В 2026 году медицинские организации находятся под особым вниманием контролирующих органов. Требования к эксплуатации объектов критической информационной инфраструктуры (КИИ) и защите персональных данных пациентов значительно ужесточились, а ответственность за нарушения стала существенно выше.
Сфера здравоохранения входит в перечень отраслей, для которых категорирование объектов КИИ является обязательным. При этом максимальный штраф для юридических лиц за нарушения требований к эксплуатации объектов КИИ теперь достигает 500 000 рублей.
Информационные системы современной клиники — медицинская информационная система (МИС), электронная регистратура, личный кабинет пациента, системы хранения медицинских данных и телемедицинские сервисы — зачастую подпадают под признаки объектов КИИ. От их стабильной и безопасной работы напрямую зависит оказание медицинской помощи.
Одновременно выросли штрафы за нарушения законодательства о персональных данных, особенно если речь идёт о специальных категориях данных — сведениях о состоянии здоровья пациентов.
Если руководитель медицинской организации не уделяет должного внимания вопросам КИИ и защиты персональных данных, совокупный размер санкций по итогам проверки может значительно превысить 500 000 рублей.
Реальные риски для руководителя медицинской клиники в 2026 году
Штраф до 500 000 рублей за нарушения требований к объектам КИИ
Соответствующие изменения уже внесены в КоАП РФ. Сегодня регуляторы располагают эффективными механизмами воздействия на организации, которые не выполняют требования по обеспечению безопасности объектов критической информационной инфраструктуры.
Штрафы за нарушения при обработке персональных данных
За отсутствие уведомления Роскомнадзора о деятельности оператора персональных данных предусмотрены штрафы до 300 000 рублей. В случае утечки специальных категорий персональных данных размеры санкций могут исчисляться сотнями тысяч и даже миллионами рублей.
Ответственность за несообщение об инцидентах
Отдельные штрафы предусмотрены за нарушение порядка реагирования на инциденты информационной безопасности и несвоевременное информирование уполномоченных органов. Для организаций суммы санкций могут достигать сотен тысяч рублей, особенно если речь идёт об объектах КИИ или массовой утечке данных пациентов.
Шаг 1. Определить, есть ли у клиники объекты КИИ
Первый шаг руководителя — выяснить, подпадает ли IT-инфраструктура медицинской организации под требования законодательства о критической информационной инфраструктуре.
К потенциальным объектам КИИ в здравоохранении могут относиться медицинские информационные системы, электронные регистратуры, системы хранения результатов исследований, телемедицинские платформы и другие сервисы, от которых зависит оказание медицинской помощи.
Что необходимо сделать
• Провести инвентаризацию всех информационных систем, используемых в процессах приёма пациентов, диагностики, стационарного лечения, лабораторной деятельности и телемедицины.
• Оценить критичность систем в соответствии с критериями, установленными законодательством о КИИ и методическими материалами по категорированию.
• Зафиксировать результаты анализа в перечне объектов, организовать работу комиссии по категорированию либо привлечь профильных специалистов.
Если по результатам категорирования объект будет признан значимым, на организацию распространяются дополнительные требования по защите информации и более строгие меры ответственности.
Руководителям рекомендуется пройти профильное обучение по вопросам КИИ:
https://mediator-dpo.ru/pk-upravlenie-personalom/kii
Шаг 2. Подготовить документы субъекта КИИ и организовать взаимодействие с ФСТЭК России
Для субъектов КИИ предусмотрен обязательный комплект организационно-распорядительных документов. Их отсутствие или неправильное оформление является одной из наиболее распространённых причин замечаний со стороны регуляторов.
Организационные документы
• Приказ о создании комиссии по категорированию объектов КИИ с утверждением её состава.
• Перечень (реестр) объектов КИИ с описанием процессов медицинской организации, которые они обеспечивают.
Документы по категорированию
• Материалы обоснования: описание критических процессов, границ объекта, зависимостей и возможных последствий нарушений.
• Акт категорирования каждого объекта КИИ по установленной форме.
• Сведения о результатах категорирования, направленные во ФСТЭК России, а также подтверждение их направления.
Документы для значимых объектов КИИ
Если объект признан значимым, дополнительно потребуется:
• Комплект документов по созданию и функционированию системы безопасности значимого объекта КИИ.
• Политики, регламенты, инструкции и эксплуатационная документация, подтверждающие выполнение требований ФСТЭК России.
• План реагирования на компьютерные инциденты и порядок взаимодействия с уполномоченными органами.
При проведении проверки отсутствие обязательных документов, ошибки в их оформлении или отсутствие подтверждений взаимодействия с ФСТЭК России могут стать основанием для привлечения организации к ответственности.
Заказать полный комплект обязательных документов по КИИ и подготовку писем во ФСТЭК России:
https://mediator-pravo.ru/gotovie-dokumenti-po-vsem-napravleniyam/tproduct/441368178272-komplekt-dokumentov-subekta-kii
Шаг 3. Навести порядок в обработке персональных данных пациентов и сотрудников
Медицинские организации ежедневно работают со специальными категориями персональных данных, включая сведения о состоянии здоровья пациентов. Именно поэтому требования к их защите особенно строгие, а санкции за нарушения — одни из самых серьёзных.
