På grund af den stigende mængde angreb mod medicinsk udstyr fremsætter EU-tilsynsmyndigheder et nyt sæt markedsadgangskrav for medicinsk udstyr og medicinsk udstyr til in vitro-diagnostik for at reducere risikoen for patientskade som følge af en cyberhændelse, samt beskytte de nationale sundhedssystemer.
EU-tilsynsmyndigheder hæver barren for cybersikkerhedskrav med Den Europæiske Unions forordning om medicinsk udstyr (MDR) og Den Europæiske Unions forordning om in vitro-diagnostik (IVDR), som trådte i kraft den 26. maj 2021. Reglerne har til formål at "etablere et robust, gennemsigtigt, forudsigeligt og bæredygtigt regelsæt ... som sikrer et højt niveau af sikkerhed og sundhed og samtidig understøtter innovation."
Organisationer har indtil den 26. maj 2024, eller når de digitale certifikater, der bruges af enhederne, udløber, til at foretage de nødvendige ændringer i deres kvalitetsstyringssystemer og tekniske dokumentation for at overholde de nye krav. På trods af antallet af vurderingsprocesser og standarder og vejledningsdokumenter, der er blevet leveret, er producenter af medicinsk udstyr, udbydere og certificeringstjenester muligvis ikke klar i tide.
Mere end 90 % af aktuelt gyldige AIMDD/MDD-certifikater vil udløbe i 2024, så et betydeligt antal eksisterende enheder skal gengodkendes, foruden nye enheder, der kommer på markedet. Det anslås, at 85% af produkterne er på markedet i dag kræver stadig ny certificering under MDR.IVDR. I betragtning af, at processen tager 13 til 18 måneder, skal virksomheder starte processen nu for at overholde 2024-deadline.
Indstillingsvejledning
Generelt er cybersikkerhedsprocesser ikke så forskellige fra generelle enhedsydelses- og sikkerhedsprocesser. Målet er at sikre (gennem verifikation og validering) og demonstrere (gennem dokumentation) enhedens ydeevne, risikoreduktion og kontrol og minimering af forudsigelige risici og uønskede bivirkninger gennem risikostyring. Kombinationsprodukter eller indbyrdes forbundne enheder/systemer kræver også styring af de risici, der følger af interaktion mellem software og it-miljø.
Koordinationsgruppen for medicinsk udstyr MDCG-16 Vejledning om cybersikkerhed for medicinsk udstyr forklarer, hvordan man fortolker og opfylder cybersikkerhedskrav under MDR og IVDR. Producenter forventes at tage hensyn til principperne for den sikre udviklings livscyklus, sikkerhedsrisikostyring og verifikation og validering. Yderligere bør de angive minimums IT-krav og forventninger til cybersikkerhedsprocesser, såsom installation og vedligeholdelse, i deres enheds brugsanvisning. "Brugsvejledning" er en meget struktureret påkrævet del af certificeringsansøgningen, som producenterne skal indsende.
Cybersikkerhedsforanstaltninger skal reducere enhver risiko forbundet med driften af medicinsk udstyr, herunder cybersikkerheds-inducerede sikkerhedsrisici, for at give et højt beskyttelsesniveau for sundhed og sikkerhed. Den Internationale Elektrotekniske Kommission (IEC) præciserer sikkerhedsfunktioner på højt niveau, bedste praksis og sikkerhedsniveauer i IEC/TIR 60601-4-5. Endnu en teknisk rapport fra IEC, IEC 80001-2-2, opregner specifikke design- og arkitektursikkerhedsfunktioner, såsom automatisk logoff, revisionskontroller, datasikkerhedskopiering og katastrofegendannelse, malware-detektering/-beskyttelse og system- og OS-hærdning.
For at overholde ISO retningslinjer (ISO 14971), anbefaler Foreningen til Fremme af Medicinsk Instrumentering at finde en balance mellem tryghed og tryghed. Omhyggelig analyse er påkrævet for at forhindre sikkerhedsforanstaltninger i at kompromittere sikkerheden og sikkerhedsforanstaltninger i at blive en sikkerhedsrisiko. Sikkerheden skal have den rigtige størrelse og bør hverken være for svag eller for restriktiv.
Delt ansvar for cybersikkerhed
Cybersikkerhed er et ansvar, der deles mellem enhedsproducenten og den implementerende organisation (typisk kunden/operatøren). Således kræver specifikke roller, der leverer vigtige cybersikkerhedsfunktioner - såsom integrator, operatør, sundheds- og lægeprofessionelle samt patienter og forbrugere - omhyggelig træning og dokumentation.
Sektionen "brugsanvisning" i en producents certificeringsapplikation bør indeholde cybersikkerhedsprocesser, herunder sikkerhedskonfigurationsmuligheder, produktinstallation, retningslinjer for indledende konfiguration (f.eks. ændring af standardadgangskode), instruktioner til implementering af sikkerhedsopdateringer, procedurer for brug af det medicinske udstyr i failsafe tilstand (f.eks. gå ind/afslut fejlsikker tilstand, ydeevnebegrænsninger i fejlsikker tilstand og datagendannelsesfunktion, når normal drift genoptages), og handlingsplaner for brugeren i tilfælde af en advarselsmeddelelse.
Dette afsnit bør også give brugerkrav til træning og opregne nødvendige færdigheder, herunder IT-færdigheder, der kræves til installation, konfiguration og drift af det medicinske udstyr. Derudover bør den specificere krav til driftsmiljøet (hardware, netværkskarakteristika, sikkerhedskontrol osv.), der dækker antagelser om brugsmiljøet, risici for enhedens drift uden for det tilsigtede driftsmiljø, minimumsplatformskrav til det tilsluttede medicinske udstyr , anbefalede it-sikkerhedskontroller og sikkerhedskopierings- og gendannelsesfunktioner for både data- og konfigurationsindstillinger.
Specifikke sikkerhedsoplysninger kan deles gennem anden dokumentation end brugsanvisningen, såsom instruktioner til administratorer eller sikkerhedsbetjeningsvejledninger. Sådanne oplysninger kan omfatte en liste over it-sikkerhedskontroller inkluderet i det medicinske udstyr, bestemmelser for at sikre integritet/validering af softwareopdateringer og sikkerhedsrettelser, tekniske egenskaber ved hardwarekomponenter, softwarestykliste, brugerroller og tilhørende adgangsrettigheder/tilladelser på enheden, logningsfunktion, retningslinjer for sikkerhedsanbefalinger, krav til integration af det medicinske udstyr i et sundhedsinformationssystem og en liste over netværkets datastrømme (protokoltyper, oprindelse/destination af data streams, adresseringsskema osv.).
Hvis driftsmiljøet ikke udelukkende er lokalt, men involverer eksterne hostingudbydere, skal det klart fremgå af dokumentationen hvad, hvor (i betragtning af data-residency-lovgivningen), og hvordan data opbevares, samt eventuelle sikkerhedskontroller for at sikre dataene i skymiljø (f.eks. kryptering). Brugervejledningssektionen i dokumentationen skal give specifikke konfigurationskrav til driftsmiljøet, såsom firewallregler (porte, grænseflader, protokoller, adresseringsskemaer osv.).
Sikkerhedskontroller, der er implementeret under aktiviteter før markedet, kan være utilstrækkelige til at opretholde et acceptabelt fordel-risiko-niveau i enhedens levetid. Derfor kræver reglerne, at producenten etablerer et post-market cybersikkerhedsovervågningsprogram for at overvåge driften af enheden i det tilsigtede miljø; at dele og formidle cybersikkerhedsinformation og viden om cybersikkerhedssårbarheder og -trusler på tværs af flere sektorer; at udføre sårbarhedsafhjælpning; og til at planlægge hændelsesreaktion.
Producenten er endvidere ansvarlig for at undersøge og rapportere alvorlige hændelser og udføre sikkerhedskorrigerende handlinger. Specifikt er hændelser, der har cybersikkerhedsrelaterede grundlæggende årsager, underlagt trendrapportering, herunder enhver statistisk signifikant stigning i hyppigheden eller sværhedsgraden af hændelser.
Planlægning af alle scenarier
Nutidens medicinske udstyr er meget integreret og fungerer i et komplekst netværk af enheder og systemer, hvoraf mange muligvis ikke er under kontrol af enhedsoperatøren. Derfor bør producenter omhyggeligt dokumentere enhedens påtænkte brug og påtænkte driftsmiljø samt planlægge for rimeligt forudsigeligt misbrug, såsom et cyberangreb.
Cybersikkerhedskrav til risikostyring før og efter markedsføring og understøttende aktiviteter er ikke nødvendigvis forskellige fra traditionelle sikkerhedsprogrammer. De tilføjer dog et ekstra kompleksitetsniveau som:
- Rækken af risici, der skal tages i betragtning, er mere kompleks (sikkerhed, privatliv, drift, forretning).
- De kræver et specifikt sæt aktiviteter, der skal udføres langs enhedsudviklingens livscyklus via en Sikker produktudviklingsramme (SPDF).
Globale regulatorer, herunder MDR/IVDR, begynder at håndhæve et højere sikkerhedsniveau for medicinsk udstyr og kræver specifikt påviselig sikkerhed som en del af enhedens større livscyklus. Enheder skal, baseret på enhedstype og anvendelsestilfælde, opfylde en sikkerhedsbaseline, og producenterne skal opretholde denne baseline i hele enhedens levetid.
