,
Lesezeit: 5 Min.
Mit fortschreitender Technologie entwickeln sich auch die Medizinprodukte weiter, die zur Lebenserhaltung eingesetzt werden. Während in Südkorea verschiedene Arten von kommunikationsfähigen Medizinprodukten entwickelt wurden, birgt diese Entwicklung auch das Risiko von Cyberbedrohungen wie dem Hacking von Medizinprodukten und Informationslecks. Diese Bedrohungen betreffen nicht nur Sachschäden, sondern auch das Leben von Patienten. Daher ist der Schutz der Cybersicherheit von Medizinprodukten ein zentrales Anliegen.
Um diesen Bedenken zu begegnen, hat die südkoreanische Regierung Richtlinien für die Cybersicherheitszulassung (Leitfaden-0995-03 2023.07.13) und die Überprüfung von Medizinprodukten erlassen. Die südkoreanischen Medizinprodukteregulierungen zielen darauf ab, das Sicherheitsmanagement von kommunikationsfähigen Medizinprodukten zu gewährleisten und betonen damit die Bedeutung der Cybersicherheit für Medizinprodukte.
Warum sind Cybersicherheitsrichtlinien erforderlich?
Medizinprodukte werden oft in den Körper von Patienten implantiert, um lebenserhaltende Funktionen zu erfüllen. Dies bedeutet, dass jede Cyberbedrohung schwerwiegende, sogar tödliche Folgen haben könnte. Die Richtlinien zur Cybersicherheit von Medizinprodukten sollen solche Bedrohungen verhindern, indem sie sicherstellen, dass die Geräte sicher sind und die von ihnen übertragenen Daten geschützt werden.
Wichtige Überlegungen zur Einführung neuer Richtlinien und Leitfäden
Bei der Einführung neuer Cybersicherheitsrichtlinien und -leitfäden ist es wichtig, den Anwendungsbereich des Medizinprodukts zu klären, das Gerät entsprechend seinen Eigenschaften einzusetzen und das Sicherheitsmanagement zu gewährleisten, wenn das Gerät kommunikationsfähig ist. Die Richtlinien, die auf eine internationale Harmonisierung abzielen, haben Überlegungen aus den vom International Medical Device Regulators Forum (IMDRF) festgelegten Grundsätzen und Richtlinien zur Cybersicherheit von Medizinprodukten (Principles and Practices for Medical Device Cybersecurity, IMDRF [2020]) übernommen und angewendet.
Grundprinzipien der Cybersicherheit von Medizinprodukten
Die Grundprinzipien der Cybersicherheit von Medizinprodukten umfassen eine Reihe von Richtlinien, die die wichtigsten Überlegungen zur Gewährleistung der Cybersicherheit von Medizinprodukten darlegen. Dazu gehören Verfügbarkeit, Vertraulichkeit und Integrität. Lassen Sie uns diese drei (03) Prinzipien kurz betrachten:
- Verfügbarkeit bedeutet, dass die Daten autorisierten Benutzern sofort zugänglich gemacht werden.
- Vertraulichkeit bedeutet, die Daten vor unbefugtem Zugriff zu schützen.
- Integrität bedeutet, sicherzustellen, dass die Daten korrekt und unverändert sind.
Diese Prinzipien sind zentral für das Cybersicherheitsmanagement von Medizinprodukten, da sie dazu beitragen, die Sicherheit der Geräte und der von ihnen übertragenen Daten zu gewährleisten.
Risikomanagementprozess für die Cybersicherheit von Medizinprodukten
Die Richtlinien legen fest, dass Hersteller in Südkorea geeignete Risikomanagementprozesse für die Cybersicherheit von Medizinprodukten durchführen müssen. Hier sind einige wichtige Aspekte des Risikomanagementprozesses:
- Der Prozess sollte die Identifizierung potenzieller Cyberbedrohungen, die Bewertung der mit diesen Bedrohungen verbundenen Risiken und die Entwicklung von Strategien zur Risikominderung umfassen.
- Hersteller sollten den Prozess im Risikomanagementbericht dokumentieren.
- Hersteller müssen ein systematisches Verfahren zur Überprüfung von Cybersicherheitsinformationen während der Produktions- und Nachproduktionsphasen einrichten und aufrechterhalten.
