В 2026 году медицинские организации находятся под особенно пристальным вниманием регуляторов. Требования к эксплуатации объектов критической информационной инфраструктуры (КИИ) и защите персональных данных пациентов существенно ужесточились, а размеры штрафов выросли до действительно чувствительных сумм.
Для медицинских клиник это особенно актуально, поскольку практически любая современная IT-инфраструктура — МИС, электронная регистратура, телемедицинские сервисы, личные кабинеты пациентов — может подпадать под признаки объектов КИИ.
При этом нарушения сразу по двум направлениям — КИИ и персональные данные — способны привести к совокупным санкциям свыше 500 000 рублей уже по результатам одной проверки.
Разберем, что важно сделать руководителю клиники в 2026 году, чтобы снизить риски и подготовиться к требованиям регуляторов.
Какие риски возникают у медицинской клиники в 2026 году
Штрафы за нарушения требований по КИИ
Изменения в КоАП уже вступили в силу, и сегодня регуляторы получили прямые механизмы воздействия на организации, нарушающие правила эксплуатации объектов КИИ.
Максимальный штраф для юридических лиц может достигать 500 000 рублей.
Штрафы за нарушения при обработке персональных данных
Медицинские организации работают со специальными категориями персональных данных — сведениями о здоровье пациентов. Поэтому требования к защите таких данных значительно строже.
В частности:
- за отсутствие уведомления оператора ПДн в Роскомнадзор предусмотрены штрафы до 300 000 рублей;
- за утечки персональных данных размеры санкций могут достигать сотен тысяч и даже миллионов рублей.
Ответственность за несообщение об инцидентах
Дополнительные риски связаны с:
- нарушением порядка реагирования на инциденты;
- несвоевременным уведомлением уполномоченных органов;
- отсутствием внутренних регламентов реагирования.
Особенно серьезно регуляторы относятся к инцидентам, связанным с объектами КИИ и массовыми утечками данных пациентов.
Шаг 1. Определить, есть ли у клиники объекты КИИ
Первое, что необходимо сделать руководителю, — определить, подпадает ли IT-инфраструктура клиники под критерии критической информационной инфраструктуры.
Какие системы могут относиться к КИИ
В медицинских организациях к потенциальным объектам КИИ часто относятся:
- медицинские информационные системы;
- электронная регистратура;
- системы хранения результатов исследований;
- лабораторные сервисы;
- телемедицинские платформы;
- личные кабинеты пациентов.
Особенно если от их работы зависят ключевые процессы оказания медицинской помощи.
Что необходимо сделать
Провести инвентаризацию IT-систем
Важно проанализировать все сервисы, поддерживающие:
- прием пациентов;
- диагностику;
- стационар;
- лаборатории;
- телемедицину;
- хранение медицинских данных.
Оценить критичность систем
Оценка проводится на основании:
- постановлений Правительства РФ;
- критериев категорирования;
- методических материалов по КИИ.
Зафиксировать результаты
Необходимо:
- сформировать перечень объектов;
- подготовить материалы для комиссии по категорированию;
- либо привлечь профильных специалистов.
Если объект признается значимым, на организацию начинают распространяться дополнительные требования по защите информации и усиленные меры ответственности.
Дополнительно руководителям и ответственным специалистам рекомендуется пройти профильное обучение по КИИ:
https://mediator-dpo.ru/pk-upravlenie-personalom/kii
Шаг 2. Подготовить документы субъекта КИИ и взаимодействие с ФСТЭК
Одна из самых частых причин претензий со стороны регуляторов — отсутствие обязательных документов или ошибки в их оформлении.
Какие документы должны быть у субъекта КИИ
Организационные документы
Необходимо подготовить:
- приказ о создании комиссии по категорированию;
- утвержденный состав комиссии;
- перечень объектов КИИ;
- описание процессов, которые обеспечивают информационные системы клиники.
Документы по категорированию
В обязательный пакет входят:
- материалы обоснования категорирования;
- описание критических процессов;
- определение границ объектов;
- оценка последствий нарушений;
- акты категорирования;
- сведения, направляемые в ФСТЭК России;
- подтверждение отправки документов.
Документы для значимых объектов КИИ
Если объект признан значимым, дополнительно потребуются:
- документы по созданию системы безопасности;
- политики и регламенты;
- инструкции;
- эксплуатационная документация;
- план реагирования на компьютерные инциденты;
- порядок взаимодействия с уполномоченными органами.
При проверке отсутствие этих документов практически всегда рассматривается как нарушение.
