Оборотные штрафы за утечки персональных данных 2026: первая практика, как защититься

Что изменилось — оборотные штрафы с 2025

До 2025 года штрафы за утечку персональных данных в России были, мягко говоря, символическими. Юрлицо за нарушение требований 152-ФЗ могло заплатить от 60 до 100 тысяч рублей, а при повторном нарушении — до 500 тысяч. Для крупной компании, у которой утекла база на миллионы человек, это была не санкция, а статья расходов, которую проще заложить в бюджет, чем устранять причину. Я много лет наблюдал эту картину изнутри, когда делал аудиты: бизнес честно говорил, что вкладываться в защиту дороже, чем платить штрафы.

С 30 мая 2025 года всё изменилось. Вступил в силу Федеральный закон № 420-ФЗ от 30 ноября 2024 года, который внёс масштабные поправки в статью 13.11 Кодекса об административных правонарушениях. Теперь штрафы измеряются не сотнями тысяч, а миллионами и — за повторные нарушения — процентами от выручки. Это переворачивает экономику решения: платить штраф стало кратно дороже, чем выстроить нормальную защиту данных.

Ключевое новшество — два уровня ответственности. Первый уровень: за саму утечку вводятся высокие фиксированные штрафы, которые зависят от масштаба инцидента. Второй уровень, и он самый болезненный: за повторную утечку применяется оборотный штраф, привязанный к выручке компании. Именно оборотные штрафы делают новую редакцию закона по-настоящему страшной для крупного бизнеса.

В этой статье я разбираю новые нормы детально: какие суммы, как они считаются, что уже происходит в правоприменении в 2026 году, кто попадает в зону риска и что конкретно делать, чтобы не оказаться в числе оштрафованных. Я специально не дублирую то, что уже разобрал в других материалах: про аудит соответствия 152-ФЗ есть отдельная статья, про порядок уведомления об утечке за 24 часа — здесь, а про правильное согласие на обработку ПД — в этом материале. Эта статья — именно про деньги: про штрафы и про то, как не платить их.

ФЗ-420 и поправки в КоАП ст. 13.11

Разберёмся в документе. Федеральный закон № 420-ФЗ от 30.11.2024 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» — это закон, который переписал санкции за нарушения в области персональных данных. Основная масса изменений сосредоточена в статье 13.11 КоАП. Закон вступил в силу 30 мая 2025 года, и именно с этой даты отсчитывается новая эпоха ответственности.

До поправок статья 13.11 КоАП наказывала в основном за процедурные нарушения: обработку без согласия, отсутствие политики конфиденциальности, неуведомление субъекта. Утечка как таковая отдельным составом фактически не выделялась — её квалифицировали через общие нарушения требований к защите. Новая редакция вводит самостоятельный, отдельный состав именно за утечку — за неправомерную передачу персональных данных или неправомерный доступ к ним, повлёкшие распространение информации.

Принципиально важно понимать формулировку: наказывается не сам факт хранения данных, а инцидент — событие, при котором персональные данные оказались доступны третьим лицам, не имевшим на это права. Это может быть взлом базы, слив сотрудником, ошибочная публикация в открытом доступе, незащищённый сервер, индексируемый поисковиками. Юридически всё это — неправомерная передача или неправомерный доступ.

Закон вводит градацию по тяжести. Чем больше пострадавших субъектов и чем больше уникальных идентификаторов утекло, тем выше штраф. Под идентификатором понимается единица данных, позволяющая идентифицировать человека: ФИО в связке с другими данными, номер телефона, email, паспортные данные, СНИЛС, данные банковской карты. При этом утечка специальных категорий данных (здоровье, биометрия) и данных несовершеннолетних рассматривается строже.

Отдельно подчеркну: ответственность многоуровневая. Штраф несут и должностные лица (руководитель, ответственный за обработку ПД), и юридическое лицо. Суммы для юрлиц на порядок выше, и именно о них речь дальше.

Суммы штрафов (фиксированные за первую утечку)

За первую (не повторную) утечку персональных данных закон устанавливает фиксированные штрафы, зависящие от масштаба. Логика такая: чем больше человек пострадало и чем больше идентификаторов утекло, тем выше нижняя и верхняя граница. Ниже — таблица по основным порогам для юридических лиц. Это ориентир по структуре закона; точную квалификацию по конкретному инциденту всегда определяет Роскомнадзор и суд.

