Mit der Einführung der MDR und IVDR haben sich die Anforderungen an die Sicherheit von Medizinprodukte, die an einen Netzwerk angeschlossen werden können, verstärkt. Unter den vielen Neuerungen, die mit dem Inkrafttreten der MDR und IVDR eingeführt werden, verstärken die beiden Verordnungen den Fokus der Gesetzgeber darauf, sicherzustellen, dass die auf dem EU-Markt in Verkehr gebrachten Geräte für die neuen technologischen Herausforderungen im Zusammenhang mit den Risiken der Internetsicherheit geeignet sind. Es werden unteranderem bestimmte neue grundlegende Sicherheitsanforderungen für alle medizinische Geräte festgelegt, die elektronische programmierbare Systeme und Software enthalten, die selbst medizinische Geräte sind. Von den Herstellern wird verlangt, dass sie ihre Produkte nach dem Stand der Technik entwickeln und herstellen, wobei sie die Grundsätze des Risikomanagements, einschließlich der Informationssicherheit, berücksichtigen, sowieMindestanforderungen an IT-Sicherheitsmaßnahmen, einschließlich des Schutzes vor unbefugtem Zugriff, festlegen.

Hersteller von Medizinprodukten werden nun unterstützt.  Die MDCG (Medical Device Coordination Group) hat den Leitfaden „Guidance on Cybersecurity for Medical Devices“ veröffentlicht. Hierin wird genau erklärt, wie die Hersteller alle relevanten grundlegenden Anforderungen der Anlage I des MDR und der IVDR in Bezug auf die Cybersicherheit erfüllen können.

Auf EU-Ebene sind die folgenden Rechtsakte für die Cybersicherheit von medizinischen Geräten oder für Betreiber, die sich mit dem Schutz oder der Verarbeitung von in medizinischen Geräten gespeicherten persönlichen Daten befassen, relevant und könnten parallel zu den Vorschriften für medizinische Geräte gelten:

  • NISRichtlinie: sieht rechtliche Maßnahmen vor, um das allgemeine Niveau der Cybersicherheit in der EU zu erhöhen;

  • GDPR (Allgemeine Datenschutzverordnung): regelt und schützt die Verarbeitung personenbezogener Daten durch eine Person, ein Unternehmen oder eine Organisation, die sich auf Personen in der EU bezieht.

  • EU Cybersecurity Act (EUCybersicherheitsgesetz): die Zertifizierung der Cybersicherheit für IKT-Produkte, -Dienstleistungen und -Prozesse

Der Zusammenhang von diesen Vorschriften und der im Anhang I der MDR aufgeführten Anforderungen an die Cybersicherheit ist in der nächsten Abbildung dargestellt (Quelle: MDCG  2019-16):

Der Hersteller wird aufgefordert, bei der Gestaltung, Entwicklung und Verbesserung von Medizinprodukten während ihres gesamten Lebenszyklus den Stand der Technik zu berücksichtigen und nachzuweisen.

Sicherheit, Schutz und Wirksamkeit sind kritische Aspekte bei der Gestaltung von Sicherheitsmechanismen für medizinische Geräte und In-vitro-Diagnostika, die von den Herstellern bereits in einem frühen Stadium des Entwicklungs- und Herstellungsprozesses und während des gesamten Lebenszyklus berücksichtigt werden müssen.

“Secure by design”

Die vom MDCG als Grundlage vorgeschlagene Schlüsselphilosophie der gestaffelten Sicherheitskonzept-Strategie („Defence in depth strategy“) sieht wie folgt aus:

(Quelle MDCG 2019-16)

  • “Security management” – stellt sicher, dass alle Prozessschritte befolgt und verwaltet werden und dass die sicherheitsbezogenen Aktivitäten während des gesamten Produktlebenszyklus angemessen geplant, dokumentiert und ausgeführt werden.

  • „Specification of security requirements” identifiziert die Sicherheitsfähigkeiten, die für einen angemessenen Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Daten u.ä. des medizinischen Geräts zusammen mit dem spezifizierten Produktsicherheitskontext erforderlich sind (z.B. Authentifizierung, Autorisierung, Verschlüsselung, usw.).

  • „Security by design“ stellt sicher, dass das Produkt die konzeptionsintegrierte Sicherheit aufweist.

  • „Secure implementation“ stellt sicher, dass die Produktmerkmale aller (außer externen) Hardware- und Softwarekomponenten sicher implementiert werden.

