От аккредитации до штрафов на директора. Всё о регулировании и возможностях для ИТ-компаний в 2023 году
Современная ИТ среда непредсказуема, изменчива и обусловлена ростом рисков, а за прошлый год мы в CORTEL фиксируем и рост ответственности ключевых бизнес-ролей. В материале собрали основные возможности и вызовы, на которые рекомендуем обратить внимание директору компании и руководителям ИТ команд.
ЧТО С ГОСПОДДЕРЖКОЙ?
Список мер поддержки ИТ отрасли с каждым месяцем рос, к концу года сложившись в цельную картину:
- Налог на прибыль снизить до 0% до 31 декабря 2024.
- Страховые взносы сократить до 7,6%.
- Мораторий на проверки регуляторов и надзорных органов до 31 декабря 2024.
- 80% финансирование ИТ-проектов за счёт грантов.
- Льготные кредиты по ставке не более 3% годовых
- Льготная ипотека до 5% для ИТ-специалистов.
- “Бронь” от призыва для сотрудников ИТ компании.
- Упрощенный порядок получения вида на жительство в РФ для иностранных специалистов.
- Устанавливается налоговый вычет по расходам на основные средства, установку, тестирование, модификацию ПО и обучение сотрудников.
Чтобы претендовать на льготы, бизнес должен попадать под статус ИТ-компании и пройти соответствующую проверку.
В начале 2022 года мы стали свидетелями роста количества ИТ-компаний в РФ в стремлении получения льгот от государства. На этом фоне регуляторы усилили контроль и уточнили критерии аккредитации.
Тут мы фиксируем как уже в августе Минцифры исключило из реестра более 400 организаций, для которых деятельность в ИТ-сфере не являлась основной. А в ноябре ещё 38% организаций, которые не подали в ФНС согласие на раскрытие налоговой тайны. Чуть позже критерии аккредитации были обновлены и зафиксированы в Постановлении Правительства РФ от 30 сентября 2022 года № 1729. Общая тенденция — правила попадания в реестр стали строже. Например, по старым правилам не учитывалась средняя зарплата персонала.
КАК ПОЛУЧИТЬ АККРЕДИТАЦИЮ?
С 10 октября 2022 года Минцифры возобновило прием заявлений на ИТ-аккредитацию на Госуслугах через аккаунт компании. Для аккредитации нужно собрать пакет документов, заполнить электронную форму и получить решение об аккредитации в личном кабинете. Госпошлину платить не нужно.
К заявлению необходимо приложить:
- Справку об отсутствии судимости у руководителя;
- Справку о доходах компании от ИТ-деятельности — это требование не касается заявлений от компании-стартапа;
- Квитанцию о том, что ФНС приняла согласие на раскрытие налоговой тайны.
По новому порядку существует три варианта аккредитации:
- Общий порядок аккредитации.
- Аккредитация для правообладателей продуктов из реестра отечественного ПО.
- Аккредитации для стартапов.
Далее можно выбрать один из трех вариантов аккредитации. На сегодня действует всего шесть требований.
Основной код ОКВЭД из утвержденного перечня. В списке 31 код. Но к некоторым кодам ОКВЭД необходим дополнительный код.
Так, если основной ОКВЭД — 26.20.4, 46.51.2, 47.91.2, 58, 58.2, 59.14, 60.10, 60.20, 63.91, 73.20.1, 85.30, 85.41, 85.42, то понадобится дополнительный код из профильных групп ИТ-деятельности. Это группы 62 — разработка компьютерного ПО или 63 — деятельность порталов поиска, баз данных, обработка данных.
Если регистрируете новую компанию и планируете пользоваться ИТ-льготами, при регистрации бизнеса сразу укажите один из этих кодов ОКВЭД. Подтверждается нужный код ОКВЭД записью в ЕГРЮЛ. Если у компании нет ни одного из перечисленных кодов, нужно обратиться с заявлением в налоговую инспекцию и внести изменения в ЕГРЮЛ.
Информация об ИТ-деятельности есть на сайте компании. Это требование будут проверять, скорее всего, вручную при подаче заявки на аккредитацию.
Нет налоговых долгов. На момент подачи заявки у компании нет недоимок по налогам, сборам и страховым взносам больше 3000 ₽. А у руководителя ИТ-компании нет неснятой или непогашенной судимости.
Частная компания. Прямая или косвенная доля участия государства в ООО — меньше 50%.
ИТ-компания — не банк, не страховщик и не оператор связи.
Есть согласие на раскрытие налоговой тайны. Это необходимо, чтобы Минцифры могло проверить, соответствует ли компания условиям по выручке, доле госучастия и уровню зарплат сотрудников.
Согласие нужно заполнить до подачи заявки на аккредитацию и отправить его в налоговую. Это можно сделать через оператора электронного документооборота или личный кабинет на сайте налоговой службы.
Общий порядок аккредитации.
