Обзор изменений в сфере информационной безопасности и персональных данных, которые затронут деятельность организаций оптовой и розничной торговли лекарственными средствами

15 июля 2025
Иван Тарасенко
Помощник юриста
Виктория Манджиева
Юрист
Алина Смакова
Юрист
Наталья Тотахеваге
Советник

Обзор изменений в сфере информационной безопасности и персональных данных (далее – «ПД»), которые затронут деятельность организаций оптовой и розничной торговли лекарственными средствами (далее – «ЛС»). Мы напоминаем, что с 1 сентября 2025 года согласия на обработку ПД должны быть отдельно от Политик на сайте.

1. Отраслевые особенности категорирования объектов критической информационной инфраструктуры (далее – «КИИ») в сфере здравоохранения

4 июля 2025 года на общественные обсуждения был вынесен проект постановления Правительства «Об утверждении отраслевых особенностей категорирования объектов критической информационной инфраструктуры в сфере здравоохранения» (далее – «Проект постановления»), который устанавливает специальные правила категорирования объектов КИИ в системе здравоохранения.

Субъекты КИИ

Согласно Проекту постановления особенности категорирования объектов КИИ будут распространяться на следующих субъектов:

  • государственные органы в сфере здравоохранения

  • государственные медицинские учреждения

  • Федеральный фонд обязательного медицинского страхования и его территориальные фонды

  • российские юридические лица, осуществляющие медицинскую и фармацевтическую деятельность

  • российские юридические лица, которые обеспечивают взаимодействие систем КИИ

При этом к числу медицинских организаций относятся организации, которые оказывают специализированную, в том числе высокотехнологичную медицинскую помощь, а также скорую, в том числе скорую специализированную.

К числу организаций оптовой и розничной торговли лекарственными средствами относятся компании, которые имеют выручку от 5 млрд руб. и численность сотрудников не менее 250 человек.

Категорирование объектов КИИ

Распределение объектов КИИ по категориям будет осуществляться постоянно действующей комиссией по категорированию внутри субъекта КИИ исходя из возможности возникновения компьютерных атак и компьютерных инцидентов

В целях категорирования объектов КИИ предлагается применять следующие показатели критериев значимости:

  • социальная,

  • политическая,

  • экономическая,

  • экологическая1

Оценка проводится по каждому из значений показателя критериев значимости, применимому к субъекту КИИ, а категория значимости присваивается объекту КИИ по наивысшему значению одного из показателей Перечня показателей критериев значимости.

Также установлен алгоритм оценки масштаба последствий компьютерных атак на объекты КИИ в сфере здравоохранения. При таких инцидентах Проект постановления предлагает рассматривать наихудшие сценарии, в результате которых может наступить нарушение или прекращение работы объекта КИИ. Кроме того, предлагается определять зависимость объектов КИИ друг от друга, а также выявлять статистические данные о компьютерных инцидентах, произошедших ранее на объектах КИИ такого же типа.

Общественное обсуждение проекта постановления продлится до 18 июля 2025 года.

2. Типовые отраслевые объекты КИИ в сфере здравоохранения

Отношения в сфере КИИ на данный момент регулируется федеральным законом от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – «ФЗ о КИИ»), а также Правилами категорирования и Перечнем показателей критериев значимости.

В июне 2025 года ФСТЭК опубликовала проект Постановления Правительства Российской Федерации «Об утверждении Перечней типовых отраслевых объектов критической информационной инфраструктуры» (далее – «проект перечня типовых отраслевых объектов КИИ»). В указанном документе к типовым объектам КИИ в сфере здравоохранения предлагается отнести:

  • медицинскую информационную систему медицинских организаций

  • системы фармацевтических организаций

  • Единая государственная информационная система в сфере здравоохранения (ЕГИСЗ)

  • иные специальные системы

Таким образом, в случае принятия Проекта перечня типовых отраслевых объектов КИИ, утвержденный документ с 1 сентября 2025 года станет обязательным для учета субъектами КИИ при категорировании принадлежащих им объектов.

3. Отдельное согласие на получение ПД субъекта

Напоминаем об изменениях в Федеральный закон от 27 июля 2006 № 152-ФЗ «О персональных данных», вступающих в силу с 1 сентября 2025.

24 июня 2025 года был опубликован Федеральный закон № 156-ФЗ «О создании многофункционального сервиса обмена информацией и о внесении изменений в отдельные законодательные акты Российской Федерации» (далее – «Закон от 24 июня 2025 года № 156-ФЗ». Нововведением согласно Закону от 24 июня 2025 года № 156-ФЗ является требование к получению отдельно оформленного согласия на обработку ПД.

Таким образом устанавливается запрет на включение согласия на обработку персональных данных в текст договора, соглашения либо другой документ. Кроме того, нельзя будет включать согласие в состав пользовательских соглашений в информационно-телекоммуникационной сети «Интернет». Ответственность за несоблюдение требований будет устанавливаться по ч.2 ст.13.11 Кодекса Российской Федерации об административных правонарушениях и составит:

  • от 100 000 руб. до 300 000 руб. – для должностных лиц организаций

  • от 300 000 руб. до 700 000 руб. – для организаций


1Показатели критериев значимости и их значения перечислены в Постановлении Правительства РФ от 8 февраля 2018 г. № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» (далее – «Правила категорирования и Перечень показателей критериев значимости» / «Перечень показателей критериев значимости»).