- Hersteller sollten Cybersicherheitsziele mit angemessenen Funktionen und Ebenen festlegen. Darüber hinaus müssen sie die Folgen der Risikobewertung und -behandlung berücksichtigen.
- Der Schwerpunkt liegt auf der kontinuierlichen Sammlung und Analyse von Informationen über die Absichten interner und externer Kunden während des gesamten Lebenszyklus von Medizinprodukten. Ferner ist es wichtig, dass diese Informationen im Risikomanagement für die Cybersicherheit von Medizinprodukten berücksichtigt werden.
Anwendung der Cybersicherheitsanforderungen für Medizinprodukte
Die Richtlinien enthalten eine Tabelle mit Beispielen für Überlegungen zur Anwendung der Cybersicherheitsanforderungen für Medizinprodukte im Hinblick auf die Qualitätssicherung von Medizinprodukten und die Einhaltung regulatorischer Vorschriften. Die Tabelle umfasst drei (03) Kategorien von Überlegungen – schwerwiegend, moderat und geringfügig –, die im Folgenden erläutert werden:
- Schwerwiegende Überlegung: Die schwerwiegende Überlegung ist die Möglichkeit schwerer Verletzungen von Patienten, oder sogar des Todes, einer dauerhaften Beeinträchtigung von Körperfunktionen und einer dauerhaften Schädigung der Körperstruktur aufgrund von Cybersicherheitsverletzungen bei Medizinprodukten.
- Moderate Überlegung: Die moderate Überlegung ist, dass Cybersicherheitsverletzungen bei Medizinprodukten zu geringfügigen oder vorübergehenden Verletzungen von Patienten führen können, die möglicherweise eine medizinische Intervention erfordern.
- Geringfügige Überlegung: Die geringfügige Überlegung ist, dass Cybersicherheitsverletzungen bei Medizinprodukten zu vorübergehenden Unannehmlichkeiten oder reversiblen, geringfügigen und kurzfristigen Unannehmlichkeiten für Patienten führen können, die keine medizinische Intervention erfordern.
Neben den oben genannten Kategorien enthält die Tabelle auch Überlegungen zu Kabelkommunikation, drahtloser Kommunikation und Cybersicherheitsrisiken, die durch Verletzungen entstehen.
Zwei (02) wichtige Checklisten für die Cybersicherheit von Medizinprodukten
Checkliste für Anforderungen an die Cybersicherheit von Medizinprodukten:
- Hersteller müssen dieses Checklistenformular verwenden, wenn sie ihre Medizinprodukte auf Cybersicherheitsanforderungen überprüfen.
- Sie sollten das Formular entsprechend den Eigenschaften ihrer jeweiligen Geräte ausfüllen.
- Das Formular dient als Grundlage, um zu bestätigen, dass Hersteller alle Cybersicherheitsanforderungen erfüllt haben.
- Die Checkliste umfasst das „Dokument zum Cybersicherheits-Risikomanagement“ und die „Daten zur Software-Verifizierung und -Validierung“.
Die untenstehende Tabelle (Tabelle 1) veranschaulicht die Checkliste zur Cybersicherheit von Medizinprodukten in Südkorea.
Tabelle 1: Checkliste zur Cybersicherheit von Medizinprodukten in Südkorea
| Anforderungen an die Cybersicherheit | Anwendbarkeit des entsprechenden Geräts | Verwendete Methode zum Nachweis der Kompatibilität | Dokumentennummer oder das entsprechende beigefügte Dokument | |
| Sichere Kommunikation | Hersteller sollten angeben, wie ihre Medizinprodukte über Internet, Bluetooth usw. verbunden werden können, sowie die Konstruktionsmerkmale und die Sicherheit der übertragenen Daten. | XXX | XXX | XXX |
| Gerätedatenschutz | Hersteller müssen entscheiden, ob ihre Geräte eine Verschlüsselung oder geschützte Nachrichtenübermittlung erfordern; sie müssen auch die Architektur auf Systemebene bewerten, um festzustellen, ob Konstruktionsmerkmale zur Gewährleistung der Nichtabstreitbarkeit von Daten erforderlich sind. | XXX | XXX | XXX |
| Geräteintegrität | Hersteller sollten Risiken für die Integrität von Geräten berücksichtigen, wie z. B. unbefugte Änderungen daran. Sie sollten sich vor Software, Viren, Spyware usw. in Acht nehmen. | XXX | XXX | XXX |
| Benutzerauthentifizierung | Einige Beispiele für den Benutzerzugriff sind Passwörter, Hardwareschlüssel, Raw-Chain-Authentifizierung, usw. | XXX | XXX | XXX |
| Software-Wartungsnummer | Hersteller sollten den Benutzern alle Details zu Updates, Zeitpläne und Anforderungen zur Verfügung stellen. | XXX | XXX | XXX |
Checkliste zur Erstellung und Überarbeitung von Leitlinien/Leitfäden:
- Hersteller müssen diese Checkliste bei der Erstellung oder Überarbeitung von Leitlinien oder Leitfäden verwenden.
