Neues Guidance-Dokument – Cybersecurity für Medizinprodukte

Miriam Schuh

Das im Dezember 2019 von der MDCG veröffentlichte „Guidance on Cybersecurity for medical devices“ soll als Hilfestellung für Medizinproduktehersteller zur Erfüllung Cybersecurity-spezifischer Anforderungen dienen, die insbesondere in Anhang I der (neuen) Verordnungen (EU) 2017/745 (MDR) und (EU) 2017/746 (IVDR) zu finden sind. 

Das Guidance-Dokument stellt zu einem großen Teil Basiskonzepte für Cybersecurity dar. Dabei wird klar, dass Cybersecurity notwendigerweise als Teil der grundlegenden Anforderungen an die allgemeine Sicherheit und Leistungsfähigkeit von Medizinprodukten anzusehen ist. Entsprechend konsequent verweist das Dokument auf die für Medizinproduktehersteller relevanten regulatorischen Anforderungen der MDR/IVDR und bietet gleichzeitig Hinweise zur Umsetzung Cybersecurity-relevanter Aspekte.

Für alle Aspekte von Cybersecurity ist nach dem Guidance-Dokument die generelle IT-Security von zentraler Bedeutung. Sie ist in Abhängigkeit von dem Risiko, der bestimmungsgemäßen Verwendung und der Verwendungsumgebung eines Produktes zu beurteilen. Dabei sind immer die Ziele „safety“ (Betriebssicherheit), „security“ (Informationssicherheit/Datenschutz) sowie Effektivität der Produkte bei der Gestaltung von Sicherheitsmechanismen für Medizinprodukte und In-vitro-Diagnostika miteinzubeziehen.

Ein bedeutender Teil der Cybersecurity gilt der Prävention von Risiken: für Medizinproduktehersteller heißt das, dass eine Implementierung von Sicherheitsmechanismen bereits im Entwicklungs- und nicht erst im Herstellerprozess der Produkte erfolgen muss. Zu solchen Mechanismen gehören vor allem:

  • Sicherheit durch Konstruktion („secure by design“),
  • Etablierung eines Sicherheitsrisikomanagements („security risk management“),
  • Beachtung von Sicherheitsleistung („security capability“),
  • standardisierte Beurteilung von Sicherheitsrisiken („security risk assessment“),
  • Nutzen-Risiko-Analyse für Sicherheitsaspekte („security benefit risk analysis“),
  • Erfüllung von IT-Mindestsicherheitsanforderungen und
  • Validierung und Verifizierung über den gesamten Produktlebenszyklus hinweg.

Das Guidance-Dokument verweist weiter darauf, dass Cybersecurity-Aspekte bei der Dokumentation und bei der Erstellung von Gebrauchsanweisungen relevant sein können. So erfasst die produktbezogene Dokumentation beispielsweise Anforderungen zur Gewährleistung der Sicherheit und Effektivität der Produkte – Cybersicherheit ist hier mitgemeint! Daneben muss die Gebrauchsanweisung des Medizinproduktes Cybersicherheits-spezifische Informationen bieten, wie beispielsweise Informationen über die Installation des Produktes oder Schritt-für-Schritt-Anleitungen für die Bereitstellung von Sicherheitsupdates. Die konkrete Ausgestaltung dieser Anforderungen hängt wiederum vom jeweiligen Sicherheitsrisiko, der Umgebungsverwendung und dem konkreten Produkt ab.

Neben Präventions- und Dokumentationspflichten treffen Medizinproduktehersteller auch Überwachungspflichten im Bereich post-market, die eine fortgehende Überwachung auch von Cyber-Schwachstellen und deren Behebung beinhaltet.

Welche spezifischen (Cybersicherheits-)Anforderungen an ein Medizinprodukt zu stellen sind und ein Hersteller mithin beachten muss, hängt in jedem Fall von der konkreten Situation ab, insbesondere dem bestimmungsgemäßen Gebrauch des Produktes, dem vernünftigerweise vorhersehbaren Missbrauch sowie der Verwendungsumgebung. Gerade in die Risikobewertung sollten Hersteller dem Guidance-Dokument zufolge deshalb Fragen der Cybersecurity von Anbeginn, sprich von Entwicklung an, einbeziehen und über den gesamten Lebenszyklus des Produkts hinweg beachten.

Im Zuge der voranschreitenden Digitalisierung und Vernetzung eben auch von Medizinprodukten wird Herstellern durch das Guidance-Dokument noch einmal besonders eindringlich verdeutlicht, dass Cybersecurity als wesentlicher Bestandteil der Produktsicherheit einzubeziehen ist und an keinem Punkt des Produktlebenszyklus vernachlässigt werden darf, damit Produktcompliance mit den Regularien gegeben ist.

[Januar 2020]