Neue Standards in der Cybersicherheit medizinischer Geräte
Die Erhöhung der Cybersicherheitsstandards für medizinische Geräte erfordert die Einhaltung neuer globaler Vorschriften durch die Hersteller.
Die sich entwickelnde Landschaft der Cybersicherheitsvorschriften für Medizingeräte
Das Management der Cybersicherheit seiner Produkte durch ein Medizingeräteunternehmen stellt seit vielen Jahren eine große Erwartung seitens der Regulierungsbehörden dar.
Um dabei zu helfen, veröffentlichte FDA im Jahr 2005 im US seine ersten Leitlinien zur Cybersicherheit medizinischer Geräte: Cybersicherheit für vernetzte medizinische Geräte, die Standardsoftware (OTS) enthalten.
Darauf folgte im Jahr 2014 eine Anleitung zu Inhalt der Premarket-Einreichungen für das Management der Cybersicherheit in medizinischen Geräten sowie eine Anleitung zu Postmarket-Management der Cybersicherheit in medizinischen Geräten. Obwohl die Empfehlungen aus diesen Dokumenten nützlich sind, wurden sie als unzureichend und nicht sehr streng beurteilt.
Seit der Verabschiedung des 2023 US Government Consolidated Appropriations Act und der 2023 aktualisierten Leitlinien von FDA zu Cybersicherheit bei Medizinprodukten: Überlegungen zum Qualitätssystem und Inhalt von Einreichungen vor dem Inverkehrbringen wurde die Messlatte für Cybersicherheit höher gelegt. Die vorbörslichen Leitlinien von 2023 ersetzen die vorbörslichen Leitlinien von 2014, die 2018 und 2022 in Form von Entwürfen aktualisiert wurden.
Im Laufe der Jahre durchliefen die vorbörslichen Leitlinien von FDA eine bedeutende Entwicklung von dem etwas begrenzten 9-seitigen Dokument für 2014 zu den jetzt umfassenden 57-seitigen Leitlinien für 2023.
Mit dem Consolidated Appropriations Act von 2023 wurde der in der Vergangenheit weniger formelle „Empfehlungs“-Ansatz in den Leitlinien von FDA zur Cybersicherheit medizinischer Geräte durch die Verabschiedung des Gesetzes auf gesetzliche Anforderungen oder Gesetze umgestellt.
Beispielsweise schreibt Abschnitt 3305 des Consolidated Appropriations Act gesetzlich vor, dass der Sponsor (z. B. ein Unternehmen für medizinische Geräte) eines Antrags oder einer Einreichung (z. B. einer 510(k)-Premarket-Einreichung) Folgendes tun muss:
- Legen Sie einen Plan zur Überwachung, Identifizierung und Behebung von Schwachstellen und Exploits im Bereich der Cybersicherheit nach dem Inverkehrbringen vor, einschließlich einer koordinierten Offenlegung von Schwachstellen und damit verbundenen Verfahren.
- Entwerfen, entwickeln und warten Sie Prozesse und Verfahren, um eine angemessene Sicherheit dafür zu bieten, dass das Gerät und die zugehörigen Systeme cybersicher sind, und stellen Sie nach der Markteinführung Updates und Patches für das Gerät und die zugehörigen Systeme zur Verfügung, um Folgendes zu beheben:
- In einem einigermaßen gerechtfertigten regelmäßigen Zyklus bekannte inakzeptable Schwachstellen
- Und so schnell wie möglich außerhalb des Zyklus, kritische Schwachstellen, die zu unkontrollierten Risiken führen könnten
- Stellen Sie dem Sekretär eine Software-Stückliste zur Verfügung, einschließlich kommerzieller, Open-Source- und Standard-Softwarekomponenten. und
- Erfüllen Sie andere Anforderungen, die der Minister möglicherweise per Verordnung vorschreibt, um hinreichende Gewähr dafür zu bieten, dass das Gerät und die zugehörigen Systeme cybersicher sind.
