В 2026 году медицинские организации оказались в зоне повышенного внимания регуляторов: усилились требования к эксплуатации объектов критической информационной инфраструктуры (КИИ) и к защите персональных данных пациентов.
Здравоохранение относится к отраслям, для которых категорирование объектов КИИ стало обязательным, а максимальный штраф для юридических лиц за нарушения правил эксплуатации таких объектов теперь достигает 500 000 рублей.
Информационные системы клиники — МИС, электронная регистратура, личный кабинет пациента, телемедицинские сервисы — часто удовлетворяют признакам объектов КИИ, от которых зависят ключевые медицинские процессы.
Одновременно выросли штрафы за нарушения при обработке персональных данных, особенно специальных категорий данных о здоровье, которыми оперируют медорганизации.
Если клиника игнорирует требования и по КИИ, и по персональным данным, при проверке совокупная сумма санкций легко достигает и превышает 500 000 рублей.
Какие риски несет руководитель медицинской клиники в 2026 году
Штраф до 500 000 рублей за нарушения правил эксплуатации объектов КИИ
Соответствующие изменения в КоАП уже вступили в силу, и регуляторы получили прямой инструмент воздействия на организации.
Штрафы за нарушения при обработке персональных данных
За отсутствие уведомления оператора ПДн в Роскомнадзор предусмотрены штрафы до 300 000 рублей, а за утечки специальных категорий данных суммы могут составлять сотни тысяч и миллионы рублей.
Штрафы за несообщение об инцидентах и нарушение порядка реагирования
Для компаний санкции доходят до сотен тысяч рублей, особенно если речь идет о КИИ или массовой утечке данных.
Шаг 1. Определить, есть ли у клиники объекты КИИ
Первое действие руководителя — понять, подпадает ли IT-инфраструктура клиники под критерии КИИ.
К потенциальным объектам КИИ в медицине относятся медицинские информационные системы, регистратура, системы хранения результатов исследований, телемедицинские сервисы, если от их работы зависят ключевые процессы оказания медицинской помощи.
Что нужно сделать
- Провести инвентаризацию всех информационных систем и сервисов, поддерживающих процессы приема, диагностики, стационара, лаборатории, телемедицины.
- Оценить критичность этих систем по критериям постановления Правительства РФ о КИИ и методическим материалам по категорированию.
- Зафиксировать результаты в перечне объектов и передать материалы на комиссию по категорированию либо привлечь внешних экспертов.
Если по результатам категорирования объект признается значимым, на клинику распространяются специальные требования по его защите и более жесткие меры ответственности.
Дополнительно руководителям и ответственным специалистам рекомендуется пройти профильное обучение по направлению КИИ: https://mediator-dpo.ru/pk-upravlenie-personalom/kii
Шаг 2. Оформить документы субъекта КИИ и переписку с ФСТЭК
Для субъекта КИИ существует минимальный обязательный набор документов. Его отсутствие или неполнота — одна из самых частых причин претензий регулятора.
Руководителю клиники важно обеспечить наличие следующих документов
Организационные документы
- Приказ о создании комиссии по категорированию объектов КИИ с утверждением ее состава.
- Перечень (реестр) рассматриваемых объектов КИИ с описанием процессов клиники, которые они обеспечивают.
Документы по категорированию
- Материалы обоснования: описание критических процессов, границ объекта, зависимостей и оценка последствий.
- Акт категорирования каждого объекта КИИ по установленной форме.
- Сведения о результатах категорирования, направленные в ФСТЭК России, и подтверждение их отправки.
Документы для значимых объектов КИИ
Если объект признан значимым, дополнительно необходимы:
- Комплект документов по созданию и функционированию системы безопасности значимого объекта.
- Документы, подтверждающие выполнение требований приказов ФСТЭК: политики, регламенты, инструкции, эксплуатационная документация.
- План реагирования на компьютерные инциденты и порядок информирования уполномоченных органов.
При проверке отсутствие этих документов, ошибки в оформлении или отсутствие подтверждений взаимодействия с ФСТЭК рассматриваются как нарушение и могут привести к крупному штрафу.
Заказать полный комплект обязательных документов по КИИ и подготовку писем во ФСТЭК России можно здесь:
https://mediator-pravo.ru/gotovie-dokumenti-po-vsem-napravleniyam/tproduct/441368178272-komplekt-dokumentov-subekta-kii
Шаг 3. Навести порядок с персональными данными пациентов и сотрудников
Медицинские клиники обрабатывают специальные категории персональных данных о здоровье, поэтому к ним применяются повышенные требования и санкции.
