《2026年医疗保健网络安全与韧性法案》责令卫生与公众服务部(HHS)与网络安全和基础设施安全局(CISA)协调合作,保护医院、诊所及其他医疗保健提供者免受网络攻击,其中包括在一年内制定一项联合计划,用于应对影响整个行业的重大事件。该法案要求HHS更新HIPAA安全规则,使医疗保健提供者、保险公司及其供应商(即「受管辖实体和业务合作伙伴」)采用多因素身份验证、受保护健康信息加密、渗透测试等最低限度的安全防护措施,这些规则将在法案颁布36个月后生效。HHS将指定一名代表领导其网络安全协调工作(HIPAA执法事务除外),并每年向国会提交一份关于医疗保健行业网络威胁与防护态势的报告。该法案允许HHS向安全网医疗机构——包括联邦资质医疗中心、农村医疗诊所、印第安人卫生服务机构和非营利医院——发放最长三年的补助金,用于招聘网络安全人员、更换老旧系统并迁移至安全的云平台,并为2026至2030财年授权「所需数额」的拨款。该法案还要求在健康数据泄露报告中加入受影响人数,指示HHS在设定罚款或处理审计事项时考虑医疗机构已获认可的安全实践,并成立一个联邦-州工作组以减少重复的网络事件报告。其他条款还要求为农村地区提供配备技术援助的网络安全指导、由政府问责局(GAO)开展农村地区准备情况研究,以及制定一项壮大医疗保健网络安全人才队伍的战略计划。
透明度与问责制
- 报告要求——HHS须每年向国会提交医疗保健行业网络威胁报告
- 事件响应规划——须在一年内制定HHS与CISA联合计划
- 泄露报告披露——健康数据泄露报告须新增受影响人数
- 重复事件报告——成立联邦-州工作组以减少重复报告
- 监督研究——须由GAO开展农村医疗机构网络安全准备情况审查
企业利益
- HIPAA罚款风险——采用已获认可安全实践的机构风险降低
对普通家庭的影响
- 医疗机构网络安全补助金——面向安全网及农村医疗机构授权发放,2026至2030财年
国会摘要
《2026年医疗保健网络安全与韧性法案》扩大了联邦在预防和应对医疗保健及公共卫生领域网络安全事件方面的要求和资源。该法案责令卫生与公众服务部(HHS)要求私营医疗相关机构采用最低限度的网络安全措施(例如多因素身份验证),更明确地界定用于减轻健康信息隐私与安全违规处罚的标准,每两年扩充并更新一份详细说明HHS人员网络安全协议的既定计划,为扩大医疗保健网络安全人才队伍提供培训和最佳实践指导,为农村地区机构提供网络安全准备情况的指导,并指定一名代表负责领导HHS内部网络安全活动的监督与协调工作。此外,HHS与网络安全和基础设施安全局(CISA)必须协调合作以改善医疗保健网络安全,包括(1)为从HHS或CISA项目获取信息的机构提供资源,以及(2)制定一项联合网络安全能力计划,以协调应对重大事件。另外,该法案要求医疗保健提供者和保险计划在就健康信息未经授权访问(即数据泄露)通知个人时,须一并说明受影响人数。
立法主题
详细信息
- 国会届次
- 119th
- 议院
- 参议院
- 状态
- 已总结
- 行动
- 报告至参议院
- 行动日期
- 2026-03-23
- 添加日期
- 2026-07-08
喜欢这种一看就懂的法案解读吗?
我们正在开发一款 App,为国会的每项法案都提供这种简明解读,也让您可以直接向民选代表表达投票意向。我们是一支小团队,正准备上线,希望让投资人看到真实的用户需求。希望您能成为其中一员。帮我们一起把它做出来。留下您的电子邮箱,App 上线的第一时间,我们就通知您。