2026 HIPAA 安全规则更新

快速解答：2026 年 HIPAA 安全规则更新引入了重大变化，包括静态和传输中的 ePHI 的强制加密（删除“可寻址”名称）、访问 ePHI 的所有系统所需的多重身份验证、72 小时事件报告要求、年度渗透测试以及增强的业务伙伴监督义务。 HHS 于 2025 年末提出的这些变更是自原始规则以来 HIPAA 安全要求的最实质性更新。医疗保健组织应该立即开始准备，评估其当前的加密状态、实施 MFA 并更新其事件响应计划。更新了 2026 年 HIPAA 安全规则最终规则 — 于 2025 年 1 月 6 日在《联邦公报》上发布，并于 2026 年 5 月在 90 天最终规则标记处发布。这不再是有关提案的解释。 2026 年 HIPAA 安全规则已定稿，OCR 已开始在解决协议中引用该规则，2026 年 1 月 OCR 网络安全通讯明确指出，风险分析是 OCR 调查中最常被引用的缺陷。接下来是规则文本与医疗保健 IT 团队周一早上实际执行的操作之间的操作层——什么是可验证的、什么是年度的以及什么是可审计的。最终规则资产库存中 90 天实际到达医疗保健 IT 的内容终于不再是一个笑话。监管机构现在要求提供涉及 ePHI 的每个系统的最新、准确的清单，而不是 2024 年的“笔记本电脑电子表格”标准。 2026 年 1 月 OCR 时事通讯将未修补的软件风险直接与完整的资产清单联系起来。现在假定远程访问上的 MFA。最终规则的实施规范是按要求阅读的，而不是可寻址的。文件或补偿控制是操作姿势。年度 BAA 验证是最被低估的工作流程。新的要求是验证 BAA——记录验证本身，而不仅仅是将 BAA 存档。请参阅我们的 HIPAA 业务伙伴协议模板，其中涵盖了 2026 年年度验证要求。 2026 年 HIPAA 安全规则更新：每个医疗保健组织必须准备的新要求 HIPAA 安全规则即将经历自最初采用以来最重要的更新。拟议的变更预计将于 2026 年 5 月最终确定，其中将引入许多医疗机构尚未准备好满足的强制性要求。这不是一个小的监管调整。更新后的规则将要求强制性年度安全风险评估、ePHI 的通用加密、跨所有系统的多因素身份验证、定期漏洞扫描以及更加详细的合规文档。对于那些一直将 HIPAA 安全视为定期复选框练习的组织来说，合规性差距很快就会变得非常现实。好消息：当最终规则生效时，现在开始准备的组织将处于有利地位。等到出版后的那些就会乱七八糟。这是您需要了解的内容。变化内容及其重要性当前的 HIPAA 安全规则于 2003 年通过，此后基本没有变化，是为不同的时代制定的。它早于云计算、远程医疗扩展、人工智能采用、勒索软件作为商业模式以及联网医疗设备的激增。拟议的更新反映了这样一个现实：2026 年的医疗保健网络安全与 2003 年的医疗保健网络安全几乎没有相似之处。民权办公室 (OCR) 多年来一直在发出这些变化的信号。最近的执法行动一直将安全风险分析失败、访问控​​制不足和加密不足视为主要违规行为。拟议的规则基本上将 OCR 通过处罚和和解执行的内容编入法典。以下是医疗保健组织需要准备的关键变化： 强制性年度安全风险评估 变化内容：当前规则要求组织进行安全风险分析，但没有指定频率。许多组织将这种模糊性解释为允许每隔几年进行一次 SRA，或者执行一次初步分析，然后进行最少的更新。拟议规则通过要求每年进行安全风险评估来消除这种模糊性。这在实践中意味着什么：每个涵盖的实体和业务伙伴都需要每 12 个月完成一次记录在案的全面安全风险分析。这不是对去年文档的粗略审查或复选框更新。这是根据您当前的环境对威胁、漏洞和防护措施进行彻底的重新评估。为什么这很重要：尚未进行年度 SRA 的组织需要立即将其纳入其合规日历中。对于许多较小的实践和业务伙伴来说，这意味着合规工作的显着增加。但它也代表了si