Опубликован закон с поправками, которые касаются ответственности за корпоративные VPN, а также поиска экстремистских материалов, в том числе с помощью VPN. Изменения начнут действовать уже с 1 сентября 2025 года. В каких случаях и кому теперь будут грозить штрафы? Что делать владельцам VPN? Стоит ли сообщать Роскомнадзору о корпоративном VPN?
Рассказывает:
Максим Али,
Партнер, руководитель практики интеллектуальной собственности Comply
С 1 сентября 2025 года вступят в силу поправки, связанные с использованием VPN (Федеральный закон от 31.07.2025 № 281-ФЗ).
Эти изменения вызвали резонанс из-за появления штрафов за поиск в интернете экстремистских материалов. При этом менее заметной, но более значимой для бизнеса стала ответственность за «корпоративные» VPN – многие компании используют технологию VPN для организации удаленной работы и, например, безопасного доступа к корпоративным порталам. Особенно актуален VPN для крупного и международного бизнеса, а также для компаний с высокими требованиями к инфобезопасности.
Если кратко: VPN никто не запрещал, по крайней мере пока. Но неправильное развертывание VPN в инфраструктуре теперь грозит крупными штрафами — до 1 млн рублей.
Как происходит ограничение доступа к VPN
Порядок ограничения доступа к VPN и другим средствам обхода блокировок Роскомнадзора уже давно установлен в ст. 15.8 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации» (далее Закон № 149-ФЗ).
В общем виде логика взаимодействия с Роскомнадзором выглядит так:
- Роскомнадзор узнает о сервисе, который позволяет получить доступ к заблокированным ресурсам, и направляет владельцу сервиса требование;
- по требованию Роскомнадзора владелец ресурса обязан в течение 30 рабочих дней подключиться к федеральной государственной информационной системе с перечнем запрещенных ресурсов (ФГИС);
- в течение 3 рабочих дней после подключения к ФГИС владелец ресурса обязан обеспечить невозможность использования его сервиса для доступа к заблокированным ресурсам на территории России.
Эти правила работают не только для публичных VPN, но и для корпоративных решений.
Многие компании раньше не учитывали эти правила. Во-первых, не было штрафов за их нарушение. Во-вторых, Роскомнадзор раньше мог и не узнать о корпоративном VPN. А сложности, то есть обязанность соблюдать ст. 15.8 Закона № 149-ФЗ, возникают только после получения официального требования от Роскомнадзора.
Уведомление Роскомнадзора о корпоративном VPN
Все поменялось буквально за последний год, когда компании стали все чаще сталкиваться с угрозой блокировки IP-адресов VPN в рамках мероприятий властей по противодействию угрозам и защите «суверенного Интернета».
Чтобы не оказаться без доступа к корпоративным порталам и аналогичным ресурсам, многие компании, особенно локальные офисы зарубежных компаний, были вынуждены просить Роскомнадзор включить их IP-адреса в «белый список». Именно такой вариант предложило и само Минцифры для бесперебойной работы корпоративных решений.
В рамках этой кампании бизнес добровольно сообщал и продолжает сообщать о своих VPN в Роскомнадзор. Подход понятный: если вас и так могут заблокировать в рамках «суверенного Интернета», то лучше попытаться войти в «белый список», чем ждать и подвергать риску работу всей компании. Тем более, раньше штрафов не было.
Штрафы за нарушения, связанные с VPN
С 1 сентября 2025 года владельцев VPN начнут штрафовать по новой ст. 13.52 КоАП:
- за нарушение порядка взаимодействия с Роскомнадзором (ч. 1 ст. 13.52 КоАП);
- за неисполнение требования подключиться к ФГИС (ч. 2 ст. 13.52 КоАП);
- за невыполнение обязанности по «фильтрации» запрещенных в РФ ресурсов (ч. 3 ст. 13.52 КоАП).
За эти нарушения предусмотрены такие штрафы:
- для юрлиц – от 200 000 до 500 000 рублей;
- для должностных лиц – от 80 000 до 150 000 рублей;
- для граждан – от 50 000 до 80 000 рублей.
За повторное нарушение любого из указанных составов штраф будет еще выше, в частности, для юрлиц – от 800 000 до 1 000 000 рублей (ч. 4 ст. 13.52 КоАП).
Ответственность возлагается на владельца программно-технических средств. Кто им является – не самый простой вопрос, особенно если компания использует чужое коробочное решение.
Здесь уместно провести аналогию с владельцем сайта. Им является тот, кто определяет порядок использования ресурса (п. 17 ст. 2 Закона № 149-ФЗ). По идее компания не должна нести ответственность за установленные провайдером ограничения по настройке VPN. Но пока неизвестно, пойдет ли по этому пути судебная практика, часто лояльная к Роскомнадзору.
Что делать владельцам VPN
Проблема включения VPN в «белый список» Роскомнадзора никуда не исчезла. Сейчас процедура включения стала сложнее, чем прежде.
Поэтому теперь нужно предварительно соотносить риски и решить:
- пытаться включить IP-адреса VPN в «белый список» Роскомнадзора, но сообщить о себе и раскрыть карты под угрозой новых штрафов, или
- продолжать рисковать и ничего не сообщать об IP-адресах. Риск штрафа меньше, но сам доступ к важным корпоративным решениям окажется под угрозой блокировки.
Эту дилемму нужно решать с технической командой, чтобы понять, какими решениями пользуется компания, существует ли возможность настроить решения под требования Роскомнадзора, каковы шансы уложиться в 33 рабочих дня на фильтрацию запрещенных ресурсов (30 дней на включение в ФГИС и 3 дня на фильтрацию) и др.
Рекомендации
Ответить на вопрос о том, как компания будет исполнять предписания регулятора, стоит до того, как компания начнет «обелять» IP-адреса. Ниже несколько принципиальных моментов, которые важно учитывать.
- Выбирая корпоративный VPN, ориентируйтесь на то, будет ли он технически соответствовать требованиям Роскомнадзора.
- Комбинируйте технические и организационные меры для соблюдения требований регулятора. Последние особенно важны, если VPN от стороннего провайдера.
- Подготовьте инструкции для сотрудников. Четкое описание легальных рамок использования VPN может быть одним из вариантов митигации рисков.
- Помните, что использование VPN и других средств обхода блокировок теперь рассматривается как отягчающее обстоятельство по УК (ч. 1 ст. 64 УК).
Другие поправки
В КоАП включили и другие составы, связанные с VPN (внесены Федеральным законом от 31.07.2025 № 281-ФЗ).
Умышленный поиск заведомо экстремистских материалов в интернете, в том числе с использованием VPN (ст. 13.53 КоАП). Штраф: от 3000 до 5000 рублей только для граждан.
Материал должен быть включен в перечень экстремистских материалов Минюста или попадать под определение «экстремистского материала» из п. 3 ст. 1 Федерального закона от 25.07.2002 № 114-ФЗ «О противодействии экстремистской деятельности».
Штраф возможен только за целенаправленный поиск, а не за случайное обнаружение. Например, по этой статье не будут штрафовать за пользование VPN для подключения к заблокированным соцсетям, так как до сих пор экстремистскими признавали не все материалы в них, а «деятельность» администрации социальной сети.
Реклама VPN-сервисов (ч. 18 ст. 14.3 КоАП). Штрафы:
- для граждан – от 50 000 до 80 000 рублей;
- для должностных лиц – от 80 000 до 150 000 рублей;
- для юрлиц – от 200 000 до 500 000 рублей.
Например, оштрафовать могут, если есть призыв купить подписку на VPN для обхода блокировки.
