Startseite » Recht » Regulatorisches »

Auch Cybersicherheit ist ein MDR-Thema

Cybersicherheit
Auch Cybersicherheit ist ein MDR-Thema

Auch Cybersicherheit ist ein MDR-Thema
Damit Hacker bei Medizinprodukten keine Chance haben, müssen Hersteller immer den neuesten Stand der IT-Technik berücksichtigen und die Anwender über Risiken und Maßnahmen informieren Bild: Fotolia.com / Jürgen Fälchle
Je wichtiger Software und eine Anbindung an Netzwerke für Medizinprodukte werden, desto aufmerksamer muss die Risikoabschätzung für entsprechende Gefahren erfolgen. Das sieht auch die neue MDR vor.

Miriam Schuh, Dr. Carlo Piltz
Reuschlaw Legal Consultants,
Saarbrücken | Berlin

Im Oktober 2016 warnte Johnson&Johnson vor dem Risiko, dass Hacker Insulinpumpen manipulieren könnten. Das Einfallstor für solche Angriffe war eine unverschlüsselte Funkverbindung zwischen Pumpe und Fernbedienung. Im August 2017 informierte der Pharmakonzern Abbott Ärzte über sicherheitsrelevante Schwachstellen einer Firmware in Herzschrittmachern. Diese hätte im schlimmsten Fall zu einem missbräuchlichen Zugriff auf die Geräteelektronik führen können – bis hin zur Deaktivierung der Herzschrittmacher von etwa 465 000 Patienten allein in den USA.

Cybersicherheit wird oft nachrangig behandelt

Dies sind nur die prominentesten Vorfälle im Healthcare-Sektor, die zeigen, dass potenzielle Cyberangriffe auf lebenserhaltende Medizinprodukte und das Gesundheitswesen nicht mehr nur als Panikmache oder Fiktion abgetan werden können. Fakt ist, dass die Performanz von Medizinprodukten immer stärker von fehlerfrei funktionierender Firm- und Software abhängt. Dies gilt nicht nur für das Funktionieren der Medizinprodukte selbst, sondern auch für deren Zusammenspiel mit den IT-Netzwerken von Betreibern. Dennoch wird die Cybersicherheit gerade von Medizinprodukteherstellern oft nur nachrangig behandelt – was sowohl die Sicherheit der Patienten und Anwender gefährdet als auch das Haftungsrisiko der Hersteller signifikant erhöht.

Für Hersteller von Medizinprodukten gilt es jedoch, sowohl die mit der Digitalisierung und Vernetzung einhergehenden Chancen zu nutzen als auch die aus einer sensiblen Softwareumgebung resultierenden Risiken zu erkennen, zu evaluieren und nachhaltig zu beobachten. Dabei ist die Verantwortlichkeit des Herstellers für die Sicherheit seiner Produkte über den gesamten Lebenszyklus hinweg nicht neu. Sowohl nach den europäischen Richtlinien als auch nach den neuen europäischen Verordnungen für Medizinprodukte (MDR) und Invitro-Diagnostika (IVDR) müssen Medizinprodukte grundlegenden Sicherheits- und Leistungsanforderungen genügen: Etwaige Produktrisiken müssen, gemessen an ihrem Nutzen, vertretbar und mit einem hohen Maß an Gesundheitsschutz und Sicherheit vereinbar sein. Hierbei ist generell der anerkannte Stand der Technik zugrunde zu legen.

Cybersicherheit über den gesamten Lebenszyklus sehen

Diese regulatorischen Anforderungen an Medizinprodukte beziehen die Cybersicherheit über den gesamten Lebenszyklus von Medizinprodukten ein. Konkret bedeutet dies für Hersteller: Sie müssen im Rahmen ihres Risikomanagementsystems notwendige wie auch geeignete Prozesse implementieren,

  • mit denen sie die Information von Patienten und Anwendern sicherstellen,
  • mit denen sie die Software vor Manipulationen schützen und
  • mit denen sie Produkte am Markt beobachten und und nachverfolgen.

Dass sich auch in Fragen der Cybersicherheit der Stand der Technik fortlaufend weiterentwickelt, muss dabei ebenfalls berücksichtigt werden.

Wesentlich ist also, dass Hersteller bereits innerhalb des Entwicklungs- und Produktionsprozesses ihrer Produkte die Parameter für eine angemessene Cybersicherheit spezifizieren. Durch regelmäßige Testverfahren muss verifiziert und validiert werden, dass diese Vorgaben auch eingehalten werden. In Kooperation mit den Anwendern und Betreibern der Produkte sind auch die Sicherheitsanforderungen an die Betriebs- und Netzwerkumgebungen zu definieren, innerhalb derer die Produkte eingesetzt werden.

