Опубликован закон с поправками, которые касаются ответственности за корпоративные VPN, а также поиска экстремистских материалов, в том числе с помощью VPN. Изменения начнут действовать уже с 1 сентября 2025 года. В каких случаях и кому теперь будут грозить штрафы? Что делать владельцам VPN? Стоит ли сообщать Роскомнадзору о корпоративном VPN?
Эти изменения вызвали резонанс из-за появления штрафов за поиск в интернете экстремистских материалов. При этом менее заметной, но более значимой для бизнеса стала ответственность за «корпоративные» VPN – многие компании используют технологию VPN для организации удаленной работы и, например, безопасного доступа к корпоративным порталам. Особенно актуален VPN для крупного и международного бизнеса, а также для компаний с высокими требованиями к инфобезопасности.
Если кратко: VPN никто не запрещал, по крайней мере пока. Но неправильное развертывание VPN в инфраструктуре теперь грозит крупными штрафами — до 1 млн рублей.
В общем виде логика взаимодействия с Роскомнадзором выглядит так:
Роскомнадзор узнает о сервисе, который позволяет получить доступ к заблокированным ресурсам, и направляет владельцу сервиса требование;
по требованию Роскомнадзора владелец ресурса обязан в течение 30 рабочих дней подключиться к федеральной государственной информационной системе с перечнем запрещенных ресурсов (ФГИС);
в течение 3 рабочих дней после подключения к ФГИС владелец ресурса обязан обеспечить невозможность использования его сервиса для доступа к заблокированным ресурсам на территории России.
Эти правила работают не только для публичных VPN, но и для корпоративных решений.
Многие компании раньше не учитывали эти правила. Во-первых, не было штрафов за их нарушение. Во-вторых, Роскомнадзор раньше мог и не узнать о корпоративном VPN. А сложности, то есть обязанность соблюдать ст. 15.8 Закона № 149-ФЗ, возникают только после получения официального требования от Роскомнадзора.
Уведомление Роскомнадзора о корпоративном VPN
Все поменялось буквально за последний год, когда компании стали все чаще сталкиваться с угрозой блокировки IP-адресов VPN в рамках мероприятий властей по противодействию угрозам и защите «суверенного Интернета».
Чтобы не оказаться без доступа к корпоративным порталам и аналогичным ресурсам, многие компании, особенно локальные офисы зарубежных компаний, были вынуждены просить Роскомнадзор включить их IP-адреса в «белый список». Именно такой вариант предложило и само Минцифры для бесперебойной работы корпоративных решений.
В рамках этой кампании бизнес добровольно сообщал и продолжает сообщать о своих VPN в Роскомнадзор. Подход понятный: если вас и так могут заблокировать в рамках «суверенного Интернета», то лучше попытаться войти в «белый список», чем ждать и подвергать риску работу всей компании. Тем более, раньше штрафов не было.
Штрафы за нарушения, связанные с VPN
С 1 сентября 2025 года владельцев VPN начнут штрафовать по новой ст. 13.52 КоАП:
за невыполнение обязанности по «фильтрации» запрещенных в РФ ресурсов (ч. 3 ст. 13.52 КоАП)
За эти нарушения предусмотрены такие штрафы:
для юрлиц – от 200 000 до 500 000 рублей;
для должностных лиц – от 80 000 до 150 000 рублей;
для граждан – от 50 000 до 80 000 рублей.
За повторное нарушение любого из указанных составов штраф будет еще выше, в частности, для юрлиц – от 800 000 до 1 000 000 рублей (ч. 4 ст. 13.52 КоАП).
Ответственность возлагается на владельца программно-технических средств. Кто им является – не самый простой вопрос, особенно если компания использует чужое коробочное решение.
Здесь уместно провести аналогию с владельцем сайта. Им является тот, кто определяет порядок использования ресурса (п. 17 ст. 2 Закона № 149-ФЗ). По идее компания не должна нести ответственность за установленные провайдером ограничения по настройке VPN. Но пока неизвестно, пойдет ли по этому пути судебная практика, часто лояльная к Роскомнадзору.
Что делать владельцам VPN
Проблема включения VPN в «белый список» Роскомнадзора никуда не исчезла. Сейчас процедура включения стала сложнее, чем прежде.
Поэтому теперь нужно предварительно соотносить риски и решить:
пытаться включить IP-адреса VPN в «белый список» Роскомнадзора, но сообщить о себе и раскрыть карты под угрозой новых штрафов, или
продолжать рисковать и ничего не сообщать об IP-адресах. Риск штрафа меньше, но сам доступ к важным корпоративным решениям окажется под угрозой блокировки.
Эту дилемму нужно решать с технической командой, чтобы понять, какими решениями пользуется компания, существует ли возможность настроить решения под требования Роскомнадзора, каковы шансы уложиться в 33 рабочих дня на фильтрацию запрещенных ресурсов (30 дней на включение в ФГИС и 3 дня на фильтрацию) и др.
Рекомендации
Ответить на вопрос о том, как компания будет исполнять предписания регулятора, стоит до того, как компания начнет «обелять» IP-адреса. Ниже несколько принципиальных моментов, которые важно учитывать.
Выбирая корпоративный VPN, ориентируйтесь на то, будет ли он технически соответствовать требованиям Роскомнадзора.
Комбинируйте технические и организационные меры для соблюдения требований регулятора. Последние особенно важны, если VPN от стороннего провайдера.
Подготовьте инструкции для сотрудников. Четкое описание легальных рамок использования VPN может быть одним из вариантов митигации рисков.
Помните, что использование VPN и других средств обхода блокировок теперь рассматривается как отягчающее обстоятельство по УК (ч. 1 ст. 63 УК).
Опубликовано на ресурсе Шортрид: https://shortread.ru/popravki-o-vpn-za-chto-budut-shtrafovat-i-vkljuchat-li-korporativnyj-vpn-v-belyj-spisok/