Der Blätterkatalog benötigt Javascript.
Bitte aktivieren Sie Javascript in Ihren Browser-Einstellungen.
The Blätterkatalog requires Javascript.
Please activate Javascript in your browser settings.
06 2022 33 www medicaldesign news Softwarekonformität HealtHcare It SecurIty gemeinsame Strategie um fortschrittliche Medizintechnologie besser auf die Bedrohungen der Cybersicherheit vorzubereiten Um die kritische Lücke zu schließen hat die Internationale Elektrotechnische Kommission IEC einen neuen Standard entwickelt der sich gezielt mit der Cybersicherheit von Software für digitale Medizinprodukte befasst – von ihrer Entwicklung über Bestimmungen für ihren Gebrauch bis zur Post-Market-Phase nach der Inverkehrbringung Der Veröffentlichung von IEC 81001-5-1 im Dezember 2021 waren drei Jahre intensive Diskussionen und Erörterungen vorausgegangen Nun ist sie eine wichtige Erweiterung der IEC 62304 »Medical Device Software – Software Lifecycle Processes« und spannt einen gemeinsamen Rahmen über den gesamten Lebenszyklus der Software ■ ■ Für alle Prozessbeteiligten Die neue Norm adressiert Sicherheitsfragen der »Gesundheitssoftware« die nicht nur Hersteller betreffen sondern auch Entwickler deren Software in medizinischen Produkten und Systemen im Einsatz ist Ebenso gilt sie für »Software as a Medical Device« SaMD und Software die für Gesundheitszwecke eingesetzt wird – etwa Apps für Ernährungsberatung In Anerkennung der kritischen Rolle von Gesundheitsdienstleistern für die medizinische Cybersicherheit hebt der Standard die Bedeutung des engen bilateralen Austauschs zwischen Geräteherstellern Softwareherstellern und den tatsächlichen Anwendern in Krankenhäusern Arztpraxen oder anderen Einrichtungen hervor Genau wie andere prozessbasierte Standards definiert sie die Aktivitäten die Geräteoder Softwarehersteller während des Produktlebenszyklus unternehmen müssen um sich gegen Cyberrisiken zu wappnen Die spezifischen Aktivitäten sind in den Klauseln 4 bis 9 beschrieben siehe Infokasten ■ ■ Rechtssicherheit als Standard Zusätzlich beinhaltet IEC 81001-5-1 verschiedene informative Anhänge die Herstellern und Entwicklern helfen Standardanforderungen zu erfüllen Anhang Bgibt Orientierung bei der Implementierung von Aktivitäten die die Sicherheit über den gesamten Lebenszyklus der Software sicherstellen sollen Anhang Cerörtert detailliert Bedrohungsmodelle und zeigt einen systematischen Ansatz für die Sicherheitsanalyse von Geräten oder Anwendungen um potenzielle Risiken leichter identifizieren und priorisieren zu können Zudem liefert er eine Reihe von Ansätzen zur Entwicklung eines passenden Bedrohungsmodells Aller Voraussicht nach wird die EU-Kommission die IEC 81001-5-1 bis Mai 2024 als harmonisierten Standard anerkennen Ebenso wahrscheinlich ist eine Anerkennung durch die USamerikanische Arzneimittelbehörde FDA als sogenannter »Recognized Consensus Standard« Unabhängig davon wann der Standard in welchem Rechtsraum verbindlich wird können Geräteund Softwarehersteller wesentliche Vorteile erzielen wenn sie die Anforderungen der ISO 81000-5-1 bereits jetzt für aktuelle und künftige Produkte berücksichtigen ■ ■ Sicher mit Testlabor Testlabore wie beispielsweise vom TÜV Süd verfügen meist über mehrere Jahre oder Jahrzehnte Erfahrung mit den regulatorischen Anforderungen und der Anwendung technischer Standards für Medizinprodukte sowie der Testung der Medizingeräte unter anspruchsvollsten Bedingungen Ein TÜV-Prüfdienstleister ist zusätzlich vom Medical Device Single Audit Program MDSAP akkreditiert das die Übereinstimmung von Medizinprodukten mit Standards der USA Kanada Japan Brasilien und Australien sicherstellt In den speziell eingerichteten Testlaboren können Medizintechnikhersteller die Sicherheit von Medizingeräten und Software testen lassen Dazu gehören Produkttests um die Einhaltung der aktuellen Cybersecurity-Vorschriften und -Standards zu gewährleisten – darunter IEC 81001-5-1 IEC TR 60601-4-5 IEC 62304 MDCG 2019-16 und weitere anwendbare Anforderungen Auch Schwachstellenanalysen und Penetrationstests der Geräte und Software werden durchgeführt ebenso sind Compliance-Vorschriften Teil der Prüfungen Am Ende wird ein detaillierter Testreport bereitgestellt ggf auf Wunsch gemeinsam mit einem optionalen Report zur Einhaltung der Vorschriften der EU und der FDA So wird die Medizinprodukteindustrie bei der Lösung wesentlicher Cybersicherheitsrisiken unterstützt und es ist sichergestellt dass neue Medizinprodukte und innovative Gesundheitssoftware cybersicher auf den Markt kommen ■ ■ Sicherheitslücken minimieren Insgesamt bleibt festzuhalten Die wachsende Bedrohung der Cybersicherheit für onlinefähige Medizinprodukte erfordert von Herstellern und Softwareentwicklern eine proaktive Herangehensweise Sie müssen ihre Produkte so konzipieren dass sie möglichst wenige Risiken für die Cybersicherheit aufweisen Die IEC 81001-5-1 liefert dafür einen detaillierten Fahrplan den Hersteller und Softwareentwickler übernehmen und dadurch die Sicherheit ihrer Produkte über den gesamten Lebenszyklus hinweg sicherstellen können Nun muss sie umgesetzt werden uh ■ SpezifiSche Aktivitäten AuS der iec 81001-5-1 ■ ■ Klausel 4 Beschreibt die Einführung und Anwendung eines Qualitätsmanagementsystems mit Überlegungen zur Produktsicherheit sowie zu einem Risikomanagementsystem ■ ■ Klausel 5 Stellt eine Anforderungsanalyse für Gesundheitssoftware auf mit Schwerpunkt softwarespezifische Sicherheitsrisiken Design und Integrationstests Zu letzteren gehören Bedrohungsabwehr-Schwachstellenund Penetrationstests ■ ■ Klausel 6 Gibt Vorgaben zur Erstellung eines Wartungsplans für die Software der rechtzeitige Updates zum Schutz gegen Cyberbedrohungen und die Implementierung von Änderungen managt und dokumentiert ■ ■ Klausel 7 Stellt sicher dass potenzielle Schwachstellen und Bedrohungen erfasst werden deren Risiken bewertet und daraus Maßnahmen zur Kontrolle und einer laufenden Überwachung erarbeitet werden ■ ■ Klausel 8 Legt eine allgemeine Strategie für Produktentwicklung Wartung und Support fest Durch ein Konfigurationsmanagement mit Änderungskontrollen und - historie sowie Informationen über externe Komponenten werden Sicherheitslücken erfassbar ■ ■ Klausel 9 Beschreibt die Einrichtung eines Benachrichtigungssystems für mögliche Sicherheitsrisiken sowie deren Prüfung und Analyse und den geeigneten Problemlösungsprozess