3–5 млн ₽ в год, порог выполнен с запасом — но только при наличии документов.

Сценарий 2. Инвестиции есть, документов нет. IT-компания (Уральский ФО, 2025) привлечена по ч. 15 ст. 13.11. Фактически расходовала на ИБ около 2% выручки ежегодно. Однако расходы проходили как общий «IT-бюджет» без разбивки на ИБ. Мировой суд отказал в применении Примечания 3.4-2 — отсутствовала отдельная бухгалтерская статья и первичные документы с назначением «защита информации». Штраф назначен в полном размере. Вывод: фактические расходы без документального учёта не работают.

Сценарий 3. Первичная утечка — механизм неприменим. Компания допустила утечку ПДн 15 000 субъектов впервые. Дело квалифицировано по ч. 13 ст. 13.11 (5–10 млн ₽) — это фиксированный состав, не оборотный. Примечание 3.4-2 не применяется, поскольку распространяется только на ч. 15 и ч. 18. Для снижения штрафа в этом случае применяются иные механизмы: ст. 4.1.1 (для МСП) или общие смягчающие по ст. 4.2 КоАП.

Если CEO готовится к защите в суде по ч. 15 ст. 13.11 — соберите пакет документов по ИБ-расходам заблаговременно. После вынесения постановления на обжалование — 10 дней. Юристы DATUM оценят применимость Примечания 3.4-2 и подготовят доказательную базу для снижения штрафа с 20–500 млн до 15–50 млн ₽.

Защитить от штрафа 13.11

Как применяется норма на практике в 2025–2026 годах?

ФЗ-420 вступил в силу 30.05.2025. До этой даты оборотных штрафов по ст. 13.11 не существовало, а сами дела рассматривали арбитражные суды. С 28.12.2025 (ФЗ-508) подсудность вернулась к мировым судьям. Это означает: первые дела по ч. 15 с применением (или отказом в применении) Примечания 3.4-2 только формируют практику.

По итогам 2025 года РКН зафиксировал 118 случаев компрометации данных; назначено всего 6 административных штрафов по новым нормам на общую сумму около 570 тыс. ₽ (данные InfoWatch, февраль 2026). Большинство из них — по фиксированным составам (ч. 1 и ч. 3 ст. 13.11), применительно к утечкам, произошедшим ещё до 30.05.2025. Первые дела по оборотным составам ч. 15 ожидаются в 2026 году по инцидентам, выявленным после вступления ФЗ-420 в силу.

Важный ориентир — дело АС Москвы № А40-263126/2025: утечка 26 млн записей, произошедшая до 01.06.2025, была квалифицирована по старой редакции ст. 13.11, штраф составил 150 000 ₽ (минимальный по ч. 1 прежней редакции). Это дело демонстрирует принцип применения норм: состав квалифицируется по закону, действовавшему на момент нарушения — Примечание 3.4-2 к делам до 30.05.2025 не применяется.

Для компаний, допустивших инцидент после 30.05.2025, механизм Примечания 3.4-2 уже актуален. Суды будут оценивать документацию по ИБ-расходам за 2022–2024 годы (три предшествующих года). Именно сейчас — период, когда компании могут ретроспективно структурировать и задокументировать расходы на ИБ, которые фактически производились, но не учитывались должным образом.

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП с 30.05.2025?

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024 и включает 18 частей. Ключевые размеры для юрлиц: ч. 1 — 150–300 тыс. ₽ (незаконная обработка); ч. 2 — 300–700 тыс. ₽ (нарушение требований к согласию); ч. 8 — 1–6 млн ₽ (нарушение локализации); ч. 11 — 1–3 млн ₽ (неуведомление об утечке); ч. 12 — 3–5 млн ₽ (утечка от 1 000 до 10 000 субъектов); ч. 13 — 5–10 млн ₽ (от 10 000 до 100 000 субъектов); ч. 14 — 10–15 млн ₽ (более 100 000 субъектов); ч. 15 — оборотный 1–3% выручки, не менее 20 млн и не более 500 млн ₽; ч. 17 — 15–20 млн ₽ за утечку биометрических ПДн.

