Бизнесу в Беларуси грозят новые штрафы – за что можно заплатить до 27 тысяч рублей

Белорусский бизнес может получить штраф до 27 тысяч рублей за нарушения в сфере кибербезопасности. Новые требования вступят в силу уже в июне, а под их действие могут попасть компании, которые работают с персональными данными клиентов и используют цифровые сервисы.

Главное, к чему теперь нужно готовиться руководителям: кибербезопасность становится не только задачей IT-отдела, но и вопросом управленческой ответственности.

Под новые требования могут попасть компании, которые принимают, хранят или обрабатывают информацию ограниченного распространения. В эту категорию относятся и персональные данные клиентов. Причем речь не только о ФИО и паспортных данных. Персональными данными могут быть телефон, адрес, сведения о месте работы, IP-адреса и даже cookie.

Если у бизнеса есть CRM, бухгалтерская программа, база клиентов, личный кабинет, форма обратной связи на сайте или другие цифровые сервисы, компании стоит проверить, нужна ли ей аттестованная система защиты информации.

Штрафы могут быть существенными. По новой статье 23.11 КоАП за нарушения требований по кибербезопасности для юрлиц предусмотрены штрафы до 100, 125 и 200 базовых величин — в зависимости от характера нарушения. Для центров обеспечения кибербезопасности максимальный штраф может доходить до 600 базовых величин, то есть до 27 тысяч рублей.

Отдельно расширен перечень организаций, которые обязаны создать собственный центр кибербезопасности или заключить договор с аттестованным SOC-центром. SOC — это структура, которая занимается мониторингом, выявлением и реагированием на киберинциденты.

Эксперты советуют бизнесу не ждать проверки или утечки данных, а уже сейчас провести базовую ревизию: понять, какие цифровые активы есть у компании, какие данные она обрабатывает, нужна ли аттестованная система защиты информации, кто отвечает за безопасность и как сотрудники действуют при подозрительных письмах, сбоях или возможной атаке.

Минимальный набор мер — инвентаризация IT-систем, аудит персональных данных, настройка доступа, регулярное обновление программ, двухфакторная аутентификация, обучение сотрудников и понятный порядок реагирования на инциденты.

Главный вывод для бизнеса простой: кибербезопасность больше нельзя воспринимать как формальность. Отсутствие нужных мер защиты может привести не только к утечке данных и остановке работы, но и к штрафам.