Главное, что нужно вынести из этой таблицы: даже первая, единственная утечка теперь стоит компании от 3 миллионов рублей. Для среднего бизнеса это уже не «статья расходов», а удар, после которого приходится пересматривать бюджеты. Для маленькой компании на 3-5 млн ₽ выручки в год такой штраф — это конец бизнеса.

Отдельно отмечу: штраф для юрлица и штраф для должностного лица назначаются параллельно, а не вместо друг друга. То есть за один инцидент компания платит свой штраф, а её руководитель или ответственный за обработку ПД — свой. На практике это означает, что персональная мотивация менеджмента заниматься защитой данных резко выросла.

Оборотные штрафы за повторную утечку (1-3% выручки)

Самая жёсткая часть закона — оборотные штрафы. Если у компании произошла повторная утечка персональных данных, фиксированные суммы больше не применяются. Вместо них назначается штраф в размере от 1 до 3 процентов совокупного размера выручки за предшествующий календарный год.

При этом установлены жёсткие границы: оборотный штраф не может быть меньше 20 миллионов рублей и не может превышать 500 миллионов рублей. То есть даже если 1% выручки составляет, скажем, 12 миллионов, компания всё равно заплатит не менее 20 миллионов. А для компаний с многомиллиардной выручкой действует потолок в полмиллиарда.

Что значит «повторная»? Повторной считается утечка, произошедшая после того, как компания уже была привлечена к ответственности за предыдущую и постановление вступило в силу. То есть первый инцидент — фиксированный штраф (3-15 млн), второй и последующие — уже оборотный. Это создаёт принципиально новую логику: компания, у которой данные текут систематически, рискует не разовым штрафом, а процентом от всего своего оборота.

Подчеркну, что оборот считается совокупный — это вся выручка организации за год, а не выручка от какого-то одного направления. Для холдингов и крупных ритейлеров, банков, телеком-операторов, маркетплейсов это означает потенциальные штрафы в сотни миллионов рублей за повторный инцидент. Именно поэтому крупный бизнес в 2025-2026 годах массово пересматривает свои подходы к защите ПД — экономика изменилась кардинально.

Уголовная ответственность (ст. 272.1 УК)

Параллельно с административными штрафами с конца 2024 года в Уголовном кодексе появилась статья 272.1 «Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные». Это отдельная уголовная ответственность, которая работает независимо от КоАП.

Статья 272.1 УК карает за незаконные сбор, хранение, использование и передачу персональных данных, полученных неправомерным путём. Речь идёт о ситуациях, когда человек осознанно работает с украденными или незаконно полученными базами: покупает их, продаёт, использует в мошеннических схемах. Наказание варьируется от штрафов до реальных сроков лишения свободы — в зависимости от тяжести, наличия квалифицирующих признаков (группа лиц, использование служебного положения, корыстная цель, трансграничная передача, утечка спецкатегорий или данных детей).

Принципиальная разница между уголовной и административной ответственностью: КоАП наказывает организацию за то, что у неё произошла утечка (по сути за недостаточную защиту), а УК наказывает конкретных людей за умышленные действия с краденными данными. Поэтому за один инцидент может наступить и то, и другое: компания платит административный штраф за слив, а сотрудник, который этот слив организовал и продал базу, идёт под уголовное дело по 272.1.

Для бизнеса это означает: внутренний инсайдер, торгующий клиентской базой, теперь не «непорядочный работник», а потенциальный фигурант уголовного дела. И сама компания обязана выстраивать контроль доступа так, чтобы такие действия были невозможны или хотя бы фиксировались.

Первая правоприменительная практика 2026 (кого наказали)

Закон действует с мая 2025 года, и к 2026 году начала формироваться первая практика. Поскольку производства занимают время — от выявления инцидента до вступившего в силу постановления проходят месяцы, — массив дел только накапливается. Но контуры уже видны, и они показательны.

Первыми под удар закономерно попали компании с большими клиентскими базами и заметными инцидентами: крупные ритейлеры и маркетплейсы, у которых утекали базы заказов с ФИО, телефонами и адресами доставки; сервисные платформы, где в открытый доступ попадали данные о пользователях; компании из сферы услуг и доставки. Логика регулятора понятна: чем заметнее инцидент и чем больше пострадавших, тем выше приоритет дела.

