В 2026 году практически каждая медицинская организация в России столкнулась с новым обязательным требованием - выполнением законодательства о критической информационной инфраструктуре (КИИ).
После утверждения перечня объектов КИИ распоряжением Правительства РФ №360-р от 26.02.2026 требования информационной безопасности напрямую коснулись:
Разберём простым языком - что такое КИИ, почему теперь это касается всех клиник и что необходимо сделать уже сейчас, чтобы избежать штрафов и блокировки деятельности.
После утверждения перечня объектов КИИ распоряжением Правительства РФ №360-р от 26.02.2026 требования информационной безопасности напрямую коснулись:
- частных медицинских клиник
- стоматологий
- лабораторий
- диагностических центров
- медицинских ИП
- фармацевтических организаций
Разберём простым языком - что такое КИИ, почему теперь это касается всех клиник и что необходимо сделать уже сейчас, чтобы избежать штрафов и блокировки деятельности.
Что такое КИИ
Критическая информационная инфраструктура (КИИ) - это информационные системы, нарушение работы которых может повлиять на безопасность государства, граждан или функционирование социально значимых отраслей.
Основной нормативный акт:
Федеральный закон №187-ФЗ от 26.07.2017
«О безопасности критической информационной инфраструктуры Российской Федерации».
Сфера здравоохранения официально относится к критически важным отраслям.
Это означает:
любая медицинская организация автоматически становится субъектом КИИ, если использует информационные системы для оказания медицинской помощи.
Основной нормативный акт:
Федеральный закон №187-ФЗ от 26.07.2017
«О безопасности критической информационной инфраструктуры Российской Федерации».
Сфера здравоохранения официально относится к критически важным отраслям.
Это означает:
любая медицинская организация автоматически становится субъектом КИИ, если использует информационные системы для оказания медицинской помощи.
Почему медицинские организации стали субъектами КИИ
Ключевая причина - цифровизация медицины.
Сегодня каждая клиника обязана работать через государственные цифровые системы:
Передача данных пациентов, электронных медицинских документов и сведений о персонале делает IT-инфраструктуру клиники частью государственной цифровой системы здравоохранения.
Следовательно: информационные системы клиники = объекты КИИ.
Читайте также: Получение медицинской лицензии в Казани под ключ
Сегодня каждая клиника обязана работать через государственные цифровые системы:
- ЕГИСЗ
- ФРМО
- ФРМР
- РЭМД
- медицинские информационные системы (МИС)
Передача данных пациентов, электронных медицинских документов и сведений о персонале делает IT-инфраструктуру клиники частью государственной цифровой системы здравоохранения.
Следовательно: информационные системы клиники = объекты КИИ.
Читайте также: Получение медицинской лицензии в Казани под ключ
Какие системы клиники относятся к объектам КИИ
Под требования законодательства попадают:
Фактически - вся цифровая инфраструктура клиники.
- медицинские информационные системы (МИС)
- лабораторные информационные системы
- системы лучевой диагностики
- системы управления медицинским оборудованием
- телемедицинские сервисы
- информационные системы фармацевтических организаций
- системы, взаимодействующие с ЕГИСЗ
- региональные системы ОМС
- серверы, сети и центры обработки данных
- системы мониторинга пациентов
- хирургические и диагностические IT-комплексы
Фактически - вся цифровая инфраструктура клиники.
Основные требования закона о КИИ
Для субъектов КИИ установлены обязательные меры безопасности:
- Уведомление государства о компьютерных инцидентах.
- Планирование мероприятий по защите информации.
- Анализ угроз и оценка рисков.
- Постоянный мониторинг безопасности.
- Реагирование на киберинциденты.
- Использование сертифицированных средств защиты информации.
Подробный алгоритм действий медицинской организации
Ниже - базовый порядок, который требуется выполнить субъекту КИИ.
Шаг 1. Назначить ответственного за безопасность
Руководитель должен:
Шаг 2. Создать комиссию по категорированию
Издается приказ о создании комиссии КИИ.
Комиссия определяет значимость информационных систем организации.
Шаг 3. Определить перечень объектов КИИ
Необходимо:
Шаг 4. Направить перечень в ФСТЭК России
Срок - 10 рабочих дней после утверждения списка.
Передача выполняется в электронном и бумажном виде.
Шаг 5. Провести категорирование объектов КИИ
Организация обязана:
Срок выполнения - до 1 года.
