På grund av den ökande volymen av attacker mot medicinsk utrustning, lägger EU:s tillsynsmyndigheter fram en ny uppsättning krav på marknadsinträde för medicinsk utrustning och medicinsk utrustning för in vitro-diagnostik för att minska risken för patientskador till följd av en cyberincident, samt skydda de nationella hälsosystemen.
EU:s tillsynsmyndigheter höjer ribban för krav på cybersäkerhet med Europeiska unionens förordning om medicintekniska produkter (MDR) och Europeiska unionens förordning om in vitro-diagnostik (IVDR), som trädde i kraft den 26 maj 2021. Reglerna är avsedda att "etablera ett robust, transparent, förutsägbart och hållbart regelverk ... som säkerställer en hög nivå av säkerhet och hälsa samtidigt som de stöder innovation."
Organisationer har fram till den 26 maj 2024, eller när de digitala certifikaten som används av enheterna löper ut, på sig att göra nödvändiga ändringar i sina kvalitetsledningssystem och tekniska dokumentation för att uppfylla de nya kraven. Trots antalet bedömningsprocesser och standarder och vägledningsdokument som har tillhandahållits, kanske tillverkare av medicintekniska produkter, leverantörer och certifieringstjänster inte är klara i tid.
Mer än 90 % av för närvarande giltiga AIMDD/MDD-certifikat kommer att löpa ut till 2024, så ett betydande antal befintliga enheter måste godkännas på nytt, förutom att nya enheter kommer in på marknaden. Det uppskattas att 85% av produkterna finns på marknaden idag kräver fortfarande ny certifiering enligt MDR.IVDR. Med tanke på att processen tar 13 till 18 månader, måste företag påbörja processen nu för att klara deadline 2024.
Inställningsanvisningar
I allmänhet skiljer sig cybersäkerhetsprocesser inte så mycket från allmänna enhetsprestanda och säkerhetsprocesser. Målet är att säkerställa (genom verifiering och validering) och demonstrera (genom dokumentation) enhetens prestanda, riskminskning och kontroll samt minimering av förutsebara risker och oönskade biverkningar genom riskhantering. Kombinationsprodukter eller sammankopplade enheter/system kräver också hantering av de risker som följer av interaktion mellan mjukvara och IT-miljö.
Medicintekniska koordinationsgruppens MDCG-16 Vägledning om cybersäkerhet för medicinsk utrustning förklarar hur man tolkar och uppfyller kraven på cybersäkerhet enligt MDR och IVDR. Tillverkare förväntas ta hänsyn till principerna för en säker utvecklingslivscykel, säkerhetsriskhantering samt verifiering och validering. Vidare bör de tillhandahålla minimikrav och förväntningar på IT-säkerhetsprocesser, såsom installation och underhåll, i enhetens bruksanvisning. "Användningsinstruktioner" är en mycket strukturerad obligatorisk del av certifieringsansökan som tillverkarna måste lämna in.
Cybersäkerhetsåtgärder måste minska alla risker som är förknippade med användningen av medicinsk utrustning, inklusive cybersäkerhetsinducerade säkerhetsrisker, för att ge en hög skyddsnivå för hälsa och säkerhet. International Electrotechnical Commission (IEC) anger säkerhetsfunktioner på hög nivå, bästa praxis och säkerhetsnivåer i IEC/TIR 60601-4-5. Ytterligare en teknisk rapport från IEC, IEC 80001-2-2, räknar upp specifika design- och arkitektursäkerhetsfunktioner, såsom automatisk utloggning, granskningskontroller, säkerhetskopiering av data och katastrofåterställning, upptäckt/skydd av skadlig programvara och system- och OS-härdning.
För att uppfylla ISO-riktlinjer (ISO 14971 ), rekommenderar Association for the Advancement of Medical Instrumentation att göra en balans mellan säkerhet och trygghet. Noggrann analys krävs för att förhindra att säkerhetsåtgärder äventyrar säkerheten och att säkerhetsåtgärder blir en säkerhetsrisk. Säkerheten måste vara av rätt storlek och bör varken vara för svag eller för restriktiv.
Delat ansvar för cybersäkerhet
Cybersäkerhet är ett ansvar som delas mellan enhetstillverkaren och den driftgivande organisationen (vanligtvis kunden/operatören). Därför kräver specifika roller som tillhandahåller viktiga cybersäkerhetsfunktioner – såsom integratör, operatör, hälso- och sjukvårdspersonal, samt patienter och konsumenter – noggrann utbildning och dokumentation.
