Seit einiger Zeit gewinnt Software innerhalb von Medizinprodukten immer mehr an Beachtung, entweder als „Software als Medizingerät“ oder als „Embedded Software“. Nicht verwunderlich ist es, dass nun auch die Cybersicherheit dieser Geräte in den Fokus der Benannten Stellen gerät. Leitfäden wie die MDCG 2019-16, die EN IEC 81001-5-1 oder die FDA Guidance „Cybersecurity in Medical Devices“ geben eine Erwartungshaltung vor, die für viele Medizintechnikhersteller überwältigend wirken kann. Und auch die NIS-2 Richtlinie tritt am 18. Oktober 2024 in Kraft. Wie lässt sich also Cybersicherheit in meinen gelebten Prozess integrieren? Welche Hürden und Herausforderungen gibt es? Muss ich alles umstrukturieren oder ist es doch einfacher als erwartet?
Die Cybersicherheit im Produkt-Lebenszyklus – Worauf sollte ich achten?
Die Cybersicherheit (oder auch Produktsicherheit) ist eines der interdisziplinärsten Themenfelder, die es in der Entwicklung von Medizinprodukten gibt. Von der Fertigung über die Entwicklung bis hin zur Installation, Bedienung, Wartung und Außerbetriebnahme (Decomissioning) ist die Cybersicherheit ein ständiger Begleiter. Während in der Software-Entwicklung häufiger intuitiv auf Cybersicherheit geachtet wird, ist dies bei Themen wie der Wartung von Medizinprodukten oder der Außerbetriebnahme nicht immer gegeben. Stellen Sie sich gerne einmal folgende Fragen:
- Wird bei der Fertigung meines Produktes Software aufgespielt? Wer hat alles Zugang dafür? Ist mein Fertigungsrechner isoliert oder an das Netzwerk angeschlossen?
- Ist das Kompilieren meiner Software streng reguliert oder kann jeder Mitarbeiter einen Rollout starten?
- Wie viele offene Schnittstellen hat mein Gerät für die Wartung? Wie schütze ich diese und habe ich alle meine Hintertürchen aus der Entwicklung geschlossen?
- Gibt es Anleitungen für meinen Kunden, wie er mein Produkt vernünftig entsorgt und dabei alle wichtigen Daten restlos gelöscht werden?
Cybersicherheit darf nicht nur während der Software-Entwicklung eine Rolle spielen, sondern betrifft den kompletten Produkt-Lebenszyklus. Es ist daher empfehlenswert dieses wichtige Thema nicht losgelöst und parallel laufen zu lassen, sondern in den bereits bestehenden Lebenszyklusprozess zu integrieren. Vor allem die EN IEC 81001-5-1 erleichtert dieses Unterfangen, indem sie dieselbe Struktur aufweist wie die EN 62304 für den Software-Lebenszyklus-Prozess. Integration leicht gemacht.
Die EN 81001-5-1 unter der Lupe
Worum genau geht in der EN IEC 81001-5-1? Die Norm stammt aus der Reihe „Gesundheitssoftware und Gesundheits-IT-Systeme Sicherheit, Effektivität und Security“ und trägt den Titel „Security – Aktivitäten im Produktlebenszyklus“. Sie beschreibt Aktivitäten, die während des gesamten Produktlebenszyklus durchgeführt werden müssen, um das Produkt selbst vor Angriffen schützen zu können. Diese Aktivitäten umfassen folgende Bereiche:
- Allgemeine Anforderungen an das QMS
- Anforderungen an den Software-Entwicklungsprozess
- Anforderungen an den Wartungsprozess des Produktes
- Anforderungen an das Risikomanagement
- Anforderungen an das Konfigurationsmanagement
- Anforderungen an den Problemlösungsprozess
Die EN IEC 81001-5-1 gibt somit eine klare Struktur vor, welche Prozesse von der Cybersicherheit während des Produktlebenszyklus betroffen sind und stellt Medizinproduktehersteller vor eine Herausforderung. Was passiert mit Legacy-Produkten, bei denen man in der Umsetzung stark eingeschränkt ist?
Für den Fall von Legacy-Produkten bietet die Norm eine Lösung in Form des Annex-F. Dieser beschreibt das Vorgehen bei sogenannter „Gesundheitssoftware in der Umstellung“ (Transitional Health Software) und das erforderliche Minimum an Aktivitäten, welche durchgeführt werden müssen. Dabei handelt es sich im Wesentlichen um das Risikomanagement und den Bereich PMS. Für die weiteren Aktivitäten verlangt der Annex-F einen Migrationsplan, um Konformität zum Rest der Norm zu erreichen. Sollten einige Komponenten der Software nicht in der Lage sein umgestellt zu werden kann mit entsprechender Risiko-Nutzen-Analyse auch eine begründete Weiternutzung erfolgen. Doch Vorsicht: Das Gesamtrisiko der Software muss ausgiebig und umfangreich analysiert und bewertet werden. Eine begründete Weiternutzung ist daher schwierig und aufwendig.
Zusammenfassend lässt sich sagen, dass die EN IEC 81001-5-1 eine prozessuale Struktur für die Einbindung der Cybersicherheit in den Produktlebenszyklus und mit dem Annex-F ebenfalls eine einfache Vorgehensweise für bereits vorhandene Produkte bietet.