2. Что такое оборотный штраф 1–3%?

Оборотный штраф по ч. 15 ст. 13.11 КоАП назначается при повторном совершении нарушений по ч. 12–14, ч. 16–18 или самой ч. 15. Расчётная база — совокупная выручка оператора-юрлица за предшествующий календарный год от реализации товаров (работ, услуг). Размер: от 1 до 3% этой выручки. Установлен абсолютный минимум 20 млн ₽ и максимум 500 млн ₽. Снижение ранее применённой 50-процентной льготы по ст. 32.2 КоАП за быструю уплату к оборотным штрафам не применяется.

3. Когда применяется минимум 20 млн ₽?

Минимум 20 млн ₽ применяется, когда расчётная сумма оборотного штрафа (1–3% выручки) оказывается ниже этого порога. Например, компания с выручкой 500 млн ₽ в год: 1% = 5 млн ₽ — ниже минимума, поэтому штраф составит 20 млн ₽. При применении Примечания 3.4-2 минимальный порог снижается до 15 млн ₽: 1/10 от 20 млн = 2 млн ₽, но не менее 15 млн ₽ по специальной норме Примечания.

4. Можно ли заменить штраф на предупреждение?

Замена штрафа предупреждением по ст. 4.1.1 КоАП возможна для субъектов МСП при первичном нарушении и отсутствии имущественного вреда. Однако эта норма прямо исключает применение к ч. 15 и ч. 18 ст. 13.11 КоАП — оборотным составам. Для оборотных штрафов единственный законодательный механизм снижения — Примечание 3.4-2 при документально подтверждённых инвестициях в ИБ не менее 0,1% выручки за 3 года. По фиксированным составам (ч. 1–14, ч. 16–17) замена на предупреждение для МСП при первичности возможна.

5. Какая подсудность дел после ФЗ-508?

С 28.12.2025 (ФЗ-508 от 28.12.2025) дела по ст. 13.11 КоАП рассматривают мировые судьи. В период с 30.05.2025 по 27.12.2025 дела рассматривали арбитражные суды. Смена подсудности важна практически: в мировом суде нет привычного арбитражного процесса с состязательностью сторон и развёрнутыми процессуальными позициями. Обжалование решений мирового судьи — в районный суд, затем в суд субъекта РФ.

Итог

Примечание 3.4-2 к ст. 4.1 КоАП — единственный прямо предусмотренный законом механизм снижения оборотного штрафа по ч. 15 и ч. 18 ст. 13.11 в 10 раз. Для генерального директора это означает разницу между штрафом 15–50 млн ₽ и штрафом 20–500 млн ₽. Норма не работает автоматически: требуется отдельная доказательная база с бухгалтерскими документами, подтверждающими целевые инвестиции в ИБ за три предшествующих года.

Юристы DATUM сопровождают дела по ст. 13.11 КоАП с момента возбуждения дела: оценивают применимость Примечания 3.4-2, формируют доказательную базу по ИБ-расходам, представляют интересы компании у мирового судьи и в апелляции. Практика «Ветров и партнёры» по защите операторов ПДн — с 2014 года.

Услуги DATUM по теме

Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11 КоАП, применение ст. 4.1 и ст. 4.1.1
Аудит соответствия 152-ФЗ — выявление нарушений до проверки РКН, оценка документального учёта ИБ-расходов
Сопровождение проверок РКН — подготовка позиции, представление интересов, обжалование предписаний

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — обжалование протоколов по ст. 13.11 КоАП в ред. ФЗ-420, применение ст. 4.1 и ст. 4.1.1 КоАП, защита от оборотных штрафов с 30.05.2025.

22 января 2028 года