Avsnittet "bruksanvisningar" i en tillverkares certifieringsapplikation bör tillhandahålla cybersäkerhetsprocesser inklusive säkerhetskonfigurationsalternativ, produktinstallation, initiala konfigurationsriktlinjer (t.ex. byte av standardlösenord), instruktioner för att distribuera säkerhetsuppdateringar, procedurer för att använda den medicinska enheten i failsafe läge (t.ex. ange/avsluta felsäkert läge, prestandabegränsningar i felsäkert läge och dataåterställningsfunktion när normal drift återupptas), och åtgärdsplaner för användaren i händelse av ett varningsmeddelande.
Det avsnittet bör också tillhandahålla användarkrav för utbildning och räkna upp nödvändiga färdigheter, inklusive IT-kunskaper som krävs för installation, konfiguration och drift av den medicinska produkten. Dessutom bör den specificera krav på driftsmiljön (hårdvara, nätverksegenskaper, säkerhetskontroller etc.) som omfattar antaganden om användningsmiljön, risker för enhetens drift utanför den avsedda driftsmiljön, minimikrav på plattformen för den anslutna medicintekniska produkten , rekommenderade IT-säkerhetskontroller och säkerhetskopierings- och återställningsfunktioner för både data- och konfigurationsinställningar.
Specifik säkerhetsinformation kan delas genom annan dokumentation än bruksanvisningarna, såsom instruktioner för administratörer eller säkerhetsmanualer. Sådan information kan inkludera en lista över IT-säkerhetskontroller som ingår i den medicinska produkten, bestämmelser för att säkerställa integritet/validering av mjukvaruuppdateringar och säkerhetskorrigeringar, tekniska egenskaper hos hårdvarukomponenter, materialförteckning för programvara, användarroller och tillhörande åtkomstprivilegier/behörigheter på enheten, loggningsfunktion, riktlinjer för säkerhetsrekommendationer, krav för att integrera den medicinska enheten i ett hälsoinformationssystem och en lista över nätverkets dataströmmar (protokolltyper, ursprung/destination för data strömmar, adresseringsschema, etc.).
Om verksamhetsmiljön inte enbart är lokal utan involverar externa värdleverantörer, måste dokumentationen tydligt ange vad, var (med hänsyn till lagar om uppehållstillstånd) och hur data lagras, samt eventuella säkerhetskontroller för att skydda uppgifterna i molnmiljö (t.ex. kryptering). Avsnittet med instruktioner för användning i dokumentationen måste tillhandahålla specifika konfigurationskrav för operativmiljön, såsom brandväggsregler (portar, gränssnitt, protokoll, adresseringsscheman, etc.).
Säkerhetskontroller som implementeras under förmarknadsaktiviteter kan vara otillräckliga för att upprätthålla en acceptabel nytta-risknivå under enhetens operativa livslängd. Därför kräver förordningar att tillverkaren upprättar ett program för cybersäkerhetsövervakning efter utsläppandet på marknaden för att övervaka driften av enheten i den avsedda miljön; att dela och sprida cybersäkerhetsinformation och kunskap om cybersäkerhetssårbarheter och hot inom flera sektorer; att utföra sårbarhetsavhjälpning; och att planera för incidentrespons.
Tillverkaren är vidare ansvarig för att undersöka och rapportera allvarliga incidenter och vidta säkerhetskorrigerande åtgärder. Specifikt är incidenter som har cybersäkerhetsrelaterade grundorsaker föremål för trendrapportering, inklusive varje statistiskt signifikant ökning av frekvensen eller svårighetsgraden av incidenter.
Planering för alla scenarier
Dagens medicintekniska produkter är mycket integrerade och fungerar i ett komplext nätverk av enheter och system, av vilka många kanske inte är under kontroll av enhetsoperatören. Därför bör tillverkare noggrant dokumentera enhetens avsedda användning och avsedda driftsmiljö, samt planera för rimligt förutsebar missbruk, såsom en cyberattack.
Krav och stödjande aktiviteter för cybersäkerhet före och efter marknadsriskhantering skiljer sig inte nödvändigtvis från traditionella säkerhetsprogram. Men de lägger till en ytterligare komplexitetsnivå som:
- Utbudet av risker att överväga är mer komplext (säkerhet, integritet, verksamhet, affärer).
- De kräver en specifik uppsättning aktiviteter som måste utföras under enhetsutvecklingens livscykel via ett säkert produktutvecklingsramverk (SPDF).
Globala tillsynsmyndigheter, inklusive MDR/IVDR, börjar genomdriva en högre säkerhetsnivå för medicinsk utrustning och kräver specifikt påvisbar säkerhet som en del av enhetens större livscykel. Enheter bör, baserat på enhetstyp och användningsfall, uppfylla en säkerhetsbaslinje, och tillverkare måste upprätthålla den baslinjen under enhetens hela livslängd.
