Опубликован закон с поправками, которые касаются ответственности за корпоративные VPN, а также поиска экстремистских материалов, в том числе с помощью VPN. Изменения начнут действовать уже с 1 сентября 2025 года. В каких случаях и кому теперь будут грозить штрафы? Что делать владельцам VPN? Стоит ли сообщать Роскомнадзору о корпоративном VPN?
С 1 сентября 2025 года вступят в силу поправки, связанные с использованием VPN (Федеральный закон от 31.07.2025 № 281-ФЗ).
Эти изменения вызвали резонанс из-за появления штрафов за поиск в интернете экстремистских материалов. При этом менее заметной, но более значимой для бизнеса стала ответственность за «корпоративные» VPN – многие компании используют технологию VPN для организации удаленной работы и, например, безопасного доступа к корпоративным порталам. Особенно актуален VPN для крупного и международного бизнеса, а также для компаний с высокими требованиями к инфобезопасности.
Если кратко: VPN никто не запрещал, по крайней мере пока. Но неправильное развертывание VPN в инфраструктуре теперь грозит крупными штрафами — до 1 млн рублей.
Как происходит ограничение доступа к VPN
Порядок ограничения доступа к VPN и другим средствам обхода блокировок Роскомнадзора уже давно установлен в ст. 15.8 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации» (далее Закон № 149-ФЗ).
В общем виде логика взаимодействия с Роскомнадзором выглядит так:
Эти правила работают не только для публичных VPN, но и для корпоративных решений.
Многие компании раньше не учитывали эти правила. Во-первых, не было штрафов за их нарушение. Во-вторых, Роскомнадзор раньше мог и не узнать о корпоративном VPN. А сложности, то есть обязанность соблюдать ст. 15.8 Закона № 149-ФЗ, возникают только после получения официального требования от Роскомнадзора.
Уведомление Роскомнадзора о корпоративном VPN
Все поменялось буквально за последний год, когда компании стали все чаще сталкиваться с угрозой блокировки IP-адресов VPN в рамках мероприятий властей по противодействию угрозам и защите «суверенного Интернета».
Чтобы не оказаться без доступа к корпоративным порталам и аналогичным ресурсам, многие компании, особенно локальные офисы зарубежных компаний, были вынуждены просить Роскомнадзор включить их IP-адреса в «белый список». Именно такой вариант предложило и само Минцифры для бесперебойной работы корпоративных решений.
В рамках этой кампании бизнес добровольно сообщал и продолжает сообщать о своих VPN в Роскомнадзор. Подход понятный: если вас и так могут заблокировать в рамках «суверенного Интернета», то лучше попытаться войти в «белый список», чем ждать и подвергать риску работу всей компании. Тем более, раньше штрафов не было.
Штрафы за нарушения, связанные с VPN
С 1 сентября 2025 года владельцев VPN начнут штрафовать по новой ст. 13.52 КоАП:
За эти нарушения предусмотрены такие штрафы:
Ответственность возлагается на владельца программно-технических средств. Кто им является – не самый простой вопрос, особенно если компания использует чужое коробочное решение.
Здесь уместно провести аналогию с владельцем сайта. Им является тот, кто определяет порядок использования ресурса (п. 17 ст. 2 Закона № 149-ФЗ). По идее компания не должна нести ответственность за установленные провайдером ограничения по настройке VPN. Но пока неизвестно, пойдет ли по этому пути судебная практика, часто лояльная к Роскомнадзору.
Что делать владельцам VPN
Проблема включения VPN в «белый список» Роскомнадзора никуда не исчезла. Сейчас процедура включения стала сложнее, чем прежде.
Поэтому теперь нужно предварительно соотносить риски и решить:
Эту дилемму нужно решать с технической командой, чтобы понять, какими решениями пользуется компания, существует ли возможность настроить решения под требования Роскомнадзора, каковы шансы уложиться в 33 рабочих дня на фильтрацию запрещенных ресурсов (30 дней на включение в ФГИС и 3 дня на фильтрацию) и др.
Эти изменения вызвали резонанс из-за появления штрафов за поиск в интернете экстремистских материалов. При этом менее заметной, но более значимой для бизнеса стала ответственность за «корпоративные» VPN – многие компании используют технологию VPN для организации удаленной работы и, например, безопасного доступа к корпоративным порталам. Особенно актуален VPN для крупного и международного бизнеса, а также для компаний с высокими требованиями к инфобезопасности.
Если кратко: VPN никто не запрещал, по крайней мере пока. Но неправильное развертывание VPN в инфраструктуре теперь грозит крупными штрафами — до 1 млн рублей.
Как происходит ограничение доступа к VPN
Порядок ограничения доступа к VPN и другим средствам обхода блокировок Роскомнадзора уже давно установлен в ст. 15.8 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации» (далее Закон № 149-ФЗ).