  • „Security V&V testing“ führt die Dokumentation der Sicherheitstests durch.

  • „Security guidelines“ erstellt und pflegt die Benutzerdokumentation des Produkt-Sicherheitskonzeptes.

Zusätzlich zu diesen Kern-Prozessschritten werden noch zwei weitere hinzugefügt:

„Management von sicherheitsbezogenen Fragen” und „Security update management“, stellen sicher, dass die Sicherheitsupdates und Sicherheitspatches auf Regressionen getestet und den Produktnutzern rechtzeitig zur Verfügung gestellt werden.

Security Risk Management/Sicherheitsrisikomanagement

Eine Sicherheitsrisikoanalyse des Produkts sollte die Auswirkungen von Sicherheitsschwachstellen auf die wesentliche Funktion des Produkts berücksichtigen. Die Sicherheitsrisikoanalyse könnte generische sicherheitsbezogene Gefahren auflisten, die für das Produkt identifiziert wurden.

Sicherheitsfunktionen

Die Liste der bekannten Schwachstellen und Angriffsvektoren ist die Grundlage für die Festlegung der Sicherheitsfunktionen, die je nach Risikomanagement für einen angemessenen Schutz der Vertraulichkeit, Integrität, Verfügbarkeit von Daten, Funktion und Diensten des medizinischen Geräts zusammen mit dem spezifizierten Produktsicherheitskontext erforderlich sind.

Bewertung des Sicherheitsrisikos

Bei der Auswahl der Sicherheitsfunktionen als Schutzmaßnahmen sollte der Hersteller bei der Bestimmung des angemessenen Gleichgewichts zwischen Sicherheit, Wirksamkeit und Schutz die beabsichtigte klinische Verwendung des Geräts und die vorgesehene Betriebsumgebung berücksichtigen. Achtung: Es gibt viele Schwachstellen, von denen die meisten unbekannt sind. Eine identifizierte Schwachstelle wird als „vorhersehbar“ angesehen.

Analyse des Sicherheitsnutzens und des Risikos

Es wird eine allgemeine Nutzen-Risiko-Analyse auf der Grundlage der beabsichtigten Verwendung und der möglichen Sicherheits- und Leistungsauswirkungen unter Verwendung der Sicherheitsrisiko-Bewertung durchgeführt, die die sicherheitsbezogenen Gefahrenkategorien einschließt.

IT-Mindestanforderungen

Der Hersteller muss die Mindestanforderungen an die Betriebsumgebung in Bezug auf IT-Netzwerkeigenschaften und IT-Sicherheitsmaßnahmen, die nicht durch das Produktdesign umgesetzt werden konnten, festlegen.

Das medizinische Gerät sollte in Bezug auf die IT-Sicherheit so autonom wie möglich sein.

Die Annahmen des Herstellers bezüglich der IT-Sicherheit der Betriebsumgebung müssen in der Gebrauchsanweisung klar dokumentiert werden.

In Fällen, in denen das medizinische Gerät auf die Betriebsumgebung angewiesen ist, um wichtige IT-Sicherheitskontrollen durchzuführen, sollte dies in der begleitenden technischen Dokumentation angegeben werden.

IT-Sicherheitsanforderungen für die Betriebsumgebung:

MDCG schlägt folgende Liste mit möglichen IT-Sicherheitsanforderungen an die Betriebsumgebung vor:

  • Einhaltung der nationalen und EU-Vorschriften (z.B. GDPR)

  • Gewährleistung der physischen Sicherheit des Medizinproduktes durch Sicherheitsmaßnahmen

  • Angemessene Sicherheitskontrollen

  • Gewährleistung der Kontrolle und Sicherheit des Netzwerkverkehrs durch geeignete Maßnahmen

  • Sicherheitsmaßnahmen speziell für die mit dem Medizingerät verbundenen Arbeitsstationen

  • Maßnahmen zur Begrenzung der Ausbreitung eines Angriffs auf ein komplexes System, das mehrere medizinische Geräte und andere Systeme integriert

  • Vorkehrungen für das Patch-Management

  • Elemente der Betriebsumgebung, die mit anderen Geräten interagieren (z.B. andere Geräte) oder für den Betrieb von Medizinprodukten (z.B. OS) erforderlich sind, sollten die Interoperabilität gewährleisten und dürfen die spezifizierte Leistung des Medizinproduktes nicht beeinträchtigen.

Weitere beispielhafte IT-Sicherheitsanforderungen sind im Kapitel 7 der MDCG 2019-16 aufgeführt.

