Коллеги-собственники и руководители, добрый день! Отложите на минуту отчёты по выручке.
С 2026 года (согласно поправкам в № 152-ФЗ «О персональных данных» и приказам Минздрава/Роскомнадзора) вступит в силу новый порядок.
Для получения и продления медицинской лицензии вам будет необходимо не просто соблюдать «требования к помещению», а подтвердить соответствие национальному стандарту по защите медицинских информационных систем (ГОСТ Р МЭК 80001-ХХ).
Проще говоря: кибербезопасность вашей МИС и ИТ-инфраструктуры станет таким же обязательным условием, как наличие санузла или лицензии у врача.
Что это значит на практике? Ревизия по трём фронтам:
1. Защита данных (не «по желанию»).
- Требуется сертифицированное СЗПДн (средство защиты персональных данных) от аккредитованного ФСТЭК разработчика.
- Обязательное шифрование каналов передачи данных между филиалами и внешними сервисами (лаборатории, страховые).
- Ведение журналов безопасности с немедленным оповещением об инцидентах в регулятор.
1. Безопасность самой МИС.
- Наличие у вендора МИС сертификата соответствия ФСТЭК на систему защиты информации (АС).
- Проведение регулярного пентеста (тестирования на проникновение) не реже раза в год с заключением аккредитованной организацией.
- Доказательство того, что уязвимости в ПО закрываются в рамках SLA, а не «когда будут руки».
1. Процессы и люди.
- Назначение ответственного за безопасность с соответствующей квалификацией (сертификаты).
- Внедрение регламентов по работе с инцидентами и регулярные тренировки персонала.
- Аудит прав доступа к МИС не реже раза в квартал («а почему у бухгалтера доступ к историям болезней?»).
Сколько стоит «допуск»?
Бюджет на приведение средней сети клиник (5-10 филиалов) в соответствие — от 2.5 до 7 млн ₽ единоразово (сертификация, закупка СЗПДн, пентест, аудит) + от 500 тыс. ₽ ежегодно на поддержку и обновления.
Что будет, если проигнорировать?
Не продлят лицензию. То есть, юридически вы не сможете оказывать услуги. Даже если у вас лучшие врачи города.
Как готовиться уже сейчас (чек-лист делал на 2025 год):
1. Проведите IT-аудит с фокусом на соответствие Приказу Минздрава № 132н (требования к защите ПДн в медицине) и грядущим поправкам.
2. Запросите у вендора вашей МИС дорожную карту по сертификации системы и план обновлений.
3. Внесите в бюджет 2026 года строку «Кибербезопасность и соответствие лицензионным требованиям».
4. Начните с самого болезненного: автоматизируйте учёт и контроль доступов. Это даст быстрый эффект и станет основой для более сложных мер.
Вывод:
Кибербезопасность перестаёт быть «технической статьёй расходов». Она становится стратегическим активом и обязательным элементом бизнес-модели медицинской организации. Тот, кто начнёт движение к compliance сейчас, в 2026-м получит не просто лицензию, а конкурентное преимущество и доверие пациентов.
P.S. Если ваш IT-директор или поставщик МИС на вопрос о сертификации ФСТЭК пожимает плечами — у вас уже сейчас есть проблема, которую нужно решать вчера.
Кто уже сталкивался с аудитом Роскомнадзора или готовится к новым требованиям? Поделитесь в комментариях, в каком вы объёме видите готовность своей организации?
#кибербезопасность #лицензия #медицина #152фз #МИС #ФСТЭК #комплаенс #регуляторика #стратегия #управлениерисками #2026