„Die Digitale-Gesundheitsanwendungen-Verordnung (Digav) gibt ziemlich klare Hinweise darauf, was wie umzusetzen ist, damit eine Diga auch als solche anerkannt wird und Erstattungsleistungen seitens der Kostenträger fließen“, sagt Ulrich Wegener in einem Gespräch mit Bózena Jakubowska, Produktmanagerin ISMS bei Gutcert. Wegener ist Auditor bei Berlin Cert und betont: „Insbesondere die Selbsterklärung nach Anlage I der Verordnung ist hier zu nennen. Das Fast-Track-Verfahren nach § 139e SGB V bietet den Herstellern digitaler Gesundheitsanwendungen eine transparente Möglichkeit, ihre Produkte zügig auf den Markt zu bringen.“
Auf die Frage, welche Basis es für das Umsetzen eines Informationssicherheits-Managementsystems (ISMS) gibt, sagt Wegener: „Nach Punkt 1 der Basisanforderungen, die für alle digitalen Gesundheitsanwendungen gelten, muss der Hersteller die Frage beantworten, ob er ein Informationssicherheits-Managementsystem gemäß ISO/IEC 27000-Reihe, BSI-Standard 200–2 oder ein vergleichbares System umgesetzt hat und ob er auf Verlangen des Bundesinstituts für Arzneimittel und Medizinprodukte ein entsprechendes anerkanntes Zertifikat oder einen vergleichbaren Nachweis vorlegen kann.“ Der Hersteller sei also frei in der Wahl des Systems.
Wegener empfiehlt Herstellern ein System der ISO/IEC 27000-Reihe. Es sei schlanker als andere: Der „Fragenkatalog“ sei kleiner und auf das eigene Unternehmen anpassbar. „Die ISO/IEC 27001 ist wie die EN ISO 13485 nach der High Level Structure geordnet und kann mit der EN ISO 27799 eine gute Ergänzung speziell für Gesundheitsanwendungen bieten“, so Wegener weiter.
Diga-Anbieter mit ISO 13485 Zertifikat tun sich leichter
„Demnach sollte das Einführen eines ISMS bei Unternehmen, die bereits ein ISO 13485 Zertifikat halten, ein wenig leichter sein“, ergänzt Jakubowska. Wegener bestätigt dies: Hersteller eines Medizinprodukts seien mit der EN ISO 13485 vertraut. Was liege also näher, als ein integriertes Managementsystem zu schaffen und die ISO/IEC 27001 an das Qualitätsmanagement-Handbuch der EN ISO 13485 anzubinden?
Allerdings kenne die ISO/IEC 27001 kein Qualitätsmanagement-Handbuch. „Wichtige Punkte sind hier die Risikoanalyse, die aber keinen schrecken sollte, der die EN ISO 14971 beherrscht, und die Erklärung der Anwendbarkeit, also der Nachweis, durch welche Maßnahmen der Schutz der Werte vor bestimmten Bedrohungen erreicht wird. Diese Erklärung ist Grundlage des Zertifikats“, so Wegener.
ISO/IEC 27001 ist „relativ leichte Kost“
Welche Vorgehensweise empfiehlt der Berlin-Cert-Auditor einem Hersteller? „Wenn man die Idee hat, eine Diga zu entwickeln und noch keine Berührung mit der EN ISO 13485 hatte, dann sollte man sich zunächst mit der ISO/IEC 27001 beschäftigen, um ein Gespür für die Norm zu bekommen: Sie ist relativ leichte Kost“, betont Wegener.
Die EN ISO 13485 bringe einen ganzen Strauß weiterer Normen mit, „selbst wenn man sich vermeintlich nur auf die Entwicklung einer Diga konzentriert. Hier kann man aber mit dem Blick durch die Brille der ISO/IEC 27001 relativ leicht deren Aspekte in die zu beschreibenden Prozesse der EN ISO 13485 integrieren. Dabei wird einem auffallen, wie klein der Fokus ist, den die EN ISO 13485 auf IT-Sicherheit selbst legt.“ Ein Nebeneffekt könne zudem sein, dass einem klar werde, wie einfach alle Aspekte der Datenschutz-Grundverordnung (DSGVO) mit einem ISMS zu greifen sind. Die ISO/IEC 27001 sei für Wegener das Managementsystem für die DSGVO.
Die Einführung eines ISMS dauert nach Aussagen von Wegener bei einem kleinen Unternehmen in paar Monate. „Gefestigte Strukturen benötigen leider mehr Zeit, zum Beispiel für die realistische Analyse des Ist-Zustands als Grundlage für die Risikobewertung.“ (sk)
Gutcert hat einen Leitfaden und eine Checkliste für ISMS für Medizinprodukte erstellt:
http://hier.pro/idYf2
Ein kostenloses Webinar mit Auditor Wegener zum Thema „Digitale Gesundheitsanwendungen (DiGA) – Umsetzung der Anforderungen an Informationssicherheit“, findet am 16. März von 10 bis 11 um Uhr statt.
Mehr zu Cybersicherheit bei Medizinprodukten