Globaler Wandel hin zur Stärkung der Cybersicherheit medizinischer Geräte
Besonders hervorzuheben sind im Consolidated Appropriations Act die Anforderungen an den Post-Market-Cybersicherheitsplan und die Software-Stückliste, die in der Vergangenheit in US-Regulierungsanträgen nicht hervorgehoben wurden. Diese erfordern bereits in den frühesten Phasen der Entwicklung eines Medizinprodukts große Anstrengungen. Darüber hinaus müssen die Einreichungen vor der Markteinführung ab 2023 nun auch Ergebnisse von Penetrationstests und Bedrohungsmodellierungsübungen umfassen, was ebenfalls mit erheblichem Aufwand und Kosten verbunden ist.
Höhere Erwartungen an die Cybersicherheit beschränken sich nicht nur auf das US. Die Richtlinie 2022/2555 des EU zur Sicherheit von Netzwerk- und Informationssystemen („NIS2“) schreibt jetzt Maßnahmen zum Cybersicherheitsrisikomanagement und Berichtspflichten für Hersteller von Medizinprodukten vor, einschließlich Chemikalien (APIs), Pharmazeutika und Medizinprodukten.
Ähnlich wie im US fordert Australiens Cyber-Sicherheitsleitfaden 2022 für medizinische Geräte für die Industrie der Therapeutic Goods Administration einen Ansatz des gesamten Produktlebenszyklus (TPLC) für das Management der Cybersicherheit. Außerdem werden Penetrationstests und Bedrohungsmodellierung als Teil des Risikomanagement-/Bewertungsprozesses eines Geräts gefordert.
Und Singapur gab im Jahr 2022 bekannt, dass es den Einsatz eines Kennzeichnungssystems für Cybersicherheit für medizinische Geräte – CLS-MD plant. Das Kennzeichnungssystem befindet sich derzeit in einer „Sandbox“- oder Testphase. Das System basiert auf der Bewertung medizinischer Geräte anhand von vier Ebenen von Cybersicherheitsbestimmungen und -bewertungen.
Das Cybersicherheitslabel für Medizingeräte würde einen Hinweis auf das Sicherheitsniveau von Medizingeräten geben. Obwohl dieses neue System derzeit freiwillig ist, zeigt es, dass die Regierung Singapurs ernsthafte Bedenken hinsichtlich der Cybersicherheit medizinischer Geräte hat.
Zusätzlich zu den oben genannten Beispielen gibt es auf der ganzen Welt ein erhöhtes Bewusstsein für die Notwendigkeit, medizinische Geräte „cybersicher“ zu halten, einschließlich globaler Initiativen des Internationalen Forums der Regulierungsbehörden für Medizinprodukte, das hervorragende technische Dokumente erstellt, darunter Grundsätze und Praktiken für die Cybersicherheit medizinischer Geräte, Grundsätze und Praktiken für die Cybersicherheit älterer medizinischer Geräte und Grundsätze und Praktiken für Software-Stücklisten für die Cybersicherheit medizinischer Geräte.
Wenn Sie ein medizinisches Gerät mit Software entwickeln oder bereits besitzen, insbesondere wenn das Gerät elektronisch mit anderen Geräten oder einem Netzwerk verbunden werden kann, müssen Sie die Cybersicherheit ernst nehmen und die Cybersicherheitsanforderungen und -erwartungen in der Region, in der Sie verkaufen oder verkaufen werden, vollständig verstehen. Wenn Sie Unterstützung bei der Bewältigung Ihrer globalen Cybersicherheits-Compliance benötigen, wenden Sie sich bitte an Pure Global.
Sprechen wir,
wo immer Sie sind.
Ob Sie weitere Informationen suchen oder bereit zur Zusammenarbeit sind: Wir begleiten Sie durch jeden Schritt des regulatorischen Prozesses.
Kontakt

