Firmen im Artikel
Der EU Cyber Resilience Act (CRA) ist ein wegweisendes Gesetzesvorhaben, das darauf abzielt, die