Regulatorische Prinzipien für die Cybersicherheit von Medizinprodukten
3 Min. Lesezeit

Durch die Konvergenz von Technologien und die Vernetzung von Medizinprodukten mit verschiedenen Netzwerken besteht ein erhöhtes Risiko der Ausnutzung von Cybersicherheitslücken, was den Betrieb des Geräts beeinträchtigt. Daher ist es unerlässlich, ein effektives Cybersicherheitssystem für Medizinprodukte zu haben, um Cyberangriffe zu vermeiden und die sichere Funktion von Medizinprodukten zu gewährleisten. Allen Stakeholdern im Bereich Medizinprodukte wird empfohlen, ihre Cybersicherheitsansätze über den gesamten Lebenszyklus der Medizinprodukte hinweg zu harmonisieren, angefangen beim Produktdesign, Risikomanagementaktivitäten, der Kennzeichnung des Geräts, den Anforderungen für die regulatorische Einreichung bis hin zum Informationsaustausch und den Post-Market-Aktivitäten.

Es gibt einige allgemeine regulatorische Grundsätze für die Cybersicherheit von Medizinprodukten, die bei deren Entwicklung, Regulierung, Nutzung und Überwachung zu beachten sind. Es wird erwartet, dass diese Grundsätze bei konsequenter Befolgung und Umsetzung einen positiven Einfluss auf die Patientensicherheit haben. Lassen Sie uns diese hier analysieren.

Regulatorische Grundsätze für die Cybersicherheit von Medizinprodukten

Überlegungen vor der Markteinführung: Es gibt einige Elemente, die ein Hersteller während der Entwicklung und des Designs eines Medizinprodukts vor dessen Markteintritt berücksichtigen muss und die als Pre-Market-Elemente bezeichnet werden. Dazu gehören:

  • Gestaltung von Sicherheitsfunktionen für das Produkt
  • Die Anwendung anerkannter Risikomanagementstrategien
  • Sicherheitstests
  • Bereitstellung nützlicher Informationen für Benutzer, um das Gerät sicher zu bedienen
  • Ein umfassender Plan für Post-Market-Aktivitäten

Risikomanagement für den gesamten Produktlebenszyklus (TPLC): Während des gesamten Lebenszyklus eines Medizinprodukts müssen Hersteller die Anwendung solider Risikomanagementprinzipien berücksichtigen, die die Sicherheits- und Schutzaspekte abdecken. Im Risikomanagementprozess eines Medizinprodukts sollten folgende Punkte berücksichtigt werden:

  1. Ein Cybersicherheitsrisiko, das die Gerätesicherheit und die wesentliche Leistung beeinträchtigt, und
  2. die klinischen Abläufe negativ beeinflusst oder zu diagnostischen oder therapeutischen Fehlern führt  

Hersteller müssen die folgenden Schritte als Teil ihres Risikomanagementprozesses anwenden:

  • Jede Cybersicherheitslücke identifizieren
  • Die damit verbundenen Risiken schätzen und bewerten
  • Die Risiken auf ein akzeptables Niveau kontrollieren
  • Die Wirksamkeit der Risikokontrollen überwachen und bewerten
  • Risiken durch koordinierte Offenlegung an wichtige Stakeholder kommunizieren

Kennzeichnung: Im Hinblick auf Cybersicherheitsrisiken spielt die Kennzeichnung eine wichtige Rolle bei der Kommunikation relevanter Sicherheitsinformationen an die Endbenutzer. Sie umfasst die folgenden Elemente:

  • Geräteanweisungen und Produktspezifikationen im Zusammenhang mit empfohlenen Cybersicherheitskontrollen
  • geeignet für die vorgesehene Einsatzumgebung
  • Beschreibung der Sicherungs- und Wiederherstellungsfunktionen sowie der Verfahren zur Wiederherstellung von Konfigurationen
  • Eine Liste der Netzwerkanschlüsse und anderer Schnittstellen, die Daten empfangen und/oder senden sollen,
  • Beschreibung der Anschlussfunktionalität und ob die Anschlüsse für eingehende oder ausgehende Daten vorgesehen sind
  • Ausreichend detaillierte Systemübersichten für die Endnutzer

Dokumentation für behördliche Einreichungen: Hersteller von Medizinprodukten müssen die Cybersicherheitsaktivitäten klar dokumentieren und zusammenfassen. Um das Medizinprodukt vor der Markteinführung zu bewerten, kann die Regulierungsbehörde diese Art von Dokumentation anfordern, abhängig von der Risikoklasse des Geräts, oder sie in der Phase nach der Markteinführung des Produktlebenszyklus verlangen. Der Hersteller sollte eine klare Dokumentation einreichen, die die Konstruktionsmerkmale des Geräts, Risikomanagementaktivitäten, Tests, Kennzeichnung und den Nachweis eines Plans zur Überwachung und Reaktion auf neue Bedrohungen während des gesamten Produktlebenszyklus beschreibt.

Überlegungen nach dem Inverkehrbringen: Im Laufe der Zeit ändern sich die Schwachstellen, und die vor dem Inverkehrbringen konzipierten und implementierten Kontrollen können unzureichend sein, um ein akzeptables Risikoprofil aufrechtzuerhalten. Daher ist ein Ansatz nach dem Inverkehrbringen sehr wichtig und notwendig, bei dem mehrere Interessengruppen eine Schlüsselrolle spielen. Der Ansatz nach dem Inverkehrbringen umfasst verschiedene Elemente, darunter den Betrieb des Produkts in der vorgesehenen Umgebung, den Informationsaustausch, die koordinierte Offenlegung von Schwachstellen, die Verbesserung der Sicherheitsfunktionen, die Behebung von Schwachstellen, die Reaktion auf Vorfälle und ältere Produkte. Je nach Produktklasse muss ein Bericht zur Überwachung nach dem Inverkehrbringen (PMS) erstellt werden, der die Ergebnisse und Schlussfolgerungen aller Datenanalysen vom Markt zusammenfasst.

Angesichts der bekannten Prinzipien der Gerätesicherheit wird Herstellern empfohlen, einen definierten regulatorischen Rahmen für die Cybersicherheit von Medizinprodukten zu implementieren. Mit der Zunahme von Medizinprodukten, die mit dem Internet und anderen Netzwerken verbunden sind, besteht das Risiko, dass Hacker bösartige Aktivitäten ausüben könnten. Daher wird den Herstellern von Medizinprodukten geraten, wachsam zu bleiben und die besten regulatorischen Prinzipien für die Cybersicherheit zu befolgen. Haben Sie Lücken in der Cybersicherheit bei Ihren Medizinprodukten? Konsultieren Sie einen Geräteexperten. Bleiben Sie informiert. Bleiben Sie konform.

Abonnieren Sie den Freyr-Blog