В перечень КИИ теперь входят информационные сети госорганов, системы управления в оборонной индустрии, в здравоохранении, связи, на транспорте, в кредитно-финансовой сфере, энергетике и некоторых отраслях промышленности.
За кибератаку на КИИ вводится уголовная ответственность с лишением свободы от пяти до десяти лет, за создание софта для таких кибератак – принудительные работы или лишение свободы до пяти лет. Лишение свободы до шести лет грозит тем, кто нарушит правила эксплуатации охраняемой компьютерной информации.
Неправомерный доступ к охраняемой компьютерной информации, содержащейся в КИИ, если это угрожает причинением вреда инфраструктуре, также будет наказываться принудительными работами на срок до пяти лет и штрафом до 1 млн. или ограничением свободы до двух лет. В случае если нарушения в правилах эксплуатации средств хранения и передачи информации, которая хранится в КИИ, повлекли тяжкие последствия или создали угрозу, то закон предусматривает наказание в виде лишения свободы от пяти до десяти лет и лишение права занимать определенные должности на срок до пяти лет.