Согласно исследованию ООО "К2Тех", только 30% российских компаний соответствуют регуляторным требованиям федерального закона 152-ФЗ "О персональных данных", то есть актуализируют политику безопасности, проводят регулярный аудит персональных данных и обновляют средства защиты с учетом необходимости обезличивания персональных данных. Эти данные - результат анонимных опросов ИТ- и ИБ-специалистов более 120 российских организаций среднего и крупного бизнеса.

По словам старшего аналитика по кибербезопасти в "К2 Кибербезопасность" Анны Шарлай, из 70% отечественных организаций, не соответствующих требованиям законодательства, 39% разработали маршрутную карту и занимаются апгрейдом внутренних систем, а 31% не имеют на него ресурсов или не знают, с чего начать. Она отметила, что это сигнал масштабной проблемы и назвала требования закона "базой" кибербезопасности при текущем уровне угроз.

https://www.comnews.ru/content/242379/2025-11-17/2025-w47/1010/kazhdyy-tretiy-shtat-krupneyshego-biznesa-nedoukomplektovan-ib-specialistami

Анна Шарлай сообщила корреспонденту ComNews, что точных данных с разбивкой по отраслям нет. Однако ее опыт показывает, что ритейл быстрее остальных принимает новые условия рынка и внедряет соответствующие меры. По ее словам, результаты нового опроса не сильно отличаются от более ранних, большинство еще не перестроились и не адаптировались к новым правилам.

"Причин много: от нехватки бюджетов и компетентных ИБ-специалистов до вызовов импортозамещения. При этом мы видим положительную динамику. Трансформация подходов к защите данных идет не так быстро, как того требует текущий уровень киберугроз, но принятие поправок к ФЗ-152 в этом мае дало дополнительный толчок этому процессу", - сказала она.

https://www.comnews.ru/content/242273/2025-11-12/2025-w46/1008/gosakkreditaciya-it-kompaniy-2026-g-budet-zaviset-dostupnosti-ikh-saytov

"С вступлением в силу поправок к №152-ФЗ компаниям запрещаются сбор, обработка и хранение персональных данных в облачных сервисах иностранных вендоров, так как их серверы находятся за рубежом. При этом в ходе опроса 44% респондентов заявили, что используют в работе облачные сервисы Google, Office 365, CRM и так далее. Подобный подход создает серьезные правовые и операционные риски для бизнеса, так как в процессе использования зарубежных "облаков" возможна незапланированная трансграничная передача персональных данных", - говорится в сообщении компании.

Руководитель практики импортозамещения "К2 Coud" Максим Завьялов отметил, что размещение информации россиян на зарубежных серверах - прямое нарушения закона и зависимость от политики иностранного провайдера. Политика, по его словам, может измениться в одностороннем порядке, и не учитывать требования российских регуляторов.

"Чуть больше половины (54%) респондентов обращают внимание на сертификации ФСТЭК при выборе продуктов для защиты данных. При этом закон обязывает использовать исключительно сертифицированные решения все организации с ГИС (геоинформационная система, предназначенная для сбора, хранения, анализа и визуализации пространственных данных) и критической информационной инфраструктурой - это широкий список отраслей: энергетика, транспорт, ИТ и телеком, финсектор, здравоохранение, образование и так далее. Для всех остальных такого "прямого" требования нет, но если компания не использует сертифицированные средства защиты, ей нужно будет самостоятельно проводить оценку соответствия требованиям законодательства РФ", - гласит сообщение "К2Тех".

https://www.comnews.ru/content/242114/2025-10-31/2025-w44/1010/vozrast-nesoglasiya-roskomnadzor-predlozhil-izmenit-podkhod-k-sboru-personalnykh-dannykh

Адвокат, советник практики "Интеллектуальная собственность" ООО "Имправо" (юридическая компания Impravo) Татьяна Кархалева склонна верить статистике "К2Тех". Она отметила, что согласно результатам ее общения с клиентами, многие из них не осведомлены о требованиях к сбору и хранению персональных данных, а знающие не всегда готовы платить юристам и специалистам по информационной безопасности, чтобы привести все в порядок.

"Основное требование по хранению персональных данных - это то, что они должны записываться, систематизироваться, накапливаться, храниться в базах данных, размещенных на серверах, находящихся на территории Российской Федерации. Если данные собираются в России, но передаются за границу, то нужно оформить трансграничную передачу. Многие боятся этого процесса, но у нас был такой опыт оформления неоднократно - дорогу осилит идущий", - сказала она.

https://www.comnews.ru/content/241910/2025-10-23/2025-w43/1007/dannye-pod-zaschitoy-roskomnadzor-gotovit-novye-pravila-dlya-biznesa

С Татьяной Кархалевой согласилась ведущий юрист ООО "ЮК "Инфорс" (Enforce Law Company) Юлия Барышева. Она заметила, что с 1 июля 2025 г. вступили в силу изменения в федеральный закон "О персональных данных", согласно которым первичный сбор и хранение последних должны осуществляться исключительно на территории РФ. Трансграничная передача данных для их хранения на зарубежных серверах допустима после выполнения ряда условий.

