Mit der Einführung der MDR und IVDR haben sich die Anforderungen an die Sicherheit von Medizinprodukte, die an einen Netzwerk angeschlossen werden können, verstärkt. Unter den vielen Neuerungen, die mit dem Inkrafttreten der MDR und IVDR eingeführt werden, verstärken die beiden Verordnungen den Fokus der Gesetzgeber darauf, sicherzustellen, dass die auf dem EU-Markt in Verkehr gebrachten Geräte für die neuen technologischen Herausforderungen im Zusammenhang mit den Risiken der Internetsicherheit geeignet sind. Es werden unteranderem bestimmte neue grundlegende Sicherheitsanforderungen für alle medizinische Geräte festgelegt, die elektronische programmierbare Systeme und Software enthalten, die selbst medizinische Geräte sind. Von den Herstellern wird verlangt, dass sie ihre Produkte nach dem Stand der Technik entwickeln und herstellen, wobei sie die Grundsätze des Risikomanagements, einschließlich der Informationssicherheit, berücksichtigen, sowieMindestanforderungen an IT-Sicherheitsmaßnahmen, einschließlich des Schutzes vor unbefugtem Zugriff, festlegen.
Hersteller von Medizinprodukten werden nun unterstützt. Die MDCG (Medical Device Coordination Group) hat den Leitfaden „Guidance on Cybersecurity for Medical Devices“ veröffentlicht. Hierin wird genau erklärt, wie die Hersteller alle relevanten grundlegenden Anforderungen der Anlage I des MDR und der IVDR in Bezug auf die Cybersicherheit erfüllen können.
Auf EU-Ebene sind die folgenden Rechtsakte für die Cybersicherheit von medizinischen Geräten oder für Betreiber, die sich mit dem Schutz oder der Verarbeitung von in medizinischen Geräten gespeicherten persönlichen Daten befassen, relevant und könnten parallel zu den Vorschriften für medizinische Geräte gelten:
NISRichtlinie: sieht rechtliche Maßnahmen vor, um das allgemeine Niveau der Cybersicherheit in der EU zu erhöhen;
GDPR (Allgemeine Datenschutzverordnung): regelt und schützt die Verarbeitung personenbezogener Daten durch eine Person, ein Unternehmen oder eine Organisation, die sich auf Personen in der EU bezieht.
EU Cybersecurity Act (EUCybersicherheitsgesetz): die Zertifizierung der Cybersicherheit für IKT-Produkte, -Dienstleistungen und -Prozesse
Der Zusammenhang von diesen Vorschriften und der im Anhang I der MDR aufgeführten Anforderungen an die Cybersicherheit ist in der nächsten Abbildung dargestellt (Quelle: MDCG 2019-16):
Der Hersteller wird aufgefordert, bei der Gestaltung, Entwicklung und Verbesserung von Medizinprodukten während ihres gesamten Lebenszyklus den Stand der Technik zu berücksichtigen und nachzuweisen.
Sicherheit, Schutz und Wirksamkeit sind kritische Aspekte bei der Gestaltung von Sicherheitsmechanismen für medizinische Geräte und In-vitro-Diagnostika, die von den Herstellern bereits in einem frühen Stadium des Entwicklungs- und Herstellungsprozesses und während des gesamten Lebenszyklus berücksichtigt werden müssen.
“Secure by design”
Die vom MDCG als Grundlage vorgeschlagene Schlüsselphilosophie der gestaffelten Sicherheitskonzept-Strategie („Defence in depth strategy“) sieht wie folgt aus:
(Quelle MDCG 2019-16)
“Security management” – stellt sicher, dass alle Prozessschritte befolgt und verwaltet werden und dass die sicherheitsbezogenen Aktivitäten während des gesamten Produktlebenszyklus angemessen geplant, dokumentiert und ausgeführt werden.
„Specification of security requirements” identifiziert die Sicherheitsfähigkeiten, die für einen angemessenen Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Daten u.ä. des medizinischen Geräts zusammen mit dem spezifizierten Produktsicherheitskontext erforderlich sind (z.B. Authentifizierung, Autorisierung, Verschlüsselung, usw.).
„Security by design“ stellt sicher, dass das Produkt die konzeptionsintegrierte Sicherheit aufweist.
„Secure implementation“ stellt sicher, dass die Produktmerkmale aller (außer externen) Hardware- und Softwarekomponenten sicher implementiert werden.