Есть два дополнительных требования:
- Средняя зарплата сотрудников компании должна быть не ниже средней по стране или региону. По данным Росстата на июль 2022 года, средняя зарплата по стране — 62 200 ₽.
- Доход от ИT-деятельности в общем доходе выше 30%. Однако это правило применяется только для аккредитации. Для налоговых льгот лимит ИТ-дохода выше — 70%.
Аккредитации для правообладателей продуктов из реестра российского ПО.
Здесь нет требований по минимальной зарплате для работников. Но есть другие условия:
- Годовой доход от 1 000 000 ₽. Учитывается весь доход за 2021 год. Если же компания зарегистрирована в 2022 году, в расчет берется весь доход с момента открытия.
- Профильный доход от ИТ-деятельности — выше 30% от общего дохода.
- Компания должна быть правообладателем ПО, включенного в реестр отечественного ПО, и получать доход от продажи прав на него.
Аккредитация для ИТ-стартапов.
- Средняя зарплата сотрудников — не ниже средней по стране или региону.
- Компания существует не более трех лет.
- Общий доход с момента регистрации — до 1 000 000 ₽.
Если регион ведет реестр стартапов, при подаче документов на аккредитацию стартап должен быть зарегистрирован в реестре. Пока такой реестр есть только в Москве, поэтому для других регионов это условие не действует. Этот вариант подходит для молодых ИТ-компаний, у которых пока нет выручки или она небольшая.
В целом, за 2022 год выделено ₽21,5 млрд на поддержку аккредитованных ИТ-компаний, согласно распоряжению № 714-р и указу Президента РФ от 2 марта 2022 г. № 83.
Среда непрерывно меняется и к моменту прочтения могут быть обновления. Полный список актуальных изменений в вопросах господдержки регулярно обновляется на Госуслугах.
ЧТО С ПЕРСОНАЛЬНЫМИ ДАННЫМИ?
Если кратко — регулирование стало более строгим. Штрафы за нарушения в области персональных данных (ПДН) увеличили вдвое, а за ряд положений установили новые за повторные нарушения и убрали административные предупреждения по некоторым пунктам.
Например, за обработку ПДН без письменного согласия субъекта штраф вырос с 75 до 150 тыс. рублей. А за повторное нарушение – 500 тыс. рублей. При этом, штрафы могут суммироваться.
Теперь самое интересное: с 1 сентября 2022 г. ответственность за нарушение закона о ПДН возлагается на физических лиц — Директора и ИТ руководителя компании, включая:
– гражданско-правовую;
– уголовную;
– административную;
– дисциплинарную и иную.
Это значит что и директор и руководитель ИТ служб теперь отвечают лично.
Полная подборка ответственности за несоблюдение закона ПДн приведена здесь.
Важное обновление — оборотные штрафы в размере от 1 до 3% и введение персональной ответственности за утечки.
По предварительным сведениям:
- Главу компании, могут оштрафовать на 200-400 тыс. руб., если в открытом доступе оказалась база на 10-100 тыс. строк.
- Для индивидуальных предпринимателей и юридических лиц штраф за аналогичный инцидент составит 0,02% оборота, но не менее 1 млн руб.
- Штраф для крупных компаний составит от 1 до 3% годовой выручки и будет варьироваться в сумме от 5 до 500 млн. рублей.
Как избежать штрафных санкций и выполнить требования ФЗ-152 без головной боли — рассказали здесь.
О Safe Cloud 152-ФЗ — готовом сервисе для выполнения ФЗ-152 на аттестованной защищённой облачной инфраструктуре с лучшим ТСО — рассказали здесь.
ЧТО С КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРОЙ (КИИ)?
Здесь всё однозначно. До 1 января 2025 года всем кто относится к КИИ, нужно реализовать план импортозамещения. Соответственно, до выхода закона субъектам КИИ разрешалось пользоваться зарубежным ПО и оборудованием, а теперь – только отечественным.
С персональной ответственностью руководителя и заместителя по ИТ здесь аналогично ПДН. С 1 сентября 2022 года:
– руководитель компании несёт персональную ответственность за инциденты
– необходимо возложить на заместителя руководителя полномочия по обеспечению информационной безопасности организации.
Соответственно, в случае нарушений статей КоАП РФ и УК РФ, перечисленных далее — и руководитель, и заместитель понесут ответственность.
Полная памятка по выполнению Указа тут. В случае невыполнения перечисленных в памятке требований, руководитель и заместитель понесут ответственность, аналогичную ответственности за несоблюдение Федерального закона от 26 июля 2017 г. N 187-ФЗ “О безопасности критической информационной инфраструктуры Российской Федерации”.
На что важно обратить внимание:
УК РФ Статья 274.1. Воздействия на КИИ РФ, нарушающие требования законодательства
1. Внедрение в объекты критических информационных систем вредоносных программ.