Cybersecurity in Medical Devices – Klare Erwartungen der FDA
Die EN IEC 81001-5-1 gibt einen klaren prozessualen Rahmen vor, in welchem die Cybersicherheit während des Produktlebenszyklus beachtet werden muss. Doch wie so viele Normen bietet auch diese wenig konkrete Handlungsempfehlung. Was also genau tun?
Um diese Frage zu beantworten kann ein Blick in die FDA Guidance „Cybersecurity in Medical Devices:
Quality System Considerations and Content of Premarket Submissions“ geworfen werden. Die FDA erläutert in dieser Guidance nicht nur Erwartungen an die einzureichenden Dokumente, sondern auch konkrete Vorgaben über deren Inhalt. Die meisten dieser Vorgaben lassen sich auf die Anforderungen der EN IEC 81001-5-1 übertragen, wie z.B. die geforderten Security-Architekturen. Diese werden von der Norm nicht weiter spezifiziert, aber von der Guidance konkret in vier verschiedene Architekturen mit genauen Forderungen aufgeteilt.
Wesentliche Unterschiede der FDA Guidance zur EN IEC 81001-5-1 umfassen maßgeblich:
- Konkrete Forderungen zur Dokumentation der Software-Stückliste (Software Bill of Material – SBOM)
- Konkrete Forderungen zum Risikomanagement für Cybersicherheit inkl. dem Bedrohungsmodel (Threat Model)
- Konkrete Forderungen zur Interoperabilität von Medizinprodukten
- Konkrete Forderungen, welche Kontrollmaßnahmen implementiert werden sollten
Die FDA Guidance ist somit eine außerordentlich gute Ergänzung zur EN IEC 81001-5-1. Und nicht nur das: Die FDA erkennt die EN IEC 81001-5-1 ebenfalls als Norm an und hat diese mit in ihre Liste der Recognized Consensus Standards aufgenommen.
NIS-2 – Die Zukunft ist jetzt
Am 27. Dezember 2022 wurde die NIS-2 Richtlinie der Europäischen Union veröffentlicht, welche das Bestreben hat, die Cyberresilienz innerhalb der Union zu vereinheitlichen und auf ein höheres Sicherheitsniveau zu bringen. Diese Richtlinie tritt am 18. Oktober 2024 offiziell in Kraft und muss bis dahin zwangsweise in nationales Recht überführt werden. Der entsprechende Referentenentwurf liegt seit dem 07. Mai 2024 vor und der entsprechende Regierungsentwurf ist seit dem 24. Juli 2024 verabschiedet.
Was bedeutet die NIS-2 Richtlinie für Medizinproduktehersteller und für wen gilt sie?
Generell gilt die NIS-2 für alle Hersteller von Medizintechnik und In-Vitro Diagnostika. Zusätzlich müssen Unternehmen prüfen, ob sie in den Abschnitt C Abteilung 26, 27 oder 28 der NACE Rev. 2 fallen (NACE Rev. 2 – Statistical classification of economic activities – Products Manuals and Guidelines – Eurostat (europa.eu)). Außerdem sollten Unternehmen im Bereich von optischen und elektronischen Erzeugnissen, Laborgeräten, Messinstrumenten, Maschinen und elektrischer Ausrüstung prüfen, ob sie in den Anhang II der NIS-2 Richtlinie fallen. Dieser beschreibt potenziell kritische Sektoren, in welchen die Cybersicherheit gewährleistet werden muss. Insbesondere mit der neuen Anforderung der NIS-2 an eine cybersichere Lieferkette wird eine neue Anforderung an Medizintechnik-Unternehmen gestellt. Neben der bisherigen Qualitätsprüfung der Zulieferer muss nun auch geprüft werden, ob die Lieferkette Schwachstellen und Gefährdungen im Hinblick auf Cybersicherheit aufweist.
Anforderungen an das Risikomanagement – Was muss ich tun?
Die NIS-2 stellt klare Anforderungen an das Risikomanagement bezüglich Cybersicherheit. Im aktuellen Gesetzesentwurf werden diese Anforderungen in Kapitel 2 §30-42 widergespiegelt. Diese umfassen unter anderem:
- Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen (§ 30)
- Meldepflichten (32 §)
- Registrierungspflicht (§ 33)
- Unterrichtungspflichten (§ 35)
- Umsetzungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen (§ 38)
- Nationale Verbindungsstelle sowie zentrale Melde- und Anlaufstelle für besonders wichtige und wichtige Einrichtungen (§ 40)
Eine weitere Neuerung ist das aktive Einbinden der Geschäftsleitung in die geforderten Umsetzungen. Der § 38 verlangt folgendes von der Geschäftsleitung:
- Umsetzen und Überwachen der in § 30 beschriebenen Risikomanagementmaßnahmen
- Regelmäßiges Teilnehmen an Schulungen, um das Risikomanagement bewerten zu können
Zusammenfassend lässt sich sagen, dass die am 18. Oktober 2024 in Kraft tretende NIS-2 Richtlinie Medizintechnik-Unternehmen und Zulieferer vor eine Herausforderung stellt, die frühzeitig adressiert werden sollte, um die Qualität und die Sicherheit von Medizinprodukten zu gewährleisten.
Bitte beachten Sie, dass alle Angaben und Auflistungen nicht den Anspruch der Vollständigkeit haben, ohne Gewähr sind und der reinen Information dienen.