„Security V&V testing“ führt die Dokumentation der Sicherheitstests durch.
„Security guidelines“ erstellt und pflegt die Benutzerdokumentation des Produkt-Sicherheitskonzeptes.
Zusätzlich zu diesen Kern-Prozessschritten werden noch zwei weitere hinzugefügt:
„Management von sicherheitsbezogenen Fragen” und „Security update management“, stellen sicher, dass die Sicherheitsupdates und Sicherheitspatches auf Regressionen getestet und den Produktnutzern rechtzeitig zur Verfügung gestellt werden.
Security Risk Management/Sicherheitsrisikomanagement
Eine Sicherheitsrisikoanalyse des Produkts sollte die Auswirkungen von Sicherheitsschwachstellen auf die wesentliche Funktion des Produkts berücksichtigen. Die Sicherheitsrisikoanalyse könnte generische sicherheitsbezogene Gefahren auflisten, die für das Produkt identifiziert wurden.
Sicherheitsfunktionen
Die Liste der bekannten Schwachstellen und Angriffsvektoren ist die Grundlage für die Festlegung der Sicherheitsfunktionen, die je nach Risikomanagement für einen angemessenen Schutz der Vertraulichkeit, Integrität, Verfügbarkeit von Daten, Funktion und Diensten des medizinischen Geräts zusammen mit dem spezifizierten Produktsicherheitskontext erforderlich sind.
Bewertung des Sicherheitsrisikos
Bei der Auswahl der Sicherheitsfunktionen als Schutzmaßnahmen sollte der Hersteller bei der Bestimmung des angemessenen Gleichgewichts zwischen Sicherheit, Wirksamkeit und Schutz die beabsichtigte klinische Verwendung des Geräts und die vorgesehene Betriebsumgebung berücksichtigen. Achtung: Es gibt viele Schwachstellen, von denen die meisten unbekannt sind. Eine identifizierte Schwachstelle wird als „vorhersehbar“ angesehen.
Analyse des Sicherheitsnutzens und des Risikos
Es wird eine allgemeine Nutzen-Risiko-Analyse auf der Grundlage der beabsichtigten Verwendung und der möglichen Sicherheits- und Leistungsauswirkungen unter Verwendung der Sicherheitsrisiko-Bewertung durchgeführt, die die sicherheitsbezogenen Gefahrenkategorien einschließt.
IT-Mindestanforderungen
Der Hersteller muss die Mindestanforderungen an die Betriebsumgebung in Bezug auf IT-Netzwerkeigenschaften und IT-Sicherheitsmaßnahmen, die nicht durch das Produktdesign umgesetzt werden konnten, festlegen.
Das medizinische Gerät sollte in Bezug auf die IT-Sicherheit so autonom wie möglich sein.
Die Annahmen des Herstellers bezüglich der IT-Sicherheit der Betriebsumgebung müssen in der Gebrauchsanweisung klar dokumentiert werden.
In Fällen, in denen das medizinische Gerät auf die Betriebsumgebung angewiesen ist, um wichtige IT-Sicherheitskontrollen durchzuführen, sollte dies in der begleitenden technischen Dokumentation angegeben werden.
IT-Sicherheitsanforderungen für die Betriebsumgebung:
MDCG schlägt folgende Liste mit möglichen IT-Sicherheitsanforderungen an die Betriebsumgebung vor:
Einhaltung der nationalen und EU-Vorschriften (z.B. GDPR)
Gewährleistung der physischen Sicherheit des Medizinproduktes durch Sicherheitsmaßnahmen
Angemessene Sicherheitskontrollen
Gewährleistung der Kontrolle und Sicherheit des Netzwerkverkehrs durch geeignete Maßnahmen
Sicherheitsmaßnahmen speziell für die mit dem Medizingerät verbundenen Arbeitsstationen
Maßnahmen zur Begrenzung der Ausbreitung eines Angriffs auf ein komplexes System, das mehrere medizinische Geräte und andere Systeme integriert
Vorkehrungen für das Patch-Management
Elemente der Betriebsumgebung, die mit anderen Geräten interagieren (z.B. andere Geräte) oder für den Betrieb von Medizinprodukten (z.B. OS) erforderlich sind, sollten die Interoperabilität gewährleisten und dürfen die spezifizierte Leistung des Medizinproduktes nicht beeinträchtigen.
