Новости и статьи

Что такое КИИ для медицинских организаций в 2026 году

2026-04-08 09:41 Медицинская лицензия
В 2026 году практически каждая медицинская организация в России столкнулась с новым обязательным требованием - выполнением законодательства о критической информационной инфраструктуре (КИИ).

После утверждения перечня объектов КИИ распоряжением Правительства РФ №360-р от 26.02.2026 требования информационной безопасности напрямую коснулись:

  • частных медицинских клиник
  • стоматологий
  • лабораторий
  • диагностических центров
  • медицинских ИП
  • фармацевтических организаций

Разберём простым языком - что такое КИИ, почему теперь это касается всех клиник и что необходимо сделать уже сейчас, чтобы избежать штрафов и блокировки деятельности.

Что такое КИИ

Критическая информационная инфраструктура (КИИ) - это информационные системы, нарушение работы которых может повлиять на безопасность государства, граждан или функционирование социально значимых отраслей.

Основной нормативный акт:

Федеральный закон №187-ФЗ от 26.07.2017

«О безопасности критической информационной инфраструктуры Российской Федерации».

Сфера здравоохранения официально относится к критически важным отраслям.

Это означает:
любая медицинская организация автоматически становится субъектом КИИ, если использует информационные системы для оказания медицинской помощи.

Почему медицинские организации стали субъектами КИИ

Ключевая причина - цифровизация медицины.

Сегодня каждая клиника обязана работать через государственные цифровые системы:

  • ЕГИСЗ
  • ФРМО
  • ФРМР
  • РЭМД
  • медицинские информационные системы (МИС)

Передача данных пациентов, электронных медицинских документов и сведений о персонале делает IT-инфраструктуру клиники частью государственной цифровой системы здравоохранения.

Следовательно: информационные системы клиники = объекты КИИ.

Читайте также: Получение медицинской лицензии в Казани под ключ

Какие системы клиники относятся к объектам КИИ

Под требования законодательства попадают:

  • медицинские информационные системы (МИС)
  • лабораторные информационные системы
  • системы лучевой диагностики
  • системы управления медицинским оборудованием
  • телемедицинские сервисы
  • информационные системы фармацевтических организаций
  • системы, взаимодействующие с ЕГИСЗ
  • региональные системы ОМС
  • серверы, сети и центры обработки данных
  • системы мониторинга пациентов
  • хирургические и диагностические IT-комплексы

Фактически - вся цифровая инфраструктура клиники.

Основные требования закона о КИИ

Для субъектов КИИ установлены обязательные меры безопасности:

  1. Уведомление государства о компьютерных инцидентах.
  2. Планирование мероприятий по защите информации.
  3. Анализ угроз и оценка рисков.
  4. Постоянный мониторинг безопасности.
  5. Реагирование на киберинциденты.
  6. Использование сертифицированных средств защиты информации.

Подробный алгоритм действий медицинской организации

Ниже - базовый порядок, который требуется выполнить субъекту КИИ.

Шаг 1. Назначить ответственного за безопасность

Руководитель должен:
  • назначить сотрудника по информационной безопасности
  • или
  • создать подразделение ИБ.

Шаг 2. Создать комиссию по категорированию

Издается приказ о создании комиссии КИИ.

Комиссия определяет значимость информационных систем организации.

Шаг 3. Определить перечень объектов КИИ

Необходимо:
  • провести инвентаризацию всех IT-систем
  • сформировать перечень объектов
  • утвердить его руководителем

Шаг 4. Направить перечень в ФСТЭК России

Срок - 10 рабочих дней после утверждения списка.

Передача выполняется в электронном и бумажном виде.


Шаг 5. Провести категорирование объектов КИИ

Организация обязана:
  • выявить угрозы безопасности;
  • оценить возможные последствия инцидентов;
  • определить категорию значимости объекта;
  • оформить акт категорирования.

Срок выполнения - до 1 года.


Шаг 6. Передать результаты категорирования в ФСТЭК

После утверждения акта необходимо направить сведения по форме ФСТЭК.
Шаг 7. Обеспечить защиту объектов КИИ

Включает:
  • внедрение средств защиты
  • разработку регламентов
  • обучение сотрудников
  • систему реагирования на инциденты


Читайте также: Получение медицинской лицензии в Казани под ключ

Какие документы должны быть в клинике

Практика показывает: главный риск - отсутствие документации.

Минимальный пакет включает:
  • перечень объектов КИИ
  • приказ о комиссии
  • акт категорирования
  • модель угроз безопасности
  • план защиты информации
  • регламент реагирования на инциденты
  • правила резервного копирования
  • инструкции сотрудников
  • приказы о назначении ответственных
  • журналы учета инцидентов
  • документы эксплуатации средств защиты
  • план восстановления работы систем

Всего - более 40 обязательных документов, которые проверяются контролирующими органами.

Ответственность за нарушение требований КИИ

Несоблюдение закона №187-ФЗ может привести к серьёзным последствиям:
Административная ответственность
  • штрафы для юридических лиц до 500 000 ₽.
Уголовная ответственность
  • при тяжких последствиях - до 10 лет лишения свободы (ст. 274.1 УК РФ).

Кроме штрафов возможны:
  • предписания ФСТЭК
  • внеплановые проверки
  • приостановка деятельности

Почему большинство клиник уже находятся в зоне риска

На практике медицинские организации:
  • не знают, что стали субъектами КИИ
  • не проводили категорирование
  • не направляли сведения в ФСТЭК
  • не имеют обязательного пакета документов
  • не назначили ответственных за информационную безопасность

При первой проверке это считается нарушением законодательства.

Что нужно сделать медицинским организациям в 2026 году

Рекомендуемый порядок действий:
1. Провести аудит IT-систем
2. Определить объекты КИИ
3. Создать комиссию
4. Оформить пакет документов
5. Провести категорирование
6. Подать сведения в ФСТЭК
7. Внедрить систему защиты информации

Помощь медицинским организациям по КИИ

Компания «Лицензиат» сопровождает медицинские организации по требованиям КИИ:

  • определение объектов КИИ
  • подготовка полного комплекта документов
  • проведение категорирования
  • взаимодействие с ФСТЭК России
  • внедрение требований 187-ФЗ
  • подготовка к проверкам Росздравнадзора и ФСТЭК

Обратитесь за консультацией - поможем привести клинику в соответствие требованиям КИИ без рисков штрафов и остановки деятельности.

Позвоните нам прямо сейчас: +7 (843) 203-44-46 | +7 (937) 625-44-46 консультация бесплатная!