"За нарушение требований, предъявляемых к хранению персональных данных, оператор может быть привлечен к административной ответственности по статье 13.11 КоАП РФ. Так, невыполнение оператором условий, обеспечивающих сохранность персональных данных при хранении материальных носителей и исключающих несанкционированный к ним доступ, влечет наложение административного штрафа на юридических лиц - от 50 тыс. до 100 тыс. руб. За первичный сбор и хранение персональных данных граждан РФ на серверах, расположенных за пределами России, компанию могут оштрафовать на сумму от 1 до 6 млн руб. При этом за повторные нарушения размер штрафов кратно увеличивается. При наличии признаков уголовно наказуемого деяния возможно привлечение физического лица к уголовной ответственности по статьям 137 или 272.1 УК РФ", - отметила она.

https://www.comnews.ru/content/241820/2025-10-17/2025-w42/1008/chetvert-rossiyskikh-fintekh-kompaniy-stolknulis-kiberincidentami-ii

Юлия Барышева рассказала, что в судебной практике уже есть случаи привлечения операторов к ответственности за несоблюдение требований к хранению персональных данных. Как минимум одна компания (Ookla LLC H) получила штраф в размере 6 млн руб. за необеспечение хранения ПД на территории России.

"В нашей практике были случаи участия в проверках, проводимых Роскомнадзором, но нам удавалось доказать невиновность клиентов или убедить контролирующий орган в малозначительности совершенного проступка. Основанием для проведения проверки чаще всего являлась жалоба. Мониторинг судебной практики показывает, что Роскомнадзор планово проверяет крупные компании. Например, ПАО "Аэрофлот" было подвергнуто проверке, в отношении него вынесены акт и предписание, который потом компания успешно обжаловала в суде (дело № А40-163911/2021)", - сказала Татьяна Кархалева.

https://www.comnews.ru/content/241827/2025-10-17/2025-w42/1018/do-97-vyroslo-kolichestvo-lyudey-kotorye-reagiruyut-utechku-svoikh-personalnykh-dannykh

С результатами исследования согласился архитектор клиентского опыта будущего ООО "Юзергейт" (UserGate) Михаил Кадер. Он отметил, что персональные данные на каждого жителя РФ утекли примерно 100 раз, а попытки регулирования и применения штрафов за утечки ни к чему не приводят.

"Речь идет не про реальную защиту данных, а про, в первую очередь, защиту на бумаге. Мы наблюдаем классическую ситуацию, если требования ИБ противоречат построенным бизнес-процессам, то меняют их крайне неохотно. Почему так происходит? Просто потому, что процесс проверок так устроен. Обычно, в первую очередь, проводятся документарные проверки соответствия требованиями 152-ФЗ. Технические проверки формулируются примерно вот так: "Проверьте, что все применяемые технические средства (аппаратные и программные) имеют необходимые сертификаты соответствия требованиям законодательства РФ". Как реально установлены и настроены эти самые технические средства, как фактически реализован процесс управления ИБ - это, на самом деле, основной вопрос. На который исследование "K2Тех" и дает ответ. При этом, обратите внимание, K2Тех исследовал крупные и средние компании. Если бы они посмотрели на малые компании, то цифры были бы еще более шокирующими", - отметил он.

https://www.comnews.ru/content/242210/2025-11-07/2025-w45/1008/obem-rynka-korporativnogo-ib-obrazovaniya-pereshel-za-3-mlrd-rub

По мнению Михаила Кадера, надзорные органы не приходят с проверками к многим представители среднего и малого бизнеса из-за их размеров. А идею штрафовать его представителей за данные уже находящиеся в сети он назвал неразумной и спорной.

"Вот и получается порочный замкнутый круг – проверяем на бумаге, как защищается то, что уже утекло, потому, что так проще. Можно ли его разорвать? Возможно, да. А возможно и нет, потому что, то время, которое потребуется, чтобы утекшие миллиарды персональных данных стали устаревшими - несколько поколений. Правильными шагами, на мой взгляд, было бы не увеличение штрафов, а организация надежных государственных сервисов подтверждения идентичности без необходимости давать свои персональные данные в рамках подписания согласий на их обработку. И многое для этого, кстати, уже сделано и сейчас", - заключил он.

https://www.comnews.ru/content/242185/2025-11-06/2025-w45/1007/tri-goda-vmesto-odnogo