Weitere beispielhafte IT-Sicherheitsanforderungen sind im Kapitel 7 der MDCG 2019-16 aufgeführt.
Lebenszyklus-Aspekte
Während der Lebensdauer des Geräts sollte der Hersteller ein Verfahren zur Sammlung von Informationen über die Sicherheit des Geräts nach dem Inverkehrbringen einführen.
Dieser Prozess sollte Folgendes berücksichtigen:
Sicherheitsvorfälle, die in direktem Zusammenhang mit der Software des medizinischen Geräts stehen;
Sicherheitslücken, die mit der Hardware/Software des medizinischen Geräts und der mit dem medizinischen Gerät verwendeten Hardware/Software von Drittanbietern zusammenhängen;
Änderungen in der Bedrohungslandschaft, einschließlich der Aspekte der Interoperabilität.
Der Hersteller sollte die so gesammelten Informationen auswerten, das damit verbundene Sicherheitsrisiko bewerten und geeignete Maßnahmen ergreifen, die das mit solchen Sicherheitsvorfällen oder Schwachstellen verbundene Risiko kontrollieren.
Gebrauchsanweisung
Der Hersteller muss folgende Informationen dem Benutzer des Medizingerätes bereitstellen:
Informationen über die Risikobewertung der ITSicherheitsrisiken
Spezifikationen des Betriebssystems
Bestimmungen zur Sicherstellung der Integrität/Validierung von SoftwareUpdates und Sicherheitspatches
Optionen für die Sicherheitskonfiguration
Produktinstallation
Richtlinien für die Erstkonfiguration
Schrittfür-Schritt-Anweisungen für die Bereitstellung von Sicherheitsupdates
Verfahren zur Verwendung des Medizingeräts im FailsafeModus
Dokumentierter Aktionsplan, den der Benutzer im Falle einer Warnmeldung befolgen muss
Benutzeranforderungen in Bezug auf Ausbildung / erforderliche Fähigkeiten, einschließlich der erforderlichen ITKenntnisse
Mindestanforderungen an die für den Benutzerbetrieb vorgesehenen Arbeitsstationen: HardwareEigenschaften, Betriebssystemversionen, Peripheriegeräte usw.
Mindestanforderungen an die Plattform für das festangeschlossene Medizingerät: HardwareEigenschaften, Betriebssystemversionen, Middleware und Treiber, Peripheriegeräte usw.
Annahmen über die Nutzungsumgebung
Risiken für den Gerätebetrieb außerhalb der vorgesehenen Betriebsumgebung
Empfohlene ITSicherheitskontrollen für die Betriebsumgebung (z.B. Virenschutz, Firewall)
Beschreibung der Sicherungs und Wiederherstellungsfunktionen für Daten und Konfigurationseinstellungen
Die folgende spezifische Sicherheitsinformationen können auch über weitere Begleitdokumente (z.B. Sicherheitsbetriebhandbuch, Service-Handbuch, usw.) bereitgestellt werden:
Liste der ITSicherheitskontrollen, die im Medizingerät enthalten sind
Je nach Art des Produkts, Bestimmungen zur Sicherstellung der Integrität/Validierung von SoftwareUpdates und Sicherheitspatches
Technische Eigenschaften von HardwareKomponenten
SoftwareStückliste
Benutzerrollen und entsprechende Zugriffsprivilegien/Berechtigungen auf dem Gerät
Implementierung der Protokollierungsfunktion, insbesondere der Protokollspeicherkapazität und der Empfehlungen zur Sicherung und Verwendung der Protokolle
Einführung eines Produktionssystems einschließlich Richtlinien zu Sicherheitsempfehlungen und Anforderungen bezüglich der Integration des Medizingeräts in ein Gesundheitsinformationssystem
Systembetrieb, Verwaltung, Überwachung und Betriebsunterstützung
Mindestanforderungen an den Verwaltungsarbeitsplatz für das festangeschlossene Medizingerät: HardwareEigenschaften, Betriebssystemversionen, Middleware und Treiber, Peripheriegeräte usw.
Im Falle von netzwerkverbundenen Medizingeräten sollte die Dokumentation eine umfassende Matrix der Netzwerkdatenströme enthalten (Protokolltypen, Ursprungs/Zielort der Datenströme, Adressierungsschema, etc.)
