1078410784Медицинские организации обязаны сообщать о компьютерных атаках в ФСБ как владельцы объектов критической информационной инфраструктуры и операторы персональных данных. Соответствующее требование закреплено частью 12 статьи 19 Федерального закона № 152-ФЗ «О персональных данных» и предусматривает взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
Порядок взаимодействия установлен приказом ФСБ от 13.02.2023 № 77. Передача информации осуществляется через Национальный координационный центр по компьютерным инцидентам (НКЦКИ).
Субъекты КИИ, к которым могут относиться и медицинские организации в соответствии с Федеральным законом № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ», взаимодействуют с НКЦКИ напрямую и обязаны направлять сведения об инциденте в течение 24 часов с момента его выявления.
Остальные операторы персональных данных уведомляют Роскомнадзор в порядке, установленном приказом ведомства от 14.11.2022 № 187, преимущественно в электронном виде. Роскомнадзор передает полученные сведения в НКЦКИ. Срок уведомления также составляет 24 часа.
В профессиональной среде распространяется письмо Национального координационного центра по компьютерным инцидентам (НКЦКИ) ФСБ России от 20 января 2026 г. N P-168 «О рассмотрении обращения». Уточняется, что документ содержит разъяснения требований к защите информации, действующих для органов власти, государственных унитарных предприятий и государственных учреждений, и не устанавливает новых обязанностей для частных клиник.
