,
2 Min. Lesezeit
Mit den technologischen Fortschritten nimmt die Nutzung von Netzwerkverbindungstechnologien für Medizinprodukte zu. Die vernetzten Medizinprodukte speichern und übertragen Patientendaten und erfordern sowohl Datenschutz als auch Genauigkeit. Daher wird die Cybersicherheit von Medizinprodukten weiterhin im Fokus von Regulierungsbehörden und Herstellern stehen.
Bei der Entwicklung eines Geräts müssen die Hersteller darauf achten, dass es gegen jede Art von Cyberbedrohungen abgesichert ist und Ereignisse, die zu Beeinträchtigungen der Datenintegrität und des Datenschutzes der Patienten führen könnten, gemindert werden. Daher haben die globalen Regulierungsbehörden mehrere Standards und Anforderungen entwickelt, um die Hersteller bei der Entwicklung sicherer und effizienter Medizinprodukte zu unterstützen. In diesem Blog wollen wir einige der besten Praktiken für die Cybersicherheit von Medizinprodukten beleuchten, die in den Standards IEC 62304 und ISO 14971 zu finden sind.
IEC 62304 Standard für den gesamten Lebenszyklus von Medizinproduktesoftware
Die IEC 62304, bekannt als Standard für funktionale Sicherheit, deckt den Entwurf und die Wartung von Software für Medizinprodukte über den gesamten Produktlebenszyklus ab. Sie gilt sowohl für SaMD (Software as a Medical Device) als auch für Medizinprodukte mit eingebetteter Software als Teil ihrer Funktionalität. Eine der besten Praktiken dieses Standards ist die Implementierung von Sicherheitsmaßnahmen zu Beginn der Entwicklung. Die sicherheitsrelevanten Prozesse werden anhand der Klassifizierungsrichtlinien für Softwaresicherheit des Standards festgelegt und beeinflussen die gesamten Anforderungen des Softwarezyklus. Die drei (03) Sicherheitsklassen für softwarebezogene Medizinprodukte sind:
- Klasse A: Keine Verletzung oder Gesundheitsschädigung möglich.
- Klasse B: Eine Verletzung ist möglich, aber nicht schwerwiegend.
- Klasse C: Tod oder schwere Verletzungen sind wahrscheinlich.
Die IEC 62304 besteht aus neun (09) Teilen, die die verschiedenen Aspekte eines Medizinprodukts darlegen, wie nachfolgend beschrieben:
- Teil 1: Anwendungsbereich
- Teil 2: Normative Verweise
- Teil 3: Begriffe und Definitionen
- Teil 4: Allgemeine Anforderungen
- Teil 5: Softwareentwicklungsprozess
- Teil 6: Software-Wartungsprozess
- Teil 7: Prozess für das Software-Risikomanagement
- Teil 8: Prozess für das Software-Konfigurationsmanagement
- Teil 9: Prozess zur Behebung von Softwareproblemen
ISO 14971 Norm für das Risikomanagement von Medizinprodukten
Dieser internationale Standard konzentriert sich hauptsächlich auf das Risikomanagement von Medizinprodukten. Er gilt für die Patientensicherheit und gewährleistet einen sicheren Kontakt zwischen dem Gerät und dem Patienten oder Endnutzer. Die sicherheitsrelevanten Verfahren in den verschiedenen Phasen des Produktlebenszyklus müssen durch die Dokumentation nachgewiesen und entsprechend umgesetzt werden. Die wesentlichen Bestandteile der Risikomanagement-Leitlinien sind Risikoanalyse und Risikominderung. Es sollte antizipiert werden, wie die verbundenen Geräte versagen könnten und welche Folgen diese Ausfälle haben könnten. Dies hilft, die notwendigen Sicherheitsvorkehrungen einzubauen, um das Potenzial für eine Gefahr zu mindern. Die AAMI (Association for the Advancement of Medical Instrumentation) veröffentlichte einen technischen Bericht namens TIR57:2016, der sich auf ISO 14971 bezieht und die Prinzipien der Sicherheit von Medizinprodukten darlegt. Dieser Bericht stellt die Verbindung zwischen Sicherheitsrisiken (einschließlich Daten- und Systemsicherheitsverletzungen sowie Wirksamkeitsminderung) und sicherheitsrelevanten Risikomanagementpraktiken, die in ISO 14971 zu finden sind, her.
TIR57:2016 bietet Anleitungen zur Durchführung von Cybersicherheits-Risikobewertungen von Medizinprodukten und zum Management von Risiken, die von Sicherheitsbedrohungen ausgehen und die Vertraulichkeit, Integrität und Verfügbarkeit des Geräts oder der vom Gerät verarbeiteten Informationen beeinträchtigen. Des Weiteren bietet der Standard IEC 80002-1:2009 für Medizinproduktesoftware Anleitungen zur Anwendung von ISO 14971 auf Medizinproduktesoftware und konzentriert sich auf die Risikoanalyse, das Risikomanagement, die Risikobewertung und die Risikokontrollen, wie sie für Medizinproduktesoftware relevant sind.
Da die Anzahl der vernetzten Medizinprodukte stetig zunimmt, müssen Hersteller die vorgeschlagenen regulatorischen Standards einhalten, um Cybersicherheitsrisiken zu vermeiden oder zu mindern. Um die besten Lösungen für das gesamte Lebenszyklusmanagement Ihrer vernetzten Medizinprodukte zu erhalten, konsultieren Sie Freyr – einen ausgewiesenen Regulierungsexperten in diesem Bereich. Bleiben Sie informiert. Bleiben Sie konform.