Шаг 6. Передать результаты категорирования в ФСТЭК
После утверждения акта необходимо направить сведения по форме ФСТЭК.
Шаг 7. Обеспечить защиту объектов КИИ
Включает:
Читайте также: Получение медицинской лицензии в Казани под ключ
Шаг 1. Назначить ответственного за безопасность
Руководитель должен:
- назначить сотрудника по информационной безопасности
- или
- создать подразделение ИБ.
Шаг 2. Создать комиссию по категорированию
Издается приказ о создании комиссии КИИ.
Комиссия определяет значимость информационных систем организации.
Шаг 3. Определить перечень объектов КИИ
Необходимо:
- провести инвентаризацию всех IT-систем
- сформировать перечень объектов
- утвердить его руководителем
Шаг 4. Направить перечень в ФСТЭК России
Срок - 10 рабочих дней после утверждения списка.
Передача выполняется в электронном и бумажном виде.
Шаг 5. Провести категорирование объектов КИИ
Организация обязана:
- выявить угрозы безопасности;
- оценить возможные последствия инцидентов;
- определить категорию значимости объекта;
- оформить акт категорирования.
Срок выполнения - до 1 года.
Шаг 6. Передать результаты категорирования в ФСТЭК
После утверждения акта необходимо направить сведения по форме ФСТЭК.
Шаг 7. Обеспечить защиту объектов КИИ
Включает:
- внедрение средств защиты
- разработку регламентов
- обучение сотрудников
- систему реагирования на инциденты
Читайте также: Получение медицинской лицензии в Казани под ключ
Какие документы должны быть в клинике
Практика показывает: главный риск - отсутствие документации.
Минимальный пакет включает:
Всего - более 40 обязательных документов, которые проверяются контролирующими органами.
Минимальный пакет включает:
- перечень объектов КИИ
- приказ о комиссии
- акт категорирования
- модель угроз безопасности
- план защиты информации
- регламент реагирования на инциденты
- правила резервного копирования
- инструкции сотрудников
- приказы о назначении ответственных
- журналы учета инцидентов
- документы эксплуатации средств защиты
- план восстановления работы систем
Всего - более 40 обязательных документов, которые проверяются контролирующими органами.
Ответственность за нарушение требований КИИ
Несоблюдение закона №187-ФЗ может привести к серьёзным последствиям:
Административная ответственность
Кроме штрафов возможны:
Административная ответственность
- штрафы для юридических лиц до 500 000 ₽.
- при тяжких последствиях - до 10 лет лишения свободы (ст. 274.1 УК РФ).
Кроме штрафов возможны:
- предписания ФСТЭК
- внеплановые проверки
- приостановка деятельности
Почему большинство клиник уже находятся в зоне риска
На практике медицинские организации:
При первой проверке это считается нарушением законодательства.
- не знают, что стали субъектами КИИ
- не проводили категорирование
- не направляли сведения в ФСТЭК
- не имеют обязательного пакета документов
- не назначили ответственных за информационную безопасность
При первой проверке это считается нарушением законодательства.
Что нужно сделать медицинским организациям в 2026 году
Рекомендуемый порядок действий:
1. Провести аудит IT-систем
2. Определить объекты КИИ
3. Создать комиссию
4. Оформить пакет документов
5. Провести категорирование
6. Подать сведения в ФСТЭК
7. Внедрить систему защиты информации
1. Провести аудит IT-систем
2. Определить объекты КИИ
3. Создать комиссию
4. Оформить пакет документов
5. Провести категорирование
6. Подать сведения в ФСТЭК
7. Внедрить систему защиты информации
Помощь медицинским организациям по КИИ
Компания «Лицензиат» сопровождает медицинские организации по требованиям КИИ:
Обратитесь за консультацией - поможем привести клинику в соответствие требованиям КИИ без рисков штрафов и остановки деятельности.
Позвоните нам прямо сейчас: +7 (843) 203-44-46 | +7 (937) 625-44-46 консультация бесплатная!
- определение объектов КИИ
- подготовка полного комплекта документов
- проведение категорирования
- взаимодействие с ФСТЭК России
- внедрение требований 187-ФЗ
- подготовка к проверкам Росздравнадзора и ФСТЭК
Обратитесь за консультацией - поможем привести клинику в соответствие требованиям КИИ без рисков штрафов и остановки деятельности.
Позвоните нам прямо сейчас: +7 (843) 203-44-46 | +7 (937) 625-44-46 консультация бесплатная!