Wenn die Betriebsumgebung nicht ausschließlich lokal ist, sondern externe HostingProvider einschließt, muss die Dokumentation klar angeben, was, wo und wie die Daten gespeichert sind, sowie alle Sicherheitskontrollen zum Schutz der Daten in der Cloud-Umgebung (z.B. Verschlüsselung)
Spezifische Konfigurationsanforderungen für die Betriebsumgebung, wie z.B. FirewallRegeln
Informationen für Gesundheitsdienstleister
Der Hersteller muss den Gesundheitsdiensleistern folgende Informationen hinsichtlich der Cybersicherheit bereitstellen:
Gebrauchsanweisungen für Geräte und Produktspezifikationen in Bezug auf empfohlene CyberSicherheitskontrollen
Beschreibung von Gerätefunktionen, die kritische Funktionen schützen, auch wenn die Cybersicherheit des Geräts beeinträchtigt ist
Beschreibung von Sicherungs und Wiederherstellungsfunktionen und -verfahren zur Wiederherstellung von Konfigurationen
Spezifische Hinweise für Benutzer hinsichtlich der Anforderungen an die unterstützende Infrastruktur, damit das Gerät wie vorgesehen funktionieren kann
Beschreibung, wie das Gerät durch eine sichere Konfiguration geschützt werden kann
Liste der Netzwerkports und anderer Schnittstellen, von denen erwartet wird, dass sie Daten empfangen/versenden, sowie eine Beschreibung der PortFunktionalität und ob es sich um eingehende oder ausgehende Ports handelt
Ausreichend detaillierte Netzwerkdiagramme für Endbenutzer
Gegebenenfalls technische Anweisungen, die eine sichere (verbundene) Bereitstellung und Wartung des Netzwerks ermöglichen, sowie Anweisungen für die Benutzer, wie sie auf die Erkennung einer Cybersicherheitslücke oder eines Vorfalls reagieren sollen
Gegebenenfalls Risiken bei der Verwendung des medizinischen Geräts außerhalb der vorgesehenen Anwendungsumgebung
Post-Market Surveillance and Vigilance
Der Hersteller ist verpflichtet, ein System der Überwachung nach dem Inverkehrbringen (PMS) einzurichten und diese PMS aktiv auf dem neuesten Stand zu halten. Überlegungen zur Cybersicherheit von Medizinprodukten sollten Teil dieses PMS-Systems sein.
Je nach Klasse des Geräts wird ein PMS-Bericht oder ein PSUR-Bericht erstellt, der die Ergebnisse und Schlussfolgerungen der Analyse aller Daten aus dem Markt zusammenfasst.
Ein wirksames und erfolgreiches Überwachungsprogramm für die Cybersicherheit nach dem Inverkehrbringen sollte unteranderem die folgenden Aspekte umfassen:
Betrieb des Gerätes in der vorgesehenen Umgebung
Austausch und Verbreitung von Informationen und Wissen über Schwachstellen und Bedrohungen der Cybersicherheit in verschiedenen Sektoren
Schwachstellenbehebung
Reaktion auf einen Vorfall
Verbesserung der Sicherheitsfähigkeiten
Aktualisierung der ursprünglichen Sicherheitsrisikobewertung
Aktualisierung der ursprünglichen Risikoanalyse zum Sicherheitsnutzen
Die Hersteller führen Untersuchungen zu schwerwiegenden Vorkommnissen im Zusammenhang mit einem Cybersicherheitsvorfall durch, um eine umfassende Beschreibung des schweren Vorfalls zu erhalten, einschließlich
eine Beschreibung des schwerwiegenden Vorkommnisses einschließlich aller relevanten Informationen, die das Verständnis oder die Bewertung des ernsten Vorfalls beeinflussen könnten, d.h. Informationen sind kompromittiert oder Informationen sind bedroht;
eine Beschreibung der gesundheitlichen Auswirkungen (falls zutreffend), d.h. klinische Anzeichen, Symptome, Zustände sowie die allgemeinen gesundheitlichen Auswirkungen.
Vorkommnisse, deren Ursachen im Zusammenhang mit der Cybersicherheit stehen, unterliegen der Trendberichterstattung gemäß der MDR.
Im Rahmen des Trendberichts ist der Hersteller verpflichtet, Folgendes zu spezifizieren:
die Methodik zur Bestimmung jeder statistisch signifikanten Zunahme der Häufigkeit oder des Schweregrades;
wie mit den Vorfällen umgegangen werden soll;
den Beobachtungszeitraum.
