Sicherheit von Medizinprodukten
IT-Sicherheit genauso wichtig wie Produktsicherheit
Fortsetzung des Artikels von Teil 1
Die Neuerungen im Detail
Folgende Neuerungen wurden durch die MDR im Detail erlassen:
- Der Anwendungsbereich wurde vergrößert. Die MDR umfasst nun ausdrücklich alle Produkte zur Reinigung, Sterilisation oder Desinfektion anderer Medizinprodukte, wiederaufbereitete Einmal-Medizinprodukte und bestimmte Produkte ohne medizinischen Zweck.
- Sie fordert einen Sicherheitsansatz, der sich am gesamten Produktlebenszyklus orientiert und durch klinische Daten untermauert wird.
- Die MDR stellt außerdem höhere Anforderungen an Benannte Stellen und führt eine Konsultation durch ein unabhängiges Expertengremium bei der klinischen Bewertung bestimmter Hochrisiko-Produkte ein.
- Darüber hinaus wird ein System zur Identifizierung und Rückverfolgung von Produkten (UDI – Unique Device Identifier) eingeführt.
- Die MDR fordert außerdem die Eingabe umfangreicher Daten in die Eudamed-Datenbank und sie stellt Anforderungen an den Vertrieb von Medizinprodukten über das Internet bzw. an deren Fernabsatz.
Die Anforderungen der Medical Devices Regulations an die Cybersicherheit sind im Anhang I der MDR, sowie in der „Guidance on Cybersecurity for medical devices“ formuliert. Während sie in den USA von der FDA herausgegeben und aktualisiert werden, besteht die Schwierigkeit in der EU darin, sie in nationale Gesetze umzusetzen. Die Anforderungen sind, wie üblich, nicht konkret. Unter anderem ist es die Aufgabe der für die Prüfung der Produkte zuständigen Benannten Stellen - i. d. R. privatwirtschaftliche Unternehmen wie TÜV oder Dekra - diese zu konkretisieren. Zudem besteht ein Nationaler Arbeitskreis (NAKI), der sich mit der Implementierung der EU-Verordnungen über Medizinprodukte (MDR) und In-vitro-Diagnostika (IVDR) beschäftigt und Konkretisierungen erarbeitet. Anders als bei der Zulassung von Arzneimitteln ist das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) nicht in das Inverkehrbringen von Medizinprodukten involviert. Es ist aber für die zentrale Erfassung, Auswertung und Bewertung der bei Anwendung oder Verwendung auftretenden Risiken und für die Koordinierung der zu ergreifenden Maßnahmen zuständig.
IT-Sicherheitskonzept wird notwendig
Hersteller von Medizinprodukten sehen sich künftig also mit der Aufgabe konfrontiert, gemäß dem Questionnaire IT Security for Medical Devices ein IT-Sicherheitskonzept für ihre Medizinprodukte zu erstellen. Zunächst erfolgt dabei die Schutzbedarfs-Feststellung. Dem schließt sich eine Bedrohungsanalyse an – damit wird die Frage beantwortet, was passieren kann, wenn das erforderliche Schutzniveau nicht erreicht wird. Eine Risikoanalyse zeigt die Auswirkungen des nicht vorhandenen Schutzes sowie geeignete Maßnahmen zur Vermeidung von Gefährdungen für Patienten, Anwender und Dritte. Sie beantwortet Fragen wie:
Wie relevant ist eine Schwachstelle?
- Wie leicht ist sie auszunutzen?
- Und welches Schadpotenzial birgt sie?
Da eine Anforderung der MDR darin besteht, den gesamten Lebenszyklus eines Produkts abzudecken, muss das Sicherheitskonzept dauerhaft in einer kontinuierlichen Auseinandersetzung bzw. ereignisbasiert aktualisiert werden – etwa, um neu entstandene Schwachstellen zu berücksichtigen. In den isolierten Systemen früherer Zeit war die IT nach der Markteinführung keinen Änderungen mehr unterworfen. Heute muss der Hersteller für den Zulassungszeitraum seines Produkts gewährleisten, dass es sicher eingesetzt werden kann. Es ist üblich, dass die Zulassung eine Unveränderlichkeit bedingt, der Betreiber darf deswegen nur in eingeschränktem Bereich Änderungen wie die Aktualisierung eines Betriebssystems vornehmen. Die Hoheit liegt hier stets beim Hersteller. Gefordert ist unterm Strich ein sicheres Produkt, dass von einer sicheren Organisation entwickelt wird. Letztere wird durch die Prüfung des Produkts mitabgedeckt, da diese konkrete Anforderungen an die Organisation stellt, die erfüllt werden müssen.
- IT-Sicherheit genauso wichtig wie Produktsicherheit
- Die Neuerungen im Detail
- Best Practices in der Zertifizierung
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
Digitales OP-Management
Video-Training live aus dem OP
Patientendaten-Management
Punktgenaue Information am Krankenbett