Lebenszyklus-Aspekte

Während der Lebensdauer des Geräts sollte der Hersteller ein Verfahren zur Sammlung von Informationen über die Sicherheit des Geräts nach dem Inverkehrbringen einführen.

Dieser Prozess sollte Folgendes berücksichtigen:

  1. Sicherheitsvorfälle, die in direktem Zusammenhang mit der Software des medizinischen Geräts stehen;

  2. Sicherheitslücken, die mit der Hardware/Software des medizinischen Geräts und der mit dem medizinischen Gerät verwendeten Hardware/Software von Drittanbietern zusammenhängen;

  3. Änderungen in der Bedrohungslandschaft, einschließlich der Aspekte der Interoperabilität.

Der Hersteller sollte die so gesammelten Informationen auswerten, das damit verbundene Sicherheitsrisiko bewerten und geeignete Maßnahmen ergreifen, die das mit solchen Sicherheitsvorfällen oder Schwachstellen verbundene Risiko kontrollieren.

Gebrauchsanweisung

Der Hersteller muss folgende Informationen dem Benutzer des Medizingerätes bereitstellen:

  • Informationen über die Risikobewertung der ITSicherheitsrisiken

  • Spezifikationen des Betriebssystems

  • Bestimmungen zur Sicherstellung der Integrität/Validierung von SoftwareUpdates und Sicherheitspatches

  • Optionen für die Sicherheitskonfiguration

  • Produktinstallation

  • Richtlinien für die Erstkonfiguration

  • Schrittfür-Schritt-Anweisungen für die Bereitstellung von Sicherheitsupdates

  • Verfahren zur Verwendung des Medizingeräts im FailsafeModus

  • Dokumentierter Aktionsplan, den der Benutzer im Falle einer Warnmeldung befolgen muss

  • Benutzeranforderungen in Bezug auf Ausbildung / erforderliche Fähigkeiten, einschließlich der erforderlichen ITKenntnisse

  • Mindestanforderungen an die für den Benutzerbetrieb vorgesehenen Arbeitsstationen: HardwareEigenschaften, Betriebssystemversionen, Peripheriegeräte usw.

  • Mindestanforderungen an die Plattform für das festangeschlossene Medizingerät: HardwareEigenschaften, Betriebssystemversionen, Middleware und Treiber, Peripheriegeräte usw.

  • Annahmen über die Nutzungsumgebung

  • Risiken für den Gerätebetrieb außerhalb der vorgesehenen Betriebsumgebung

  • Empfohlene ITSicherheitskontrollen für die Betriebsumgebung (z.B. Virenschutz, Firewall)

  • Beschreibung der Sicherungs und Wiederherstellungsfunktionen für Daten und Konfigurationseinstellungen

Die folgende spezifische Sicherheitsinformationen können auch über weitere Begleitdokumente (z.B. Sicherheitsbetriebhandbuch, Service-Handbuch, usw.) bereitgestellt werden:

  • Liste der ITSicherheitskontrollen, die im Medizingerät enthalten sind

  • Je nach Art des Produkts, Bestimmungen zur Sicherstellung der Integrität/Validierung von SoftwareUpdates und Sicherheitspatches

  • Technische Eigenschaften von HardwareKomponenten

  • SoftwareStückliste

  • Benutzerrollen und entsprechende Zugriffsprivilegien/Berechtigungen auf dem Gerät

  • Implementierung der Protokollierungsfunktion, insbesondere der Protokollspeicherkapazität und der Empfehlungen zur Sicherung und Verwendung der Protokolle

  • Einführung eines Produktionssystems einschließlich Richtlinien zu Sicherheitsempfehlungen und Anforderungen bezüglich der Integration des Medizingeräts in ein Gesundheitsinformationssystem

  • Systembetrieb, Verwaltung, Überwachung und Betriebsunterstützung

  • Mindestanforderungen an den Verwaltungsarbeitsplatz für das festangeschlossene Medizingerät: HardwareEigenschaften, Betriebssystemversionen, Middleware und Treiber, Peripheriegeräte usw.

  • Im Falle von netzwerkverbundenen Medizingeräten sollte die Dokumentation eine umfassende Matrix der Netzwerkdatenströme enthalten (Protokolltypen, Ursprungs/Zielort der Datenströme, Adressierungsschema, etc.)