- Sie müssen prüfen, ob der Inhalt von übergeordneten Gesetzen abweicht und ob er neue Vorschriften einführt/verschärft oder sensible zivilrechtliche Beschwerden einschränkt.
- Wenn die Antwort auf die Frage, ob neue Vorschriften eingeführt/verschärft werden, „Ja“ lautet, sollten sie den Inhalt löschen, der vom übergeordneten Gesetz abweicht, und mit dem Prozess der Erstellung und Überarbeitung der Leitlinien und Leitfäden fortfahren.
- Die Checkliste umfasst die Bezeichnung der Leitlinien oder Leitfäden und die Prüfung der Punkte, die Anwendungsaspekte betreffen.
Datenübermittlung für die Cybersicherheit von Medizinprodukten
Die Leitlinien legen spezifische Anforderungen für die Übermittlung von Daten zur Cybersicherheit von Medizinprodukten fest. Die übermittelten Daten müssen die folgenden Kriterien für die Zulassung von Medizinprodukten erfüllen:
- Die Daten müssen sich auf Medizinprodukte beziehen, die drahtlos kommunizieren können oder über einen Kommunikationsweg verfügen.
- Unter den Leistungsdaten müssen Hersteller die „Daten zur Software-Verifizierung und -Validierung“ sowie den „Konformitätsprüfbericht für Medizinproduktesoftware“ einreichen.
- Die übermittelten Informationen dürfen nicht gefälscht, fehlerhaft oder für Medizinprodukte unzulässig sein.
- Hersteller müssen Cybersicherheitsanforderungen als Gegenmaßnahme umsetzen, um unbefugten Zugriff auf Medizinprodukte zu verhindern.
- Hersteller müssen die Einhaltung der Cybersicherheitsanforderungen für Medizinprodukte durch Einreichung der „Checkliste für Cybersicherheitsanforderungen von Medizinprodukten“ und von Unterlagen, die die Anforderungen der Checkliste belegen, bestätigen.
- Hersteller können beantragen, einige der Anforderungen durch Risikoanalyse auszuschließen oder zu ändern; die relevanten Daten müssen zusammen mit dem „Cybersicherheits-Risikomanagement-Dokument“ gemäß Artikel 26 der Leitlinien eingereicht werden.
Insgesamt dienen die Richtlinien für die Cybersicherheitszulassung und -prüfung von Medizinprodukten als wertvolle Ressource für Hersteller, Anwender und Aufsichtsbehörden, da sie dazu beitragen, die Sicherheit und den Schutz von Medizinprodukten zu gewährleisten. Wenn Sie als Hersteller Ihre Medizinprodukte in Südkorea verkaufen möchten, müssen Sie sicherstellen, dass Ihre Produkte die in den Richtlinien festgelegten Cybersicherheitsanforderungen erfüllen. Unser Expertenteam kann Ihnen helfen, sich in den südkoreanischen Vorschriften für Medizinprodukte zurechtzufinden; sie stellen sicher, dass Ihre Produkte die Cybersicherheitsanforderungen erfüllen und dass Sie die erforderlichen Daten für die Zulassung und Prüfung einreichen. Kontaktieren Sie Freyr , um mehr darüber zu erfahren, wie wir Ihnen helfen können, die Cybersicherheit Ihrer Medizinprodukte in Südkorea zu gewährleisten. Bleiben Sie informiert! Bleiben Sie konform!