Первые штрафы в основном идут по фиксированным составам — то есть как за первую утечку, в диапазоне нескольких миллионов рублей. Оборотные штрафы за повторные нарушения пока единичны просто потому, что для «повторности» нужно сначала привлечь компанию по первому инциденту, дождаться вступления постановления в силу, и только потом следующий инцидент станет основанием для оборотного штрафа. Этот «маховик» только раскручивается, и пик оборотных штрафов аналитики ожидают как раз в 2026-2027 годах.

Что я наблюдаю по своим клиентам и по обсуждениям в профессиональном сообществе: регулятор стал заметно активнее. Роскомнадзор быстрее реагирует на публикации об утечках в СМИ и в профильных каналах, чаще инициирует проверки по жалобам граждан, увереннее квалифицирует инциденты именно как утечку, а не как процедурное нарушение. Раньше можно было отделаться формальным предписанием — сейчас сразу идёт состав с миллионными суммами.

Главный вывод из ранней практики: ставка регулятора на показательные дела. Несколько громких штрафов в миллионы рублей делают для рынка больше, чем сотни мелких предписаний. И эти дела работают — бизнес наконец начал воспринимать защиту ПД как реальный финансовый риск, а не как бумажную формальность.

Как считают штраф (от чего зависит сумма)

Сумма конкретного штрафа — это не лотерея, она зависит от понятных факторов. Понимание этих факторов помогает и оценить свой риск, и грамотно выстроить защиту в случае разбирательства.

Первый фактор — масштаб. Число пострадавших субъектов и количество утёкших идентификаторов прямо определяют, в какую «вилку» попадает штраф. Утечка на тысячу человек и утечка на миллион — это разные составы с разными суммами.

Второй фактор — категория данных. Утечка обычных контактных данных (телефон, email) — это одно. Утечка специальных категорий (состояние здоровья, политические или религиозные взгляды), биометрии или данных несовершеннолетних — отягчающее обстоятельство, штраф уходит к верхней границе.

Третий фактор — повторность. Как я разбирал выше, первая утечка — фиксированный штраф, повторная — оборотный. Это самый дорогой множитель: переход из категории «первая» в «повторную» меняет потолок штрафа с 15 миллионов до 500.

Четвёртый фактор — поведение компании после инцидента. Своевременное уведомление Роскомнадзора, сотрудничество со следствием, оперативное устранение уязвимости, уведомление пострадавших — всё это учитывается. И наоборот: сокрытие инцидента, попытка замолчать утечку, отказ сотрудничать — отягчают.

Пятый фактор — наличие или отсутствие мер защиты. Здесь работает важнейшее смягчающее обстоятельство про расходы на ИБ, о котором отдельный раздел ниже. Компания, которая вкладывалась в защиту, но всё равно пострадала, и компания, которая не делала ничего, — это разные истории для регулятора.

Смягчающие обстоятельства (расходы на ИБ 0,1%)

Законодатель сделал важную вещь: предусмотрел смягчающее обстоятельство для компаний, которые реально вкладывались в информационную безопасность. Это сигнал бизнесу — защищаться выгодно, даже если стопроцентной гарантии нет.

Суть в следующем: если компания может документально подтвердить, что её расходы на мероприятия по защите информации составляли не менее 0,1% совокупной выручки за каждый из трёх лет, предшествующих году нарушения, это рассматривается как смягчающее обстоятельство при назначении штрафа. Условие важно прочитать точно: не разово, а за каждый из трёх лет, и не меньше одной десятой процента от совокупной выручки.

На практике это означает, что вам нужно не просто тратить деньги на ИБ, но и уметь это доказать. Договоры с подрядчиками по защите информации, акты выполненных работ, счета на средства защиты (СКЗИ, антивирусы, межсетевые экраны, DLP-системы), оплата аудитов, обучение сотрудников, зарплата штатных специалистов по ИБ — всё это формирует тот самый документально подтверждённый бюджет. Если вы тратите, но бумаг нет, для регулятора этих расходов как бы не существует.

Я советую клиентам вести отдельный учёт расходов на ИБ именно с прицелом на это смягчающее обстоятельство. Заведите в бухгалтерии отдельную аналитику, складывайте туда все профильные затраты, раз в год сверяйте, что вышли на планку 0,1% от выручки. Это недорого относительно потенциального штрафа и может в случае инцидента сэкономить миллионы.