  • Wenn die Betriebsumgebung nicht ausschließlich lokal ist, sondern externe HostingProvider einschließt, muss die Dokumentation klar angeben, was, wo und wie die Daten gespeichert sind, sowie alle Sicherheitskontrollen zum Schutz der Daten in der Cloud-Umgebung (z.B. Verschlüsselung)

  • Spezifische Konfigurationsanforderungen für die Betriebsumgebung, wie z.B. FirewallRegeln

Informationen für Gesundheitsdienstleister

Der Hersteller muss den Gesundheitsdiensleistern folgende Informationen hinsichtlich der Cybersicherheit bereitstellen:

  • Gebrauchsanweisungen für Geräte und Produktspezifikationen in Bezug auf empfohlene CyberSicherheitskontrollen

  • Beschreibung von Gerätefunktionen, die kritische Funktionen schützen, auch wenn die Cybersicherheit des Geräts beeinträchtigt ist

  • Beschreibung von Sicherungs und Wiederherstellungsfunktionen und -verfahren zur Wiederherstellung von Konfigurationen

  • Spezifische Hinweise für Benutzer hinsichtlich der Anforderungen an die unterstützende Infrastruktur, damit das Gerät wie vorgesehen funktionieren kann

  • Beschreibung, wie das Gerät durch eine sichere Konfiguration geschützt werden kann

  • Liste der Netzwerkports und anderer Schnittstellen, von denen erwartet wird, dass sie Daten empfangen/versenden, sowie eine Beschreibung der PortFunktionalität und ob es sich um eingehende oder ausgehende Ports handelt

  • Ausreichend detaillierte Netzwerkdiagramme für Endbenutzer

  • Gegebenenfalls technische Anweisungen, die eine sichere (verbundene) Bereitstellung und Wartung des Netzwerks ermöglichen, sowie Anweisungen für die Benutzer, wie sie auf die Erkennung einer Cybersicherheitslücke oder eines Vorfalls reagieren sollen

  • Gegebenenfalls Risiken bei der Verwendung des medizinischen Geräts außerhalb der vorgesehenen Anwendungsumgebung

Post-Market Surveillance and Vigilance

Der Hersteller ist verpflichtet, ein System der Überwachung nach dem Inverkehrbringen (PMS) einzurichten und diese PMS aktiv auf dem neuesten Stand zu halten. Überlegungen zur Cybersicherheit von Medizinprodukten sollten Teil dieses PMS-Systems sein.

Je nach Klasse des Geräts wird ein PMS-Bericht oder ein PSUR-Bericht erstellt, der die Ergebnisse und Schlussfolgerungen der Analyse aller Daten aus dem Markt zusammenfasst.

Ein wirksames und erfolgreiches Überwachungsprogramm für die Cybersicherheit nach dem Inverkehrbringen sollte unteranderem die folgenden Aspekte umfassen:

  • Betrieb des Gerätes in der vorgesehenen Umgebung

  • Austausch und Verbreitung von Informationen und Wissen über Schwachstellen und Bedrohungen der Cybersicherheit in verschiedenen Sektoren

  • Schwachstellenbehebung

  • Reaktion auf einen Vorfall

  • Verbesserung der Sicherheitsfähigkeiten

  • Aktualisierung der ursprünglichen Sicherheitsrisikobewertung

  • Aktualisierung der ursprünglichen Risikoanalyse zum Sicherheitsnutzen

Die Hersteller führen Untersuchungen zu schwerwiegenden Vorkommnissen im Zusammenhang mit einem Cybersicherheitsvorfall durch, um eine umfassende Beschreibung des schweren Vorfalls zu erhalten, einschließlich

  1. eine Beschreibung des schwerwiegenden Vorkommnisses einschließlich aller relevanten Informationen, die das Verständnis oder die Bewertung des ernsten Vorfalls beeinflussen könnten, d.h. Informationen sind kompromittiert oder Informationen sind bedroht;

  2. eine Beschreibung der gesundheitlichen Auswirkungen (falls zutreffend), d.h. klinische Anzeichen, Symptome, Zustände sowie die allgemeinen gesundheitlichen Auswirkungen.

Vorkommnisse, deren Ursachen im Zusammenhang mit der Cybersicherheit stehen, unterliegen der Trendberichterstattung gemäß der MDR.

Im Rahmen des Trendberichts ist der Hersteller verpflichtet, Folgendes zu spezifizieren:

  • die Methodik zur Bestimmung jeder statistisch signifikanten Zunahme der Häufigkeit oder des Schweregrades;

  • wie mit den Vorfällen umgegangen werden soll;

  • den Beobachtungszeitraum.