В общем виде логика взаимодействия с Роскомнадзором выглядит так:
- Роскомнадзор узнает о сервисе, который позволяет получить доступ к заблокированным ресурсам, и направляет владельцу сервиса требование;
- по требованию Роскомнадзора владелец ресурса обязан в течение 30 рабочих дней подключиться к федеральной государственной информационной системе с перечнем запрещенных ресурсов (ФГИС);
- в течение 3 рабочих дней после подключения к ФГИС владелец ресурса обязан обеспечить невозможность использования его сервиса для доступа к заблокированным ресурсам на территории России.
Эти правила работают не только для публичных VPN, но и для корпоративных решений.
Многие компании раньше не учитывали эти правила. Во-первых, не было штрафов за их нарушение. Во-вторых, Роскомнадзор раньше мог и не узнать о корпоративном VPN. А сложности, то есть обязанность соблюдать ст. 15.8 Закона № 149-ФЗ, возникают только после получения официального требования от Роскомнадзора.
Уведомление Роскомнадзора о корпоративном VPN
Все поменялось буквально за последний год, когда компании стали все чаще сталкиваться с угрозой блокировки IP-адресов VPN в рамках мероприятий властей по противодействию угрозам и защите «суверенного Интернета».
Чтобы не оказаться без доступа к корпоративным порталам и аналогичным ресурсам, многие компании, особенно локальные офисы зарубежных компаний, были вынуждены просить Роскомнадзор включить их IP-адреса в «белый список». Именно такой вариант предложило и само Минцифры для бесперебойной работы корпоративных решений.
В рамках этой кампании бизнес добровольно сообщал и продолжает сообщать о своих VPN в Роскомнадзор. Подход понятный: если вас и так могут заблокировать в рамках «суверенного Интернета», то лучше попытаться войти в «белый список», чем ждать и подвергать риску работу всей компании. Тем более, раньше штрафов не было.
Штрафы за нарушения, связанные с VPN
С 1 сентября 2025 года владельцев VPN начнут штрафовать по новой ст. 13.52 КоАП:
- за нарушение порядка взаимодействия с Роскомнадзором (ч. 1 ст. 13.52 КоАП)
- за неисполнение требования подключиться к ФГИС (ч. 2 ст. 13.52 КоАП)
- за невыполнение обязанности по «фильтрации» запрещенных в РФ ресурсов (ч. 3 ст. 13.52 КоАП)
За эти нарушения предусмотрены такие штрафы:
- для юрлиц – от 200 000 до 500 000 рублей;
- для должностных лиц – от 80 000 до 150 000 рублей;
- для граждан – от 50 000 до 80 000 рублей.
- За повторное нарушение любого из указанных составов штраф будет еще выше, в частности, для юрлиц – от 800 000 до 1 000 000 рублей (ч. 4 ст. 13.52 КоАП).
Ответственность возлагается на владельца программно-технических средств. Кто им является – не самый простой вопрос, особенно если компания использует чужое коробочное решение.
Здесь уместно провести аналогию с владельцем сайта. Им является тот, кто определяет порядок использования ресурса (п. 17 ст. 2 Закона № 149-ФЗ). По идее компания не должна нести ответственность за установленные провайдером ограничения по настройке VPN. Но пока неизвестно, пойдет ли по этому пути судебная практика, часто лояльная к Роскомнадзору.
Что делать владельцам VPN
Проблема включения VPN в «белый список» Роскомнадзора никуда не исчезла. Сейчас процедура включения стала сложнее, чем прежде.
Поэтому теперь нужно предварительно соотносить риски и решить:
- пытаться включить IP-адреса VPN в «белый список» Роскомнадзора, но сообщить о себе и раскрыть карты под угрозой новых штрафов, или
- продолжать рисковать и ничего не сообщать об IP-адресах. Риск штрафа меньше, но сам доступ к важным корпоративным решениям окажется под угрозой блокировки.
Эту дилемму нужно решать с технической командой, чтобы понять, какими решениями пользуется компания, существует ли возможность настроить решения под требования Роскомнадзора, каковы шансы уложиться в 33 рабочих дня на фильтрацию запрещенных ресурсов (30 дней на включение в ФГИС и 3 дня на фильтрацию) и др.
Рекомендации
Ответить на вопрос о том, как компания будет исполнять предписания регулятора, стоит до того, как компания начнет «обелять» IP-адреса. Ниже несколько принципиальных моментов, которые важно учитывать.
- Выбирая корпоративный VPN, ориентируйтесь на то, будет ли он технически соответствовать требованиям Роскомнадзора.
- Комбинируйте технические и организационные меры для соблюдения требований регулятора. Последние особенно важны, если VPN от стороннего провайдера.
- Подготовьте инструкции для сотрудников. Четкое описание легальных рамок использования VPN может быть одним из вариантов митигации рисков.
- Помните, что использование VPN и других средств обхода блокировок теперь рассматривается как отягчающее обстоятельство по УК (ч. 1 ст. 63 УК).
Опубликовано на ресурсе Шортрид: https://shortread.ru/popravki-o-vpn-za-chto-budut-shtrafovat-i-vkljuchat-li-korporativnyj-vpn-v-belyj-spisok/