Важная оговорка: смягчающее обстоятельство уменьшает штраф, но не отменяет его и не делает компанию неуязвимой. Это не индульгенция, а рычаг, который при разбирательстве сдвигает сумму к нижней границе вилки и помогает избежать худшего сценария.

Штрафы за неуведомление РКН (24/72 часа)

Помимо штрафа за саму утечку, существует отдельная ответственность за нарушение порядка уведомления Роскомнадзора. Это два разных нарушения: можно получить штраф за утечку и сверху ещё штраф за то, что вовремя не сообщили о ней.

Сроки жёсткие. На первичное уведомление об инциденте у оператора есть 24 часа с момента обнаружения утечки. На дополнительное уведомление — с результатами внутреннего расследования, оценкой причин и принятыми мерами — отводится 72 часа. Эти сроки прописаны в требованиях к порядку взаимодействия с регулятором при инцидентах с ПД.

Нарушение этих сроков — отдельный состав со своими штрафами для юрлиц (порядка от сотен тысяч до миллиона рублей и выше за неуведомление или несвоевременное уведомление). Логика регулятора понятна: государство хочет узнавать об утечках быстро, чтобы успеть отреагировать и предупредить пострадавших, а не из утечки в публичном канале спустя месяц.

На практике 24 часа — это очень мало. Если у вас нет заранее проработанного регламента реагирования на инциденты, вы физически не успеете: пока разберётесь, что произошло, пока соберёте руководство, пока поймёте, кому писать в Роскомнадзор и в каком формате — сутки пройдут. Поэтому регламент реагирования нужно готовить заранее, в спокойное время. Детально порядок действий и сроки я разбирал в отдельной статье про уведомление об утечке за 24 часа — рекомендую к прочтению всем, у кого есть клиентская база.

Кто в зоне риска (кто чаще попадает)

По моему опыту аудитов, есть категории бизнеса, которые попадают под штрафы чаще остальных. Если вы себя узнаёте — это повод заняться защитой данных в приоритетном порядке.

Первая группа — компании с большими клиентскими базами: ритейл, маркетплейсы, доставка, телеком, банки, страховые. У них много данных, много точек входа, и любой инцидент сразу затрагивает десятки и сотни тысяч человек, то есть попадает в верхние вилки штрафов.

Вторая группа — медицина, фитнес, образование, HR-сервисы. Они обрабатывают специальные категории данных или данные несовершеннолетних, а это автоматически отягчающий фактор. Утечка медкарт или данных детей штрафуется по верхней планке.

Третья группа — компании со слабой ИТ-зрелостью: небольшой бизнес, который собирает ПД (интернет-магазины, сервисы записи, образовательные курсы), но не имеет ни выделенного ИБ-специалиста, ни нормальной защиты, ни регламентов. У них утечки происходят из-за элементарных вещей: открытый сервер, незащищённая база, отсутствие шифрования, доступ всех сотрудников ко всему.

Четвёртая группа — компании, которые активно используют подрядчиков и сторонние сервисы для обработки данных (аутсорсинг рассылок, колл-центры, облачные CRM). Утечка может произойти на стороне подрядчика, но ответственность как оператора несёте вы. Это часто недооценивают.

Пятая группа — компании, у которых уже был инцидент. Они автоматически в зоне риска оборотного штрафа: следующая утечка для них будет квалифицирована как повторная со всеми вытекающими процентами от оборота.

Как защититься (технически и юридически)

Защита от штрафов — это всегда две стороны: техническая (чтобы утечка физически не произошла) и юридическая (чтобы при инциденте минимизировать последствия). Работать нужно по обоим фронтам.

Технически. Базовый минимум: шифрование баз данных и каналов передачи, разграничение доступа по принципу минимальных привилегий (сотрудник видит только то, что нужно для работы), логирование всех обращений к персональным данным, регулярное резервное копирование, защита от внешних вторжений (межсетевой экран, антивирус, обновления). Для компаний с большими базами — DLP-система, отслеживающая попытки выгрузки данных, и SIEM для мониторинга инцидентов. Отдельно — контроль подрядчиков: вы обязаны убедиться, что обработчик данных защищает их не хуже вас.

Юридически. Корректная политика обработки ПД, актуальные согласия от субъектов (про это — отдельная статья о согласиях), договоры с подрядчиками-обработчиками с прописанной ответственностью, регламент реагирования на инциденты с расписанными ролями и сроками (те самые 24/72 часа), назначенный ответственный за обработку ПД. И обязательно — документально оформленный учёт расходов на ИБ для смягчающего обстоятельства.

