Cybersicherheit gemäß Medizinprodukteverordnung (MDR) 2017/745 und In-vitro-Diagnostika-Verordnung (IVDR) (EU) 2017/746
Allgemeiner Hintergrund
Cybersicherheit in Medizinprodukte-Software
Die Medizinprodukteverordnung der Europäischen Union (EU-MDR) enthält mehrere Überlegungen zur Cybersicherheit für Hersteller von Medizinprodukten. Diese Überlegungen zielen darauf ab, die Sicherheit und den Schutz der Patientendaten zu gewährleisten und vor Cyberbedrohungen zu schützen, die die Sicherheit und Leistung von Medizinprodukten beeinträchtigen könnten.
Dies sind einige der Überlegungen zur Cybersicherheit in der EU-MDR:
Die Hersteller müssen die Risiken im Zusammenhang mit Bedrohungen der Cybersicherheit, die die Sicherheit und Leistung ihrer Medizinprodukte beeinträchtigen könnten, bewerten und kontrollieren. Dazu gehört auch die Berücksichtigung potenzieller Bedrohungen für den Datenschutz sowie für die Verfügbarkeit und Integrität des Produkts selbst.
Die Hersteller müssen geeignete technische Maßnahmen in ihre Produkte integrieren, um zu gewährleisten, dass sie sicher und gegen Cyberbedrohungen geschützt sind. Diese Maßnahmen können Verschlüsselung, Zugangskontrollen und andere Sicherheitsmerkmale umfassen.
Die Hersteller müssen ein Managementsystem für die Informationssicherheit einrichten, dokumentieren, implementieren, pflegen und aktualisieren, das geeignete Cybersicherheitsrichtlinien und -verfahren umfasst.
Die Hersteller müssen über Verfahren verfügen, um Vorfälle im Zusammenhang mit Bedrohungen oder Verstößen gegen die Cybersicherheit zu melden. Dazu gehört auch die Meldung von Vorfällen an die zuständigen Behörden, z. B. an nationale Cybersicherheitsbehörden.
Die Hersteller müssen eine klinische Bewertung ihrer Produkte vornehmen und dabei die Risiken der Cybersicherheit und die möglichen Auswirkungen auf die Sicherheit und den Datenschutz der Patienten berücksichtigen.
Die Hersteller müssen ein System zur Überwachung nach dem Inverkehrbringen einrichten, das Verfahren zur Überwachung von Cybersicherheitsrisiken und -vorfällen umfasst.
Darüber hinaus wurde von der Koordinierungsgruppe Medizinprodukte (MDCG) der Europäischen Kommission der Leitfaden MDCG 2019-16 veröffentlicht, der Empfehlungen für die Cybersicherheit von Medizinprodukten enthält. Der Leitfaden soll Herstellern, benannten Stellen und anderen Beteiligten helfen, die Cybersicherheitsanforderungen der EU-MDR und EU-IVDR zu verstehen. In der MDCG 2019-16 sind die acht wichtigsten Prozesse aufgeführt, die für eine umfassende Verteidigungsstrategie während des gesamten Lebenszyklus des Produkts vorhanden sein sollten:
Sicherheitsmanagement
Abwehrstrategie
Von den Herstellern wird erwartet, dass sie Produktspezifikationen in Bezug auf die empfohlenen Cybersicherheitskontrollen für die vorgesehene Einsatzumgebung, Produkteigenschaften zum Schutz kritischer Funktionen, eine Beschreibung der Sicherungs- und Wiederherstellungsfunktion, Infrastrukturanforderungen, sichere Konfigurationen sowie eine Liste der Netzwerkanschlüsse und anderer Schnittstellen bereitstellen.
Die ganzheitliche Cybersicherheitsstrategie wird in der Risikomanagementakte dokumentiert.
Support & Training
Wenden Sie sich an AKRA TEAM, wenn Sie Unterstützung, praktische Umsetzung und personalisierte Schulungen von Experten mit Schlüsselkompetenzen in den unten aufgeführten Bereichen benötigen.
Kernpunkte
Die Hersteller sollten die folgenden Grundsätze berücksichtigen:
Unsere Dienstleistungen
Schulungen
AKRA TEAM bietet Schulungen zur Cybersicherheit an, um die Erwartungen der EU-MDR und EU-IVDR zu erfüllen. Dadurch wird sichergestellt, dass Ihr Personal über die entsprechende Ausbildung, das Wissen und die Qualifikationen verfügt, um das Cybersicherheitssystem für Ihr Produkt zu implementieren.
Entwicklung von Verfahrensanweisungen und Dokumentvorlagen
AKRA TEAM kann bei der Erstellung der erforderlichen Prozesse zur Einhaltung der Konformität unterstützen. Ebenso bei der Erstellung geeigneter Vorlagen, um die Einhaltung der Cybersicherheitsanforderungen zu gewährleisten.
Gap-Analysen
AKRA TEAM kann die Qualität, Vollständigkeit und Konformität der relevanten Dokumente bewerten und beurteilen. Die Dokumentation wird mit den Cybersicherheitsanforderungen verglichen, um die Konformität des Produkts/der Produkte sicherzustellen. Im Rahmen der Gap-Analyse werden zunächst potenzielle Risiken identifiziert (von gering bis hoch). Im folgenden Schritt schlägt AKRA TEAM Ihnen Maßnahmen zur Risikominderung und Optimierung der Dokumente vor. So können Sie Korrekturen vornehmen, bevor Sie die Dokumente zur Prüfung durch die benannte Stelle einreichen.
Umsetzung
AKRA TEAM hilft bei der Festlegung der idealen Strategie für die Umsetzung des Umfangs der Sicherheitskontrolle, der IT-Sicherheitsmaßnahmen und des Datenschutzes. AKRA TEAM kann darüber hinaus bei der Erstellung der erforderlichen Dokumentation helfen und bei der Konformitätsbewertung unterstützen.
Kontinuierliche Aktualisierung der Dokumentation
AKRA TEAM bietet zusätzlich Lösungen für die kontinuierliche Aktualisierung und Überprüfung der Cybersicherheits-Dokumentation an. AKRA TEAM plant und überarbeitet die Dokumentation in festgelegten Abständen, um sicherzustellen, dass die regulatorischen Anforderungen erfüllt werden.