,
2 Min. Lesezeit
Obwohl Digitalisierung und das Internet der Dinge (IoT) gemeinsam die Leistung von Medizinprodukten verbessert haben, haben sie die Geräte auch anfällig für Cyber-Schwachstellen gemacht. Die Anzahl der Malware und Spyware, die in die Geräte eindringen, nimmt zu. Hacker suchen nach Schwachstellen in Geräten und zugehöriger Software, die es ihnen ermöglichen, die Geräte zu manipulieren und Benutzerdaten durch Fehlfunktionen der Geräte zu kompromittieren. All diese Widrigkeiten behindern die Bemühungen von Organisationen, Benutzerdaten zu sichern und Schäden zu verhindern.
Um der Bedrohung durch Cybersicherheit bei Medizinprodukten zu begegnen, haben alle Mitgliedsgesundheitsbehörden des International Medical Device Regulators Forum (IMDRF) Entwürfe von Leitliniendokumenten mit regulatorischen Richtlinien für den Vormarktbereich veröffentlicht. Die Therapeutic Goods Administration (TGA) Australiens hat jedoch den Bedarf an Regulierung auch in der Post-Marketing-Phase von Geräten erkannt und einen Leitlinienentwurf veröffentlicht, der den gesamten Produktlebenszyklus (TPLC) abdeckt.
An wen richtet sich der Leitfaden?
Der von der TGA vorgeschlagene TPLC-Ansatz konzentriert sich auf die kontinuierliche Aktualisierung von Qualitätsmanagementsystemen, Risikomanagementverfahren und Änderungsmanagementverfahren. Da die Leitlinie Aspekte sowohl des Vormarkt- als auch des Nachmarkt-Szenarios abdeckt, richten sich ihre Vorschriften an mehrere Interessengruppen, die unten aufgeführt sind.
- Hersteller, die Software als Medizinprodukte (SaMD) entwickeln
- Hersteller von Geräten, die Softwarekomponenten enthalten, die anfällig für Cybersicherheit sind
- Sponsoren, die für die Geräteversorgung in Australien verantwortlich sind
- Medizinisches Fachpersonal, das Medizinprodukte zur Diagnose und Behandlung von Patienten einsetzt
- Klinische und biomedizinische Ingenieure, die für die Verwaltung von Gerätebeständen im Gesundheits- und medizinischen Umfeld verantwortlich sind
- Allgemeine und IT-Verwaltung, die für Systeme, Verfahren und Prozesse im Gesundheits- und medizinischen Dienstleistungsumfeld verantwortlich ist
- Verbraucher, die ein registriertes Medizinprodukt verwenden
- unter Anleitung ihrer Gesundheits- und Medizinfachkraft
- die keine medizinische Überwachung erfordert
Leitfaden für die Medizinprodukteindustrie:
Während die Leitlinie der Medizinprodukteindustrie hilft, auf Cybersicherheit vorbereitet zu sein, betont sie auch, dass die Geräte in das Australian Register of Therapeutic Goods (ARTG) aufgenommen werden müssen, um sie im Land vermarkten zu können. Die Aufnahme in das ARTG erfordert jedoch Überlegungen, die den gesamten Lebenszyklus eines Medizinprodukts abdecken und in die folgenden vier Phasen unterteilt sind:
- Vormarkt über Konformitätsbewertung
- Marktzulassung über Aufnahme in das ARTG
- Überwachung nach dem Inverkehrbringen
- Ende der Lebensdauer / Entzug der Unterstützung
Die Leitlinie besagt auch, dass die Hersteller allein dafür verantwortlich sind, das Cybersicherheitsrisiko des Geräts sowohl in Vormarkt- als auch in Nachmarkt-Kontexten zu bewerten und zu beheben. Dabei müssen sie in beiden Kontexten bestimmte Überlegungen berücksichtigen, darunter:
- Vormarkt-Überlegungen: Diese Überlegungen umfassen Risiken während des Designs und der Entwicklung von Medizinprodukten. Sie sind allgemeiner und technischer Natur.
- Allgemeine Überlegungen wie Entwicklungsansatz, Anwendung von Standards, Risikomanagementstrategien, Lieferkettenbewertung und Bereitstellung von Informationen für Benutzer
- Technische Überlegungen wie Cybersicherheits-Leistungstests, modulare Designarchitektur, Sicherheit der Betriebsplattform, neue Software sowie vertrauenswürdiger Zugang und Inhaltsbereitstellung
- Überlegungen zur Zeit nach der Markteinführung: Im Rahmen der Vorschriften für die Zeit nach der Markteinführung sind Hersteller und Sponsoren von Medizinprodukten verpflichtet, Cybersicherheitsrisiken kontinuierlich zu bewerten und entsprechende Maßnahmen zu ergreifen. Dazu gehört es, die Risiken und Bedrohungen zu erkennen und bei deren Auftreten angemessen zu reagieren.
Wichtige Punkte des Leitfadens:
Während andere IMDRF-Regulierungsbehörden Pre-Market-Cybersicherheitsprinzipien aufgelistet haben, ist die TGA einen Schritt weiter gegangen und hat 15 „wesentliche Prinzipien“ aufgeführt, einschließlich eines Fokus auf langfristige Sicherheit. Zusätzlich wurden acht weitere wesentliche Prinzipien in den Leitfaden aufgenommen, um der Malware-Prävention Rechnung zu tragen. Der Leitfaden beleuchtet das Cybersicherheits-Framework, das vom US National Institute of Standards and Technology entwickelt wurde. Er enthält auch gängige Beispiele für Schwachstellen, bekannte Standards, die zur Stärkung der Sicherheit beitragen, und Anweisungen für Endnutzer, klinische Studien und Gesundheitseinrichtungen, die die Geräte verwenden.
Der Entwurf des Leitfadens enthält umfassende Informationen zur Umsetzung des TLPC-Ansatzes für Medizinproduktehersteller. Die aktuelle Version des Leitfadens ist jedoch zur Kommentierung vorgesehen, und in zukünftigen Versionen werden Änderungen erwartet. Um konform und sicher zu bleiben, müssen Interessengruppen frühzeitig die erforderlichen Maßnahmen ergreifen, unterstützt durch einen Regulierungsexperten für Medizinprodukte. Bleiben Sie konform.