Организационно. Обучение сотрудников — большая часть утечек происходит из-за человеческого фактора: фишинг, слабые пароли, отправка данных не туда, инсайдеры. Регулярный инструктаж, NDA с сотрудниками, контроль доступа при увольнении (отзыв всех прав в день ухода) — простые меры, которые закрывают значительную долю рисков.

Самое главное — не относиться к этому как к разовому проекту. Защита данных это процесс: меняются системы, приходят и уходят люди, появляются новые подрядчики. То, что было защищено год назад, сегодня может быть дырой. Поэтому нужен регулярный пересмотр — и здесь мы подходим к аудиту.

Зачем нужен аудит до проверки

Я делаю аудиты соответствия 152-ФЗ, и моя главная мысль клиентам всегда одна: дешевле найти свои дыры самому, чем дождаться, пока их найдёт Роскомнадзор или хакер. Аудит до проверки — это страховка, которая в новой реальности оборотных штрафов окупается многократно.

Что даёт аудит. Во-первых, он показывает реальную картину: где у вас хранятся ПД (часто оказывается, что в местах, о которых руководство не знает — в старых таблицах, в почте, в личных папках сотрудников), кто имеет к ним доступ, как они защищены, какие подрядчики их обрабатывают. Во-вторых, он выявляет несоответствия требованиям закона до того, как это сделает регулятор. В-третьих, он формирует ту самую доказательную базу мер защиты, которая работает как смягчающее обстоятельство.

По итогам аудита вы получаете список конкретных рисков, ранжированный по приоритету, и план их устранения. Это превращает абстрактный страх «а вдруг оштрафуют» в управляемую задачу с понятными шагами. Подробно про методологию аудита, что именно проверяется и как он проходит, я писал в отдельной статье про аудит 152-ФЗ в 2026 году.

Отдельно подчеркну экономику. Раньше аудит за несколько сот тысяч рублей сложно было обосновать против штрафа в 100 тысяч. Сейчас, когда первая утечка стоит от 3 миллионов, а повторная — проценты от оборота, аудит и приведение защиты в порядок стали безусловно выгодной инвестицией. Я наблюдаю, что именно с 2025 года спрос на такие аудиты вырос кратно — бизнес наконец считает риски в деньгах.

Что делать при утечке (кратко)

Если утечка уже произошла, действовать нужно быстро и по регламенту. Кратко по шагам: зафиксируйте факт и время обнаружения (от этого момента отсчитываются 24 часа); локализуйте инцидент, чтобы остановить дальнейшую утечку; уведомьте Роскомнадзор в течение 24 часов первичным уведомлением; проведите внутреннее расследование и направьте дополнительное уведомление в течение 72 часов; устраните уязвимость; зафиксируйте все принятые меры документально.

Главные ошибки на этом этапе — паника и попытка замолчать. Сокрытие утечки не помогает, а отягчает: если регулятор узнает об инциденте из публичных источников, а не от вас, это будет учтено против вас. Подробный пошаговый план действий при утечке, шаблоны уведомлений и разбор сроков — в отдельной статье про действия при утечке за 24 часа.

Чек-лист снижения риска

Сведу в практический чек-лист всё, что снижает ваш риск получить штраф. Пройдитесь по пунктам — каждый закрытый пункт уменьшает и вероятность утечки, и размер потенциального штрафа.

Инвентаризация: вы точно знаете, какие ПД, где и зачем храните, и кто к ним имеет доступ. Минимизация: вы не собираете лишних данных и удаляете то, что больше не нужно. Шифрование: базы и каналы передачи защищены. Разграничение доступа: каждый сотрудник видит только своё. Логирование: все обращения к ПД фиксируются. Подрядчики: со всеми обработчиками заключены договоры с прописанной ответственностью. Согласия: от субъектов получены корректные согласия. Политика: актуальная политика обработки ПД опубликована. Регламент инцидентов: расписан порядок действий и роли при утечке, сроки 24/72 часа учтены. Обучение: сотрудники проинструктированы, есть NDA. Учёт расходов на ИБ: ведётся отдельная аналитика на планку не менее 0,1% выручки в год. Аудит: проводится регулярно, минимум раз в год. Реагирование на увольнения: права доступа отзываются в день ухода сотрудника.