Die Verwendung von IMDRF-Codes zur Indizierung der medizinischen Grundursachen der Cybersicherheit im Zusammenhang mit nicht schwerwiegenden Vorfällen ist wünschenswert und kann in den Trendbericht aufgenommen werden. IMDRF führt eine Liste mit den identifizierten Cybersicherheitszwischenfällen – „Annex A: IMDRF terminologies for categorized Adverse Event Reporting (AER): terms, terminology structure and codes“ und „Annex C Investigation Findings“.

Beispiele für Cybersicherheitsvorfälle/Schwerwiegende-Zwischenfälle sind im Kapitel 8 der MDCG 2019-16 aufgeführt.

Weitere Empfehlungen und Vorgaben in Deutschland

Die Anforderungen der MDR, die Cybersecurity betreffen, sind im Anhang I definiert:

  • Kapitel I Nr.1: Anforderungen an die Sicherheit des Produkts

  • Kapitel I Nr.3b: Risikomanagement u.a. zur Identifikation und Analyse bekannter und vorhersehbarer Gefährdungen

  • Kapitel I Nr.4: Maßnahmen zur Risikokontrolle

  • Kapitel II Nr. 14.2 d: Minderung der Risiken im Zusammenhang mit der möglichen negativen Wechselwirkung zwischen Software und ITUmgebung

  • Kapitel II Nr. 17.1: Wiederholbarkeit, Zuverlässigkeit und Leistung des Programmierbaren Elektroniksystems

  • Kapitel II Nr. 17.2: Softwareentwicklung entsprechend dem Stand der Technik

  • Kapitel II Nr. 17.4: Festlegung der Mindestanforderungen bezüglich Hardware, Eigenschaften von ITNetzen und IT-Sicherheitsmaßnahmen einschließlich des Schutzes vor unbefugtem Zugriff

  • Kapitel III Nr. 23.4: Angaben in der Gebrauchsanweisung

Das Bundesamt für Sicherheit in der Informationstechnik – BSI – hat im Jahr 2018 eine Empfehlung an die Hersteller zu Cyber-Sicherheitsanforderungen an netzwerkfähige Medizinprodukte veröffentlicht.

Sicherheitspatches zum Verhindern von Tod oder schwerwiegender Verschlechterung des Gesundheitszustands durch IT-Sicherheitslücken sind meldepflichtige korrektive Maßnahmen gemäß der MPSV aber auch gegenüber dem Bundesministerium der Justiz und für den Verbraucherschutz.

Beim Bundesinstitut für Arzneimittel und Medizinprodukte – BfArM gibt es eine spezielle Webseite zur Cybersicherheit von Medizinprodukten, auf der die relevanten korrektiven Maßnahmen von den Herstellern und weitere wichtige Informationen und Empfehlungen zur Cybersicherheit aufgelistet werden.

Bedenken Sie auch die Anforderungen, die sich aus der Normenreihe IEC 60601 „Medizinische elektrische Geräte„ für netzwerkgebundene Geräte ergeben, Details zu dieser Norm finden Sie auch in unserem Blogbeitrag „Sicherheit aktiver Medizinprodukte & die IEC 60601

Cybersecurity beginnt beim Entwicklungsprozess

Die regulatorischen Anforderungen an Cybersicherheit von Medizinprodukten müssen während des gesamten Produktlebenszyklus gewährleistet sein. Für Hersteller bedeutet das, dass sie im Rahmen ihres Risikomanagementsystems Prozesse implementieren müssen:

  • Sicherstellung der Patienten und Anwenderinformationen

  • Manipulationsschutz von Software

  • Produktbeobachtung und nachverfolgung am Markt

  • Stetige Anpassung der Cybersecurity an den Stand der ITTechnik

Die Entwicklung des Sicherheitskonzepts beginnt also bereits im Entwicklungsprozess des Produkts und sollte ein stetiger Begleiter während des Produktlebenszyklus sein.

Falls Sie mit den Vorgehensweisen der Hackerszene nicht bekannt sind, können Sie sich gerne vertrauensvoll an die Regualtory Affairs Experten der seleon wenden. Gemeinsam mit Ihnen schließen wir Ihre Sicherheitslücken.

 

Bitte beachten Sie, dass alle Angaben und Auflistungen nicht den Anspruch der Vollständigkeit haben, ohne Gewähr sind und der reinen Information dienen.