Уведомление Роскомнадзора
Проверьте, направлено ли уведомление об обработке персональных данных и актуальны ли сведения, содержащиеся в реестре операторов персональных данных.
С 30 мая 2025 года штраф за отсутствие такого уведомления для юридических лиц составляет от 100 000 до 300 000 рублей.
Локальные документы по персональным данным
В медицинской организации должны быть разработаны и актуализированы:
• политика обработки персональных данных;
• положения и внутренние регламенты;
• журналы учёта;
• инструкции по реагированию на инциденты.
Согласия пациентов и сотрудников
Согласия на обработку персональных данных должны соответствовать фактическим целям и объёму обработки информации. Использование формальных шаблонов не гарантирует отсутствие претензий со стороны проверяющих органов.
Технические меры защиты
Необходимо обеспечить:
• разграничение прав доступа к информации;
• защиту каналов передачи данных;
• резервное копирование;
• журналирование действий пользователей;
• применение сертифицированных средств защиты информации.
Порядок реагирования на утечки данных
В клинике должны действовать внутренние процедуры фиксации инцидентов и уведомления руководства, Роскомнадзора и иных уполномоченных органов.
Игнорирование этих требований при утечке данных пациентов может привести к штрафам от сотен тысяч до десятков миллионов рублей.
Заказать полный комплект обязательных документов по персональным данным с учётом изменений 2026 года:
https://mediator-pravo.ru/personal-dannie
Шаг 4. Назначить ответственных и обучить сотрудников
Надёжная система информационной безопасности невозможна без участия персонала. Практика показывает, что большинство инцидентов происходит именно из-за человеческого фактора.
Регуляторы оценивают не только наличие документов, но и то, насколько эффективно они применяются на практике.
Назначение ответственных лиц
Приказом руководителя рекомендуется назначить ответственных за:
• обеспечение информационной безопасности;
• защиту персональных данных;
• взаимодействие при возникновении инцидентов.
Обучение сотрудников
Каждый сотрудник должен понимать:
• правила работы в медицинских информационных системах;
• требования законодательства о персональных данных;
• порядок действий при подозрении на утечку информации;
• запрет на передачу служебных данных через несанкционированные мессенджеры и сервисы.
Профильное обучение сотрудников по требованиям 152-ФЗ:
https://mediator-pravo.ru/personal-dannie
Внутренний контроль
Рекомендуется регулярно проводить:
• выборочную проверку журналов доступа;
• контроль прохождения инструктажей;
• анализ инцидентов и выявленных нарушений.
Системный подход позволяет существенно снизить вероятность нарушений и минимизировать риск крупных штрафов.
Шаг 5. Провести внутренний аудит информационной безопасности
Не стоит ждать визита проверяющих органов. Проведение внутреннего аудита позволяет заранее выявить слабые места и устранить нарушения до начала проверки.
Проверка документов по КИИ
• наличие полного комплекта документов субъекта КИИ;
• актуальность актов категорирования;
• наличие и корректность переписки с ФСТЭК России.
Проверка документов по персональным данным
• актуальность локальных нормативных актов;
• соответствие требованиям законодательства;
• соответствие фактическим бизнес-процессам клиники.
Оценка технических мер защиты
Важно убедиться, что используемые средства защиты действительно соответствуют требованиям законодательства и фактической IT-инфраструктуре организации.
План корректирующих мероприятий
По итогам аудита рекомендуется подготовить план устранения выявленных нарушений с указанием сроков выполнения и ответственных лиц.
Наличие внутреннего контроля и аудита подтверждает добросовестный подход руководства и позволяет снизить риск применения максимальных санкций.
Какие задачи выгоднее передать специалистам, чтобы избежать штрафов
Самостоятельная подготовка документов по КИИ, взаимодействие с ФСТЭК России и организация работы с персональными данными требуют значительных временных затрат и специализированных знаний.
Даже небольшие ошибки в документации, отсутствие обязательных сведений или нарушение порядка уведомления регуляторов могут привести к серьёзным финансовым последствиям.
На практике руководители чаще всего передают профильным специалистам следующие задачи:
• разработку и актуализацию комплекта документов по КИИ;
• подготовку материалов и сведений для ФСТЭК России;
• аудит процессов обработки персональных данных;
• подготовку плана устранения выявленных нарушений.
Такой подход позволяет сосредоточиться на управлении клиникой и развитии медицинских услуг, не отвлекаясь на сложные требования информационной безопасности.
Как получить готовый комплект документов по КИИ для медицинской клиники
Если ваша задача — обеспечить соответствие требованиям законодательства, снизить риск штрафов и сэкономить время руководства, рациональным решением станет использование готового комплекта документов, подготовленного профильными специалистами.
В комплект входят:
• документы субъекта КИИ;
• образцы писем во ФСТЭК России;
• материалы, адаптированные под деятельность медицинской организации.