Если хотя бы половина пунктов у вас не закрыта — вы в зоне повышенного риска, и заняться этим стоит сейчас, а не после инцидента.

FAQ

С какой даты действуют новые штрафы? С 30 мая 2025 года. Это дата вступления в силу ФЗ-420 от 30.11.2024, который внёс поправки в статью 13.11 КоАП.

Сколько стоит первая утечка? Для юрлица — от 3 до 15 млн ₽ в зависимости от числа пострадавших и категории данных. Для должностного лица — до 600 тыс. ₽ дополнительно.

Что такое оборотный штраф и когда он применяется? Это штраф в размере 1-3% совокупной выручки за предыдущий год, но не менее 20 млн и не более 500 млн ₽. Применяется за повторную утечку — то есть после того, как компания уже была привлечена к ответственности за предыдущий инцидент.

Может ли руководитель сесть в тюрьму за утечку? За саму утечку — нет, это административная ответственность (штраф). Но за умышленные незаконные действия с персональными данными (продажа базы, использование краденых данных) есть уголовная статья 272.1 УК с лишением свободы до 10 лет по тяжким составам.

Как работает смягчающее обстоятельство про 0,1%? Если вы документально подтвердите расходы на защиту информации не менее 0,1% совокупной выручки за каждый из трёх лет до нарушения, это учтут как смягчающее обстоятельство и сдвинут штраф к нижней границе. Не отменяет штраф, но уменьшает.

За что ещё могут оштрафовать, кроме самой утечки? За нарушение сроков уведомления Роскомнадзора: 24 часа на первичное уведомление, 72 часа на дополнительное. Это отдельный состав со своим штрафом, который суммируется со штрафом за утечку.

Мы маленькая компания, нас это касается? Да. Закон не делает исключений по размеру. Более того, для маленькой компании штраф в 3 млн ₽ может оказаться фатальным. А первичные нарушения сроков уведомления штрафуются независимо от масштаба бизнеса.

Утечка произошла у нашего подрядчика. Кто отвечает? Как оператор персональных данных отвечаете вы. Поэтому критично прописывать ответственность подрядчика-обработчика в договоре и проверять его уровень защиты до начала работы.

Что считается «повторной» утечкой? Утечка, произошедшая после того, как постановление о привлечении к ответственности за предыдущий инцидент вступило в силу. Именно повторность переключает штраф с фиксированного на оборотный.

Поможет ли аудит избежать штрафа? Аудит не даёт стопроцентной гарантии, но резко снижает вероятность инцидента и формирует доказательную базу мер защиты, которая работает как смягчающее обстоятельство. В новой реальности оборотных штрафов это выгодная инвестиция.

Выводы

Эпоха символических штрафов за утечки персональных данных закончилась 30 мая 2025 года. Новые нормы ФЗ-420 превратили защиту данных из бумажной формальности в реальный финансовый риск: первая утечка стоит от 3 до 15 миллионов рублей, повторная — проценты от всего годового оборота с потолком в полмиллиарда, а за умышленные действия с данными добавляется уголовная ответственность по статье 272.1 УК с реальными сроками.

Главный сдвиг в том, что теперь защищаться выгоднее, чем платить. Раньше бизнес мог рационально решить, что штраф дешевле защиты. Сейчас эта арифметика перевернулась: вложения в информационную безопасность, регламенты и аудит на порядки дешевле потенциального оборотного штрафа. И законодатель прямо поощряет такие вложения через смягчающее обстоятельство — расходы на ИБ от 0,1% выручки.

Что я рекомендую сделать в первую очередь. Провести инвентаризацию данных и понять реальную картину. Закрыть базовые технические дыры — шифрование, разграничение доступа, логирование. Подготовить регламент реагирования на инцидент с учётом сроков 24/72 часа, потому что в момент утечки времени на раздумья не будет. Начать вести документальный учёт расходов на ИБ. И провести аудит соответствия — лучше найти свои уязвимости самому, чем дождаться проверки или хакера.

Первая правоприменительная практика 2026 года показывает: регулятор настроен серьёзно, идёт по показательным делам и не стесняется миллионных сумм. Маховик оборотных штрафов только раскручивается, и пик придётся на ближайшие годы. Тот, кто приведёт защиту данных в порядок сейчас, в спокойном режиме, окажется в куда лучшем положении, чем тот, кто будет делать это в авральном режиме после инцидента и постановления о штрафе.