Перейти к содержимому
Digital Businessby · Беларусь
Экономика

Штрафы до 27 000 рублей и обязательные SOC-центры: как изменились требования по кибербезопасности в Беларуси

С мая 2026 года в КоАП появились новые статьи за нарушение требований ИБ, а список организаций, обязанных подключиться к SOC, существенно расширился.

Казакевич Алексей
6 мин
Штрафы до 27 000 рублей и обязательные SOC-центры: как изменились требования по кибербезопасности в Беларуси
Содержание
  1. Что изменилось в законодательстве
  2. Кому теперь обязательно нужен SOC
  3. Персональные данные: шире, чем кажется
  4. Что делать прямо сейчас
  5. Что это значит для белорусского бизнеса

В мае 2026 года белорусский бизнес столкнулся с двумя крупными изменениями в сфере информационной безопасности одновременно. В Кодекс об административных правонарушениях добавили статьи с реальными штрафами за нарушение требований кибербезопасности, а Постановление Совета Министров № 246 от 14 мая 2026 года расширило перечень организаций, которые обязаны либо создать собственный SOC-центр, либо заключить договор с аттестованным внешним провайдером. Кибербезопасность окончательно перестала быть зоной ответственности одного IT-отдела — теперь это вопрос управленческой и финансовой ответственности руководства.

Что изменилось в законодательстве

До недавнего времени требования по защите информации существовали, но административная ответственность за их несоблюдение была размытой. Теперь ситуация иная: статья 23.11 КоАП «Нарушение требований по кибербезопасности» устанавливает конкретные санкции в зависимости от тяжести нарушения.

Если компания работала без аттестованной системы защиты информации (СЗИ), хотя она была обязательна, штраф для юридического лица составит до 200 базовых величин. Если СЗИ формально существует, но нарушены требования к технической или криптографической защите — до 125 базовых. Для центров обеспечения кибербезопасности предусмотрен максимальный порог — до 600 базовых величин, что в денежном выражении составляет около 27 000 BYN. Отдельная статья 23.12 регулирует нарушения, затрагивающие объекты критической инфраструктуры.

Важная деталь, которую подчёркивают эксперты: штраф назначается не только за последствия инцидента, но и за сам факт отсутствия необходимых мер защиты на момент его наступления. Иными словами, если произошла утечка данных, а СЗИ не была аттестована — компания получает двойной удар: репутационный и административный.

Кому теперь обязательно нужен SOC

Security Operations Center — это либо штатное подразделение, либо внешняя служба, которая круглосуточно мониторит события в IT-инфраструктуре, выявляет аномалии и реагирует на инциденты. До мая 2026 года перечень организаций, обязанных его иметь, был относительно узким. Постановление Совмина № 246 этот список существенно расширило.

Компании, не попавшие в обязательный перечень, по-прежнему могут обращаться к SOC-услугам добровольно — как в формате постоянного абонентского мониторинга, так и разово: для расследования конкретной атаки или проведения пентеста. Последнее — анализ защищённости инфраструктуры через имитацию реальных атак — становится всё более востребованным инструментом даже среди компаний среднего размера.

Для белорусского рынка показателен пример hoster.by — первой коммерческой компании в стране, получившей статус аттестованного центра кибербезопасности. Появление таких игроков означает, что аутсорсинговая модель SOC становится реальной альтернативой созданию собственного подразделения, особенно для бизнеса, у которого нет ресурсов держать профильную команду в штате.

Персональные данные: шире, чем кажется

Одна из ключевых точек регуляторного давления — персональные данные. По статистике, на них приходится около 40% всех украденных в результате кибератак данных. При этом многие компании недооценивают объём информации, которую закон относит к этой категории.

Помимо очевидных ФИО и паспортных данных, под определение персональных данных подпадают адрес, номер телефона, место работы, IP-адрес и даже файлы cookie. Фактически любая компания, у которой есть CRM-система, форма обратной связи на сайте, личный кабинет для клиентов или стандартный бухгалтерский учёт, уже работает с персональными данными. А значит, по статье 28 Закона «Об информации, информатизации и защите информации», обязана иметь аттестованную СЗИ.

СЗИ — это не просто антивирус и межсетевой экран. Это комплекс правовых, организационных и технических мер, включающий бизнес-процессы: от политики паролей до регламентов реагирования на инциденты. Аттестация означает официальное подтверждение соответствия системы требованиям Приказа ОАЦ № 66 от 20 февраля 2020 года.

Что делать прямо сейчас

Для компаний, которые только начинают выстраивать процессы ИБ, эксперты рекомендуют действовать последовательно. Первый шаг — инвентаризация цифровых активов и понимание того, с какими категориями данных работает организация. Второй — оценка, нужна ли аттестованная СЗИ и реально ли построить её силами внутренней команды или лучше привлечь подрядчика.

После внедрения СЗИ важно не останавливаться: регулярные аудиты и пентесты позволяют выявлять уязвимости до того, как ими воспользуются злоумышленники. Параллельно стоит запустить базовое обучение сотрудников — большинство успешных атак начинается не с технических уязвимостей, а с человеческого фактора: фишинговых писем, слабых паролей, использования личных устройств для рабочих задач.

Значительную часть задач — аудит персональных данных, подготовку к аттестации, мониторинг инфраструктуры — можно передать на аутсорс. Это особенно актуально для компаний из ПВТ и Hi-Tech Park, где высокая концентрация чувствительных данных сочетается с дефицитом профильных ИБ-специалистов на рынке труда.

Что это значит для белорусского бизнеса

Регуляторное ужесточение в сфере кибербезопасности — часть более широкого тренда. Беларусь последовательно движется в сторону формализации требований к защите информации, и нынешние изменения, судя по всему, не последние. Бизнесу, который до сих пор воспринимал ИБ как опциональную статью расходов, придётся пересмотреть приоритеты.

Финансовая логика здесь проста: штраф до 27 000 BYN плюс репутационный ущерб от утечки данных многократно превышают стоимость аттестации СЗИ или годового контракта с SOC-провайдером. При этом атаки, по словам специалистов отрасли, становятся всё более автоматизированными и массовыми — они не выбирают жертву по размеру бизнеса, а просто сканируют доступные уязвимости. Готовность к ним перестала быть конкурентным преимуществом и стала базовым условием работы на рынке.

— По материалам Myfin.by: https://myfin.by/article/biznes/narusil-zaplati-do-27-tysac-rublej-v-belarusi-vveli-novye-trebovania-dla-biznesa-po-kiberbezopasnosti-45877?utm_source=rssfeed. Полная ссылка на оригинал обязательна согласно редакционной политике для беларуских источников. Адаптация — редакция Digital Business.

Сервис по темеКонвертер валютПересчитайте суммы по актуальному курсу НБРБ
ПоделитьсяVK

Свежие новости

Все новости