På grunn av det økende volumet av angrep mot medisinsk utstyr, foreslår EU-regulatorer et nytt sett med markedsadgangskrav for medisinsk utstyr og in vitro-diagnostisk medisinsk utstyr for å redusere risikoen for pasientskade som følge av en cyberhendelse, samt beskytte nasjonale helsesystemer.
EUs regulatorer hever standarden for krav til cybersikkerhet med EUs forskrift om medisinsk utstyr (MDR) og EUs in vitro-diagnoseforordning (IVDR), som trådte i kraft 26. mai 2021. Forskriften er ment å «etablere et robust, transparent, forutsigbart og bærekraftig regelverk … som sikrer et høyt nivå av sikkerhet og helse, samtidig som det støtter innovasjon».
Organisasjoner har frist til 26. mai 2024, eller når de digitale sertifikatene som brukes av enhetene utløper, til å gjøre de nødvendige endringene i deres kvalitetsstyringssystem og tekniske dokumentasjon for å overholde de nye kravene. Til tross for antallet vurderingsprosesser og standarder og veiledningsdokumenter som er levert, kan det hende at produsenter, leverandører og sertifiseringstjenester ikke er klare i tide.
Mer enn 90 % av for tiden gyldige AIMDD/MDD-sertifikater vil utløpe innen 2024, så et betydelig antall eksisterende enheter må godkjennes på nytt, i tillegg til at nye enheter kommer inn på markedet. Det er anslått at 85% av produktene er på markedet i dag krever fortsatt ny sertifisering under MDR.IVDR. Tatt i betraktning at prosessen tar 13 til 18 måneder, må bedrifter starte prosessen nå for å overholde 2024-fristen.
Innstilling av bruksanvisning
Generelt er ikke cybersikkerhetsprosesser så forskjellige fra generelle enhetsytelses- og sikkerhetsprosesser. Målet er å sikre (gjennom verifisering og validering) og demonstrere (gjennom dokumentasjon) enhetens ytelse, risikoreduksjon og kontroll, og minimere forutsigbare risikoer og uønskede bivirkninger gjennom risikostyring. Kombinasjonsprodukter eller sammenkoblede enheter/systemer krever også håndtering av risikoene som følger av interaksjon mellom programvare og IT-miljø.
Koordinasjonsgruppen for medisinsk utstyr MDCG-16 Veiledning om cybersikkerhet for medisinsk utstyr forklarer hvordan man tolker og oppfyller cybersikkerhetskrav under MDR og IVDR. Produsenter forventes å ta hensyn til prinsippene for sikker utviklingslivssyklus, sikkerhetsrisikostyring og verifisering og validering. Videre bør de angi minimums IT-krav og forventninger til cybersikkerhetsprosesser, for eksempel installasjon og vedlikehold, i enhetens bruksanvisning. "Instruksjoner for bruk" er en svært strukturert nødvendig del av sertifiseringsapplikasjonen produsentene må sende inn.
Cybersikkerhetstiltak må redusere enhver risiko knyttet til driften av medisinsk utstyr, inkludert nettsikkerhet-induserte sikkerhetsrisikoer, for å gi et høyt beskyttelsesnivå for helse og sikkerhet. Den internasjonale elektrotekniske kommisjonen (IEC) spesifiserer sikkerhetsfunksjoner på høyt nivå, beste praksis og sikkerhetsnivåer i IEC/TIR 60601-4-5. Nok en teknisk rapport fra IEC, IEC 80001-2-2, oppregner spesifikke design- og arkitektursikkerhetsfunksjoner, for eksempel automatisk avlogging, revisjonskontroller, sikkerhetskopiering av data og katastrofegjenoppretting, oppdagelse/beskyttelse av skadelig programvare og herding av system og OS.
For å oppfylle ISO retningslinjer (ISO 14971), anbefaler Association for the Advancement of Medical Instrumentation å finne en balanse mellom sikkerhet og sikkerhet. Nøye analyser er nødvendig for å forhindre at sikkerhetstiltak kompromitterer sikkerheten og at sikkerhetstiltak blir en sikkerhetsrisiko. Sikkerheten må ha riktig størrelse og bør verken være for svak eller for restriktiv.
Delt ansvar for cybersikkerhet
Cybersikkerhet er et ansvar som deles mellom enhetsprodusenten og distribusjonsorganisasjonen (vanligvis kunden/operatøren). Spesifikke roller som gir viktige cybersikkerhetsfunksjoner – som integrator, operatør, helsepersonell og medisinsk fagpersonell, og pasienter og forbrukere – krever derfor nøye opplæring og dokumentasjon.
