В обсуждаемом проекте закона цифровое министерство определит, как будет устанавливаться вина конкретной компании, допустившей утечку (например, данные мог хранить оператор, но утекли они не от него).
«Калибр» штрафа, по плану, будет соразмерен объёмам утечки и критичности слитых данных. В первый раз компания выплатит фиксированный штраф. За повторную утечку ей грозит оборотный (процент от выручки компании, но в некотором интервале).
Если компания «приложила максимум усилий к защите информации», это сбудет считаться смягчающим обстоятельством. Если же попыталась скрыть инцидент — санкции будут максимальными.
Сообщается, что взыскиваемые в рамках этих положений средства могут отойти гражданам — в качестве компенсаций. Для этого, вероятно, создадут распределительный фонд.
Помимо этого, ведомство может ввести добровольную аккредитацию компаний по критериям ИБ, связанную с «механизмом страхования профессиональной ответственности». Это может стать подтверждением, что компания принимала меры для защиты данных.