Nach der neuen MDR obliegt es dem Hersteller explizit, den Anwendern seiner Produkte spezifische Sicherheitsinformationen an die Hand zu geben – dazu gehören auch solche mit Relevanz für die Cybersicherheit. Darüber hinaus muss er gegebenenfalls sogar Schulungen anbieten, um die sichere Produkthandhabung gewährleisten zu können.

Auch der Hersteller muss geeignete Verfahren einführen

Schließlich müssen auch in der Organisation des Herstellers geeignete Verfahren eingeführt werden, mit denen sich Hinweise auf potenzielle Sicherheitslücken bei Firm- und Software strukturiert sammeln lassen. Das betrifft sowohl die eigenen Produkte als auch generelle Sicherheitsrisiken oder Produkte von Wettbewerbern. Konkret beinhaltet die MDR-konforme Produktbeobachtung somit nicht lediglich das Beobachten der Performanz und Sicherheit der eigenen Produkte. Stattdessen sollten Hersteller auch vergleichbare Produkte von Wettbewerbern unter dem Aspekt Cybersicherheit „im Blick“ behalten und Schlüsse aus bekannt gewordenen Sicherheitslücken ziehen und in die in diesem Zusammenhang lancierten Field Safety Corrective Actions für ihre eigenen Produkte berücksichtigen. Die so gesammelten Informationen muss der Hersteller systematisch bewerten und in die eigene Risikobewertung für die Produkte einbeziehen. Innerhalb des Unternehmens muss sichergestellt werden, dass der jeweils aktuelle Stand der Technik für die Cybersicherheit bekannt ist und beachtet wird. Sobald Sicherheitslücken identifiziert werden, muss der Hersteller die Anwender umfassend aufklären und Maßnahmen benennen, wie sie die erkannten Risiken ausschließen oder minimieren können. Im äußersten Fall könnte das auch einen Rückruf der Produkte vom Markt erfordern.

Cybersicherheit: es besteht Organisationspflicht

Für den Hersteller besteht also die unternehmerische Organisationspflicht, der Cybersicherheit den gebotenen Stellenwert einzuräumen. Kommt er dieser nicht nach, drohen ihm im Falle einer Patientenschädigung neben der Inanspruchnahme nach Produkthaftungsregeln, nach denen ausschließlich geschädigte Verbraucher, also Patienten, Anwender und Dritte, zu entschädigen sind, auch delikthaftungsrechtliche Konsequenzen. Nach den Regeln des Deliktshaftungsrechts können auch Nicht-Verbraucher, also Lieferanten, Distributoren und Betreiber der Produkte, die Hersteller auf Schadensersatz in Anspruch nehmen, wodurch sich das Haftungsrisiko deutlich erweitert.

Es empfiehlt sich daher für jeden Hersteller, der seine Organisation insbesondere hinsichtlich des Qualitäts- und Risikomanagementsystems auf MDR-Compliance prüft, ein besonderes Augenmerk darauf zu legen, dass er die Cybersicherheit gewährleisten kann.

www.reuschlaw.de


DSGVO: Was künftig gefordert ist

Soweit personenbezogene Daten (insbesondere Informationen zum Gesundheitszustand oder anderen physischen Merkmalen einer Person) verarbeitet werden, sind auch die Anforderungen der ab dem 25. Mai 2018 geltenden EU-Datenschutz-Grundverordnung (DSGVO) zu beachten. Demnach bedarf jeder Umgang mit personenbezogenen Daten einer gesetzlichen Erlaubnis oder einer Einwilligung des Betroffenen.

Daneben sind, unter anderem unter Berücksichtigung des Stands der Technik und der Implementierungskosten, geeignete technische und organisatorische Maßnahmen umzusetzen, um ein angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten. Verstöße gegen die DSGVO können von den Aufsichtsbehörden zum Teil mit bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes eines Unternehmens geahndet werden.

https://dsgvo-gesetz.de/

Unsere Whitepaper-Empfehlung
Aktuelle Ausgabe
Titelbild medizin technik 1
Ausgabe
1.2024
LESEN
ABO
Newsletter

Jetzt unseren Newsletter abonnieren

Titelthema: PFAS

Medizintechnik ohne PFAS: Suche nach sinnvollem Ersatz

Alle Webinare & Webcasts

Webinare aller unserer Industrieseiten

Aktuelles Webinar

Multiphysik-Simulation

Medizintechnik: Multiphysik-Simulation

Whitepaper

Whitepaper aller unserer Industrieseiten


Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de