Если в объект КИИ внедрили вредоносную программу и нарушителя (третье лицо или сотрудника компании) нашли, его действия наказываются:
– принудительными работами на срок до 5 лет с ограничением свободы на срок до 2 лет или без такового
– либо лишением свободы на срок от 2 до 5 лет со штрафом в размере от от 500 тыс. до 1 млн. рублей
– или в размере заработной платы или иного дохода осужденного за период от 1 года до 3 лет.
2. Несанкционированный доступ внутренних и внешних нарушителей к информации в субъектах КИИ.
Так, к внешним нарушителям относится любое третье лицо, которое получило несанкционированный доступ к данным КИИ.
К внутренним – сотрудник организации, который не имел на это права.
В обоих случаях нарушение наказывается:
– принудительными работами на срок до 5 лет со штрафом в размере от 500 тыс. до 1 млн. рублей;
– или в размере заработной платы или иного дохода осужденного за период от 1 года до 3 лет и с ограничением свободы на срок до 2 лет;
– либо лишением свободы на срок от 2 до 6 лет со штрафом в размере от 500 тыс. до 1 млн. рублей
Что делать?
Определить перечень пользователей и права их доступа к объектам КИИ и организовать защиту инфраструктуры таким образом, чтобы минимизировать воздействие внешней среды. Если, например, на компанию работают подрядчики – ограничить доступ к информации, связанной с КИИ.
3. Нарушение правил эксплуатации ИС, которые содержат информацию, связанную с КИИ.
Пункт относится только к сотрудникам организации. Например, если сотрудник отдела разработки, допущенный к КИИ, нарушил правила работы с информацией и допустил утечку, его действия наказываются:
– принудительными работами на срок до 5 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет
– либо лишением свободы на срок до 6 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет.
Что делать?
Разработать регламенты по работе с информацией, связанной с КИИ, настроить систему управления доступом, ознакомить сотрудников, эксплуатировать ИС в соответствии с ними и наладить вопросы отказоустойчивости, чтобы восстановить ИС в случае неправомерной эксплуатации.
4. Воздействие на объекты КИИ с использованием своего служебного положения.
Например, сотрудник отдела безопасности, который решил уволиться и “напоследок” удалил базу данных КИИ, с которой работал, наказывается:
– лишением свободы на срок от 3 до 8 лет с лишением права занимать определенные должности
– или заниматься определенной деятельностью на срок до 3 лет или без такового.
Что делать?
Работать с персоналом, информировать об ответственности за нарушения.
5. Действия, повлёкшие тяжкие последствия (в зависимости от отрасли).
Законодательно для объектов КИИ установлена социальная, политическая, экономическая, экологическая значимость. Если действия или бездействие сотрудников повлекли, например, серьёзные финансовые потери для объекта КИИ, наступит ответственность:
– лишение свободы на срок от 5 до 10 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового.
Что делать?
Выстроить систему защиту информации в соответствии с присвоенными критериями значимости в сфере, в которой функционирует объект КИИ. Комплексно подходить к построению системы защиты и обучению сотрудников, чтобы минимизировать риски.
КоАП РФ Статья 13.12.1. Нарушение требований в области обеспечения безопасности КИИ РФ
Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ РФ и уполномоченными органами иностранных государств.
То есть, если в зарубежном филиале компании произошёл инцидент, и о нём не сообщили в “головной” офис, на организацию налагается административный штраф:
– на должностных лиц в размере от 20 тыс. до 50 тыс. рублей;
– на юридических лиц — от 100 до 500 тыс. рублей.
КоАП РФ Статья 19.7.15. Непредставление сведений, предусмотренных законодательством в области обеспечения безопасности КИИ РФ
Непредставление или нарушение порядка либо сроков представления сведений об инцидентах в ГосСОПКУ.
Все КИИ обязаны сообщать об инцидентах в ГосСОПКУ в течение 24 часов после его наступления. Например, если третье лицо получило доступ к информации, связанной с КИИ и организация не сообщила об этом, наступает административная ответственность в виде штрафа:
– на должностных лиц в размере от 10 тыс. до 50 тыс. рублей;
– на юридических лиц — от 100 тыс. до 500 тыс. рублей.
Что делать?
Изучить и выполнять требования о представлении информации об инцидентах в ГосСОПКУ.
КАК ПОЛУЧИТЬ КРЕДИТ ПОД 3%
Для получения особых условий нужно попасть в реестр аккредитованных ИТ-компаний, а затем проследить за выполнением ряда требований:
— на период действия кредитного договора важно сохранить занятость не менее 85% среднесписочной численности работников по отношению к 1 марта 2022 года;
— Необходимо проводить индексацию зарплат сотрудников на размер инфляции минимум раз в год;
— Придется отказаться от выплаты дивидендов на срок действия кредитного договора.
Решение о соответствии IT-компании требованиям будет принимать Минцифры на основе экспертизы, проведенной «Центром экспертизы и координации информатизации» (ЦЭКИ).