Die Verwendung von IMDRF-Codes zur Indizierung der medizinischen Grundursachen der Cybersicherheit im Zusammenhang mit nicht schwerwiegenden Vorfällen ist wünschenswert und kann in den Trendbericht aufgenommen werden. IMDRF führt eine Liste mit den identifizierten Cybersicherheitszwischenfällen – „Annex A: IMDRF terminologies for categorized Adverse Event Reporting (AER): terms, terminology structure and codes“ und „Annex C Investigation Findings“.
Beispiele für Cybersicherheitsvorfälle/Schwerwiegende-Zwischenfälle sind im Kapitel 8 der MDCG 2019-16 aufgeführt.
Weitere Empfehlungen und Vorgaben in Deutschland
Die Anforderungen der MDR, die Cybersecurity betreffen, sind im Anhang I definiert:
Kapitel I Nr.1: Anforderungen an die Sicherheit des Produkts
Kapitel I Nr.3b: Risikomanagement u.a. zur Identifikation und Analyse bekannter und vorhersehbarer Gefährdungen
Kapitel I Nr.4: Maßnahmen zur Risikokontrolle
Kapitel II Nr. 14.2 d: Minderung der Risiken im Zusammenhang mit der möglichen negativen Wechselwirkung zwischen Software und ITUmgebung
Kapitel II Nr. 17.1: Wiederholbarkeit, Zuverlässigkeit und Leistung des Programmierbaren Elektroniksystems
Kapitel II Nr. 17.2: Softwareentwicklung entsprechend dem Stand der Technik
Kapitel II Nr. 17.4: Festlegung der Mindestanforderungen bezüglich Hardware, Eigenschaften von ITNetzen und IT-Sicherheitsmaßnahmen einschließlich des Schutzes vor unbefugtem Zugriff
Kapitel III Nr. 23.4: Angaben in der Gebrauchsanweisung
Das Bundesamt für Sicherheit in der Informationstechnik – BSI – hat im Jahr 2018 eine Empfehlung an die Hersteller zu Cyber-Sicherheitsanforderungen an netzwerkfähige Medizinprodukte veröffentlicht.
Sicherheitspatches zum Verhindern von Tod oder schwerwiegender Verschlechterung des Gesundheitszustands durch IT-Sicherheitslücken sind meldepflichtige korrektive Maßnahmen gemäß der MPSV aber auch gegenüber dem Bundesministerium der Justiz und für den Verbraucherschutz.
Beim Bundesinstitut für Arzneimittel und Medizinprodukte – BfArM gibt es eine spezielle Webseite zur Cybersicherheit von Medizinprodukten, auf der die relevanten korrektiven Maßnahmen von den Herstellern und weitere wichtige Informationen und Empfehlungen zur Cybersicherheit aufgelistet werden.
Bedenken Sie auch die Anforderungen, die sich aus der Normenreihe IEC 60601 „Medizinische elektrische Geräte„ für netzwerkgebundene Geräte ergeben, Details zu dieser Norm finden Sie auch in unserem Blogbeitrag „Sicherheit aktiver Medizinprodukte & die IEC 60601“
Cybersecurity beginnt beim Entwicklungsprozess
Die regulatorischen Anforderungen an Cybersicherheit von Medizinprodukten müssen während des gesamten Produktlebenszyklus gewährleistet sein. Für Hersteller bedeutet das, dass sie im Rahmen ihres Risikomanagementsystems Prozesse implementieren müssen:
Sicherstellung der Patienten und Anwenderinformationen
Manipulationsschutz von Software
Produktbeobachtung und nachverfolgung am Markt
Stetige Anpassung der Cybersecurity an den Stand der ITTechnik
Die Entwicklung des Sicherheitskonzepts beginnt also bereits im Entwicklungsprozess des Produkts und sollte ein stetiger Begleiter während des Produktlebenszyklus sein.
Falls Sie mit den Vorgehensweisen der Hackerszene nicht bekannt sind, können Sie sich gerne vertrauensvoll an die Regualtory Affairs Experten der seleon wenden. Gemeinsam mit Ihnen schließen wir Ihre Sicherheitslücken.
Bitte beachten Sie, dass alle Angaben und Auflistungen nicht den Anspruch der Vollständigkeit haben, ohne Gewähr sind und der reinen Information dienen.