Что необходимо проверить
Уведомление Роскомнадзора
Необходимо проверить наличие уведомления об обработке персональных данных и актуальность сведений в реестре операторов.
С 30 мая 2025 года штраф для организаций за отсутствие такого уведомления составляет от 100 000 до 300 000 рублей.
Локальные акты по персональным данным
Должны быть:
- политика в отношении обработки персональных данных;
- положения и регламенты;
- журналы учета;
- инструкции по реагированию на инциденты.
Согласия пациентов и сотрудников
Согласия должны соответствовать целям и объему обработки данных. Формальное наличие шаблонов не защищает от претензий.
Технические меры защиты
Необходимо обеспечить:
- разграничение прав доступа;
- защиту каналов связи;
- резервное копирование;
- журналирование действий пользователей;
- использование средств защиты информации.
Порядок реагирования на утечки
В клинике должны быть внутренние инструкции по фиксации инцидента и уведомлению руководства и Роскомнадзора.
Игнорирование этих требований в сочетании с утечкой данных пациентов может привести к штрафам от сотен тысяч до десятков миллионов рублей.
Заказать полный комплект обязательных документов по персональным данным с изменениями 2026 года можно здесь: https://mediator-pravo.ru/personal-dannie
Шаг 4. Назначить ответственных и обучить персонал
Информационная безопасность медицинской клиники невозможна без вовлечения сотрудников. Большинство инцидентов происходит из-за человеческого фактора.
Регуляторы оценивают не только наличие документов, но и то, как они применяются на практике.
Что важно организовать
Назначение ответственных
Необходимо приказом назначить ответственных за:
- информационную безопасность;
- защиту персональных данных;
- взаимодействие по инцидентам.
Обучение сотрудников
Персонал должен понимать:
- правила работы в МИС;
- требования к обращению с персональными данными;
- порядок действий при подозрении на утечку;
- запрет передачи информации через несанкционированные мессенджеры.
Профильное обучение сотрудников по требованиям 152-ФЗ можно пройти здесь: https://mediator-pravo.ru/personal-dannie
Внутренний контроль
Рекомендуется проводить:
- выборочный анализ журналов доступа;
- проверку инструктажей;
- анализ инцидентов и нарушений.
Такая системная работа существенно снижает риск нарушений и крупных штрафов.
Шаг 5. Провести внутренний аудит информационной безопасности
Прежде чем ждать визит проверяющих, рекомендуется провести внутренний аудит по требованиям КИИ и персональных данных.
Это позволяет заранее обнаружить слабые места и устранить их до проверки.
Что рекомендуется проверить
Документы по КИИ
- наличие комплекта документов субъекта КИИ;
- акты категорирования;
- переписку с ФСТЭК.
Документы по персональным данным
- актуальность локальных актов;
- соответствие законодательству;
- соответствие фактическим процессам.
Технические меры защиты
Необходимо оценить соответствие:
- заявленных мер защиты;
- фактической IT-инфраструктуры;
- требованиям регуляторов.
План корректирующих мероприятий
Рекомендуется составить план устранения нарушений с указанием сроков и ответственных лиц.
Наличие внутреннего контроля и аудита помогает показать добросовестный подход руководства и снижает риск максимальных санкций.
Что можно и нужно делегировать, чтобы не рисковать штрафом 500 000 рублей
На практике самостоятельно подготовить полный комплект документов субъекта КИИ, выстроить взаимодействие с ФСТЭК и одновременно привести в порядок процессы по персональным данным крайне сложно.
Ошибки в документах, пропуск обязательных сведений или неправильное оформление уведомлений могут привести к серьезным санкциям.
Какие задачи логично передать профильным специалистам
- Разработка и актуализация комплекта документов по КИИ.
- Подготовка писем и сведений во ФСТЭК России.
- Аудит процессов обработки персональных данных.
- Подготовка плана устранения нарушений.
Это позволяет руководителю сосредоточиться на управлении клиникой, не погружаясь в сложные требования информационной безопасности.
Как заказать готовый комплект документов по КИИ для медицинской клиники
Если вы хотите минимизировать риск штрафов и сэкономить время, можно заказать готовый комплект документов у специалистов, работающих с практикой проверок и актуальными требованиями законодательства.
Готовый комплект включает:
- документы субъекта КИИ;
- образцы писем во ФСТЭК России;
- материалы, адаптированные под медицинскую организацию.