"Instruksjoner for bruk"-delen av en produsents sertifiseringsapplikasjon skal inneholde cybersikkerhetsprosesser, inkludert alternativer for sikkerhetskonfigurasjon, produktinstallasjon, retningslinjer for innledende konfigurasjon (f.eks. endring av standardpassord), instruksjoner for distribusjon av sikkerhetsoppdateringer, prosedyrer for bruk av det medisinske utstyret i failsafe modus (f.eks. gå inn/ut av feilsikker modus, ytelsesbegrensninger i feilsikker modus og datagjenopprettingsfunksjon når normal drift gjenopptas), og handlingsplaner for brukeren i tilfelle en varselmelding.
Denne delen bør også gi brukerkrav for opplæring og oppregne nødvendige ferdigheter, inkludert IT-ferdigheter som kreves for installasjon, konfigurering og drift av det medisinske utstyret. I tillegg bør det spesifisere krav til driftsmiljøet (maskinvare, nettverksegenskaper, sikkerhetskontroller osv.) som dekker forutsetninger om bruksmiljøet, risiko for drift av enheten utenfor det tiltenkte driftsmiljøet, minimumsplattformkrav for det tilkoblede medisinske utstyret , anbefalte IT-sikkerhetskontroller og sikkerhetskopierings- og gjenopprettingsfunksjoner for både data- og konfigurasjonsinnstillinger.
Spesifikk sikkerhetsinformasjon kan deles gjennom annen dokumentasjon enn bruksanvisningen, for eksempel instruksjoner for administratorer eller sikkerhetsmanualer. Slik informasjon kan inkludere en liste over IT-sikkerhetskontroller inkludert i det medisinske utstyret, bestemmelser for å sikre integritet/validering av programvareoppdateringer og sikkerhetsoppdateringer, tekniske egenskaper til maskinvarekomponenter, programvareliste, brukerroller og tilhørende tilgangsrettigheter/tillatelser på enheten, loggingsfunksjon, retningslinjer for sikkerhetsanbefalinger, krav til integrering av det medisinske utstyret i et helseinformasjonssystem, og en liste over nettverksdatastrømmene (protokolltyper, opprinnelse/destinasjon for data) strømmer, adresseringsskjema osv.).
Hvis driftsmiljøet ikke utelukkende er lokalt, men involverer eksterne hostingleverandører, må dokumentasjonen tydelig angi hva, hvor (i hensyn til data-residency-lover), og hvordan data lagres, samt eventuelle sikkerhetskontroller for å sikre dataene i skymiljø (f.eks. kryptering). Bruksanvisningsdelen av dokumentasjonen må gi spesifikke konfigurasjonskrav for driftsmiljøet, for eksempel brannmurregler (porter, grensesnitt, protokoller, adresseringsskjemaer osv.).
Sikkerhetskontroller implementert under premarket-aktiviteter kan være utilstrekkelig for å opprettholde et akseptabelt nytte-risikonivå i løpet av enhetens operative levetid. Derfor krever regelverk at produsenten etablerer et program for cybersikkerhetsovervåking etter markedsføring for å overvåke driften av enheten i det tiltenkte miljøet; å dele og spre cybersikkerhetsinformasjon og kunnskap om cybersikkerhetssårbarheter og trusler på tvers av flere sektorer; å utføre sårbarhetsutbedring; og planlegge for hendelsesrespons.
Produsenten er videre ansvarlig for å undersøke og rapportere alvorlige hendelser og iverksette sikkerhetskorrigerende tiltak. Nærmere bestemt er hendelser som har cybersikkerhetsrelaterte grunnårsaker underlagt trendrapportering, inkludert enhver statistisk signifikant økning i frekvensen eller alvorlighetsgraden av hendelser.
Planlegging for alle scenarier
Dagens medisinske utstyr er svært integrert og opererer i et komplekst nettverk av enheter og systemer, hvorav mange kanskje ikke er under kontroll av enhetsoperatøren. Derfor bør produsenter nøye dokumentere enhetens tiltenkte bruk og tiltenkte driftsmiljø, samt planlegge for rimelig forutsigbart misbruk, for eksempel et nettangrep.
Krav til cybersikkerhet før og etter markedsrisikostyring og støtteaktiviteter er ikke nødvendigvis forskjellige fra tradisjonelle sikkerhetsprogrammer. Imidlertid legger de til et ekstra nivå av kompleksitet som:
- Utvalget av risikoer å vurdere er mer komplekst (sikkerhet, personvern, drift, virksomhet).
- De krever et spesifikt sett med aktiviteter som må utføres langs enhetens utviklingslivssyklus via et sikkert produktutviklingsrammeverk (SPDF).
Globale regulatorer, inkludert MDR/IVDR, begynner å håndheve et høyere sikkerhetsnivå for medisinsk utstyr og krever spesifikt påviselig sikkerhet som en del av enhetens større livssyklus. Enheter bør oppfylle, basert på enhetstype og brukstilfelle, en sikkerhetsgrunnlinje, og produsenter må opprettholde denne grunnlinjen over hele enhetens levetid.