Заказать полный комплект обязательных документов по КИИ и подготовку писем во ФСТЭК России можно здесь:
https://mediator-pravo.ru/gotovie-dokumenti-po-vsem-napravleniyam/tproduct/441368178272-komplekt-dokumentov-subekta-kii
Шаг 3. Навести порядок с персональными данными пациентов и сотрудников
Медицинские клиники работают с наиболее чувствительными категориями персональных данных, поэтому к ним применяются повышенные требования по защите информации.
Что необходимо проверить
Уведомление Роскомнадзора
Важно убедиться:
- что уведомление об обработке персональных данных подано;
- сведения в реестре операторов актуальны.
С 30 мая 2025 года штраф за отсутствие уведомления составляет от 100 000 до 300 000 рублей.
Локальные документы по персональным данным
В организации должны быть:
- политика обработки персональных данных;
- положения и регламенты;
- журналы учета;
- инструкции по реагированию на инциденты.
Согласия пациентов и сотрудников
Согласия должны:
- соответствовать целям обработки;
- учитывать объем собираемых данных;
- быть корректно оформлены.
Формальное использование шаблонов не защищает организацию от претензий регуляторов.
Технические меры защиты
Необходимо обеспечить:
- разграничение прав доступа;
- защиту каналов связи;
- резервное копирование;
- журналирование действий пользователей;
- использование сертифицированных средств защиты информации.
Порядок реагирования на утечки
Внутренние инструкции должны определять:
- порядок фиксации инцидентов;
- схему уведомления руководства;
- взаимодействие с Роскомнадзором.
Игнорирование этих требований в случае утечки данных может привести к многомиллионным штрафам.
Заказать полный комплект документов по персональным данным с учетом изменений 2026 года можно здесь:
https://mediator-pravo.ru/personal-dannie
Шаг 4. Назначить ответственных и обучить персонал
На практике большинство инцидентов информационной безопасности связано с человеческим фактором.
Поэтому регуляторы оценивают не только наличие документов, но и реальную работу системы внутри организации.
Что важно организовать
Назначение ответственных лиц
Приказом необходимо определить ответственных за:
- информационную безопасность;
- защиту персональных данных;
- реагирование на инциденты.
Обучение сотрудников
Персонал должен понимать:
- правила работы в МИС;
- порядок обращения с персональными данными;
- действия при подозрении на утечку;
- ограничения на использование несанкционированных мессенджеров и сервисов.
Профильное обучение по требованиям 152-ФЗ можно пройти здесь:
https://mediator-pravo.ru/personal-dannie
Внутренний контроль
Рекомендуется регулярно проводить:
- анализ журналов доступа;
- проверку инструктажей;
- аудит инцидентов;
- контроль соблюдения регламентов.
Системная работа существенно снижает вероятность нарушений и штрафов.
Шаг 5. Провести внутренний аудит информационной безопасности
До прихода проверяющих рекомендуется провести внутренний аудит требований по КИИ и персональным данным.
Это позволяет заранее выявить слабые места и устранить нарушения до проверки.
Что рекомендуется проверить
Документы по КИИ
Необходимо убедиться в наличии:
- полного комплекта документов субъекта КИИ;
- актов категорирования;
- подтверждений взаимодействия с ФСТЭК.
Документы по персональным данным
Важно проверить:
- актуальность локальных актов;
- соответствие требованиям законодательства;
- соответствие фактическим процессам обработки данных.
Техническую защиту
Рекомендуется оценить:
- соответствие заявленных мер защиты;
- состояние IT-инфраструктуры;
- выполнение требований регуляторов.
План корректирующих мероприятий
После аудита желательно подготовить:
- перечень выявленных нарушений;
- сроки устранения;
- ответственных сотрудников.
Наличие внутреннего контроля помогает продемонстрировать добросовестный подход руководства и снизить риск максимальных санкций.
Что выгоднее делегировать специалистам
На практике самостоятельно выстроить всю систему КИИ и защиты персональных данных крайне сложно.
Особенно если речь идет:
- о категорировании объектов;
- подготовке документов;
- взаимодействии с ФСТЭК;
- технических мерах защиты;
- аудите процессов обработки данных.
Какие задачи чаще всего передают профильным специалистам
- разработку комплекта документов по КИИ;
- подготовку сведений и писем во ФСТЭК России;
- аудит обработки персональных данных;
- разработку корректирующих мероприятий;
- актуализацию локальных актов.
Это позволяет руководителю сосредоточиться на управлении клиникой, не погружаясь в сложные требования информационной безопасности.
Как получить готовый комплект документов по КИИ
Если ваша задача — снизить риски штрафов и быстро привести систему в соответствие требованиям законодательства, рационально использовать готовые решения, подготовленные специалистами с опытом прохождения проверок.
Комплект включает:
- документы субъекта КИИ;
- образцы писем во ФСТЭК России;
- материалы, адаптированные под медицинские организации.