На конференции Национальной медицинской палаты 24 июня начальник управления по надзору за исполнением федерального законодательства прокуратуры Калужской области Юрий Прытков предупредил медработников о расширении уголовной ответственности за нарушения в сфере информационной безопасности. Как сообщает medvestnik.ru, с 2026 года медицинские информационные системы (МИС) отнесены к объектам критической информационной инфраструктуры (КИИ), а значит правонарушения с их использованием квалифицируются как уголовные преступления.
Что изменилось
За нарушение правил эксплуатации средств хранения и обработки охраняемой компьютерной информации в КИИ, повлёкшее её уничтожение, модификацию или копирование, предусмотрено лишение свободы на срок до шести лет. При тяжких последствиях деяние переходит в категорию тяжких преступлений. Прытков подчеркнул, что отправной точкой для уголовного преследования становится уже непринятие мер по защите объектов КИИ.
Прокурор привёл показательное дело: медсестра поликлиники в Нижнем Новгороде под учётной записью врача вносила в ЕГИСЗ ложные сведения о вакцинации. Её и сообщника приговорили к лишению свободы и штрафам в 600 и 550 тыс. руб.; в мае 2026 года Верховный суд оставил кассационную жалобу без удовлетворения.
Где спотыкаются медорганизации
- передача паролей между сменами и хранение учётных данных в текстовых файлах на общем компьютере;
- внесение в модули ЕГИСЗ недостоверных сведений о диспансеризации и прививках;
- использование сторонних ИИ-помощников и зарубежных систем веб-аналитики, включая «Яндекс.Метрику» и Google Analytics, при сборе персональных данных;
- пересылка медицинских документов по электронной почте и мессенджерам — за такие эпизоды суды уже выписывали штрафы от 5 до 40 тыс. руб.
Что это значит для отрасли
Перевод МИС в контур КИИ меняет цену цифровой небрежности: то, что ещё недавно тянуло на дисциплинарное взыскание, теперь становится уголовным риском для конкретного сотрудника и финансовым — для клиники. Руководителям придётся пересобрать процессы вокруг идентификации пользователей, аудита действий в МИС и обработки персональных данных на российских серверах, а также назначить ответственного за ПД. Для разработчиков медицинского ПО это означает спрос на встроенные средства аутентификации, журналирования и защищённого обмена документами — функции, которые перестают быть опцией.