Die Medical Device Regulation (MDR) stellt gegenüber den aktuellen Zulassungsbestimmungen erhöhte Anforderungen, insbesondere auch im Bereich der Cyber Security. Was dies für Schweizer Hersteller in Bezug auf bereits zugelassene Medizinprodukte bedeutet, ist derzeit politisch und rechtlich alles andere als klar – zumindest bis das institutionelle Abkommen mit der EU unter Dach und Fach ist und damit die künftige Wirkung des Mutual Recognition Agreements (MRA) geklärt ist. Was es jedoch technisch bedeutet, auch bei bereits zugelassenen Produkten MDR-Niveau im Bereich der Cyber Security zu erreichen, erfahren Sie in diesem Blogpost.
Neue Medizinprodukte müssen in Zukunft mit der Medical Device Regulation (MDR), der europäischen Verordnung über Medizinprodukte, konform sein, um in der EU zugelassen zu werden. Diese neue EU-Verordnung stellt höhere Anforderungen an die Sicherheit und Qualität von Medizinprodukten. Der Geltungsbeginn der MDR ist vom EU-Parlament coronabedingt um ein Jahr, auf den 26. Mai 2021, verschoben worden. Für Schweizer Medizintechnik-Hersteller bedeutet dies, ihre neuen Produkte konsequent auf den Schutz vor Cyber-Risiken auszurichten und MDR-konform zu designen.
Was aber gilt für Produkte von Schweizer Herstellern, welche im Rahmen des Mutual Recognition Agreements (MRA) bereits heute auf dem EU-Markt zugelassen sind? Welche Regelungen hier zur Anwendung kommen werden, ist derzeit nicht gesichert – insbesondere im Fall, wenn die aktuellen Verhandlungen über das institutionelle Abkommen mit der EU scheitern würden. Sollte für solche Produkte im Bereich der Cyber Security MDR-Niveau gefordert werden, scheint die Aufgabe zwar aufwändig, jedoch lösbar zu sein.
In Form der grundlegenden Sicherheitsanforderungen verlangt die MDR auch für den Bereich der Cyber Security den «allgemein anerkannten Stand der Technik». Dies gilt sowohl für Hard- und Software als auch Kombinationen hiervon. Im Wesentlichen beinhalten diese vier Punkte:
Identifikation, Analyse und Beurteilung der Cyber-Risiken im Rahmen eines Risikomanagementsystems
Eliminierung oder Reduktion dieser Sicherheitsrisiken durch sicheres Design
Treffen zusätzlicher Schutzmassnahmen für Risiken, die nicht eliminiert werden können
Bereitstellen von Anwenderinformation, sodass ein sicherer Betrieb möglich wird sowie allfällige, vertretbare Restrisiken für die Patientensicherheit geklärt sind
Für bereits heute, noch nicht nach MDR zugelassene Medizintechnikprodukte bedeutet die Erfüllung solcher Anforderungen in vielen Fällen einen erheblichen Zusatzaufwand – wohl nicht nur, aber vor allem und in erster Linie auf Herstellerseite. In welchen Fällen die genauen Anforderungen zwingend oder sinnvoll durch ein aufwändiges Re-Design umgesetzt werden müssen oder inwiefern und in welchem Ausmass zusätzliche Schutzmassnahmen und / oder Einsatz- / Anwendungsbeschränkungen für einen sicheren Betrieb ausreichen, muss für jedes Produkt analysiert werden. Aus ökonomischen Gründen scheint das Vorgehen sinnvoll, zu prüfen, ob sich im spezifischen Fall ein Re-Design vermeiden lässt und sich die Risiken im Einsatz und Betrieb stattdessen nicht effizienter adressieren lassen. Doch auch in einem solchen Fall bedeutet dies für den Hersteller mindestens:
Mindestanforderungen bezüglich Hardware, Eigenschaften von IT-Netzen und zu treffenden IT-Sicherheitsmassnahmen, einschliesslich des Schutzes vor unbefugtem Zugriff, festzulegen;
Restrisiken in Bezug auf Cyber Security in Form von Beschränkungen, Vorsichtsmassnahmen, Warnhinweisen, Kontraindikationen etc. dem Anwender / Betreiber und Patienten bekannt zu machen;
Angaben für sichere Kombinationen eines Produktes mit anderen Produkten und / oder Ausrüstungen machen (inklusive zu bekannten Einschränkungen)
Um für ein Produkt fundierte Entscheide treffen zu können, welches die adäquaten Cyber Security-Massnahmen sind, müssen die entsprechenden Sicherheitsrisiken bekannt sein, analysiert und bewertet werden. Nur so lassen sich diese in Bezug auf die Patienten- und Betriebssicherheit beurteilen und die geeigneten Massnahmen (beispielsweise «Security by Design», Anwendungsbeschränkung, Betrieb, Restrisiko, Re-Design) ableiten. Zusätzlich dürften Entscheidungen über die zu treffenden Massnahmen einen wesentlichen Einfluss auf Investitionsüberlegungen haben. Dies gilt insbesondere auch für bestehende, (noch) nicht nach MDR zugelassene Medizintechnikprodukte.
Zur Erlangung der Kenntnisse von Cyber Security-Risiken eines Produktes bieten sich sogenannte Vulnerability-Analysen an. Idealerweise werden dieses mit einer Gap-Analyse bezüglich der zu erreichenden Konformität, wie beispielsweise MDR, kombiniert.
Adrian Helfenstein
Leiter Entwicklung
«Analysieren Sie gemeinsam mit uns Ihre aktuellen und künftigen Sicherheitsbedürfnisse für Ihre vernetzte Medizintechnik. Wir begleiten Ihre Produkt- und Entwicklungsteams wie auch Ihre Lösungen Schritt für Schritt auf dem Weg in eine sichere, vernetzte digitale Welt – bei Bedarf von der Identifikation Ihrer Sicherheitsrisiken bis hin zur Umsetzung von sicherheitskritischen Funktionalitäten.»