Home Cyber Security für sichere Medizinprodukte

Cyber Security-Checkliste für sichere Medizinprodukte

Mit der digitalen Transformation der Gesundheitsbranche rückt auch die Bedeutung der Cyber Security immer stärker in den Mittelpunkt. Angesichts der zahlreichen regulatorischen Entwicklungen und Bedrohungen durch zunehmende Vernetzung und Digitalisierung ist es sowohl für bestehende als auch für potenzielle Akteure in der Branche unerlässlich, die Herausforderungen der Cyber Security ernst zu nehmen.

Jetzt Kontakt aufnehmen

Cybersicheres Medizingerät im Krankenhaus

Europäische Union (EU): Medizinprodukteverordnung (MDR) und IEC 81001-5-1

Die EU-Verordnung über Medizinprodukte (Medical Device Regulation, MDR) bringt große Veränderungen in Bezug auf die Cyber Security von Medizinprodukten mit sich. Auch mit der Harmonisierung der IEC 81001-5-1 steht 2024 eine bedeutende Veränderung an, und es handelt sich dabei nicht nur um eine kleine Anpassung – es ist ein wichtiger Schritt, um Medizinprodukte widerstandsfähiger gegen neue Cyberbedrohungen zu machen.

Portraitbild von Joachim Wilke, Cyber Security Specialist Healthcare, ITK Engineering

Schon 2023 beobachtete ITK einen wachsenden Trend bei seinen Kunden: Audits werden immer strenger. Hersteller sollten sich darauf einstellen, dass hier noch genauer auf umfassende Cyber Security-Aktivitäten geprüft wird. In Sachen Bedrohungs- und Risikoanalyse, Security by Design und detaillierter Software Bill of Materials (SBOM) geht es nicht nur darum, Regeln zu befolgen. Wichtig ist, Cyber Security proaktiv in den gesamten Entwicklungsprozess zu integrieren.
Dr. Joachim Wilke, Cyber Security Specialist Healthcare, ITK Engineering

Bildschirm Krankenhaus mit Schloss als Datensicherheitssymbol

USA: FDA-Richtlinien

In den USA treibt die FDA, die US-Behörde für Lebens- und Arzneimittel, die Verbesserung der Cyber Security für Medizinprodukte federführend voran. Da sich die Vorschriften ständig weiterentwickeln, ist die Einhaltung der FDA-Richtlinien zwar nicht einfach, aber wichtig, um die Sicherheit von Medizinprodukten zu gewährleisten.

EU Cyber Resilience Act und Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2)

Medizinprodukte sind vom EU Cyber Resilience Act (EU-Gesetz über Cyberresilienz, CRA) zwar ausgeschlossen, da sie bereits einer umfangreichen Regulierung unterliegen, dennoch hat der CRA weitreichende Auswirkungen auch in die Welt des Gesundheitswesens hinein. Er umfasst unter anderem Apps und Cloud-Dienste, die ebenfalls Teil des Ökosystems vieler Medizinprodukte sind, bislang aber nicht reguliert wurden. Dieses Gesetz soll die Cyberresilienz in wichtigen Bereichen stärken, und es fordert nun, dass auch diese nicht medizinischen Komponenten eine ähnliche Qualität in Bezug auf Cyber Security erreichen.

Gleichzeitig setzt die aktualisierte Richtlinie zur Netzwerk- und Informationssicherheit einen höheren Standard für alle, die vernetzte Geräte in ihrem Unternehmen betreiben – und damit auch für Akteure im Gesundheitsmarkt wie Krankenhäuser. Hersteller von Medizinprodukten müssen ihren Kunden die notwendigen Unterlagen zur Verfügung stellen, um die Integration von Medizinprodukten in das Kundennetzwerk zu ermöglichen, ohne die Cyber Security zu gefährden.

Die oben beschriebenen regulatorischen Veränderungen in Kombination mit noch kommenden EU-Verordnungen, die nicht direkt auf Medizinprodukte abzielen, machen bestimmte Maßnahmen für Medizintechnikunternehmen regulatorisch gesehen verpflichtend, unabhängig davon, ob sie Medizinprodukte entwickeln.

CYBER SECURITY CHECKLISTE

Verpflichtende Aktivitäten

Bedrohungs- und Risikoanalyse: Verwenden Sie Methoden wie STRIDE und den CVSS-Score (Common Vulnerability Scoring System).
Security by Design: Binden Sie Maßnahmen zur Cyber Security bereits von Anfang an in den Entwicklungsprozess ein.
Software Bill of Materials (SBOM): Führen Sie ein Inventar aller Softwarekomponenten in einem standardisierten Format.
CVE-Analysen: Nehmen Sie eine regelmäßige (mindestens jährliche) Bewertung der Schwachstellen auf Grundlage der SBOM vor.
Unabhängige Pentests: Lassen Sie umfassende Penetrationstests durch externe Stellen durchführen.

Zusätzliche Aktivitäten

DSGVO-Konformität: Überprüfen Sie, ob Ihr Produkt mit der DSGVO konform ist, um sicherzustellen, dass die Anforderungen an den Datenschutz erfüllt werden.
Privacy by Design: Überprüfen Sie, ob Ihr Produkt nur Daten verwendet, die für Ihre Anwendungsfälle unbedingt erforderlich sind.
Optimierte Sicherheitskonzepte: Optimieren Sie Ihre Sicherheitskonzepte, um Angriffsvektoren, soweit möglich, zu reduzieren.
Verbessertes Schwachstellenmanagement: Überprüfen Sie Ihr Produkt mindestens monatlich, wenn nicht gar wöchentlich, auf bekannte Schwachstellen und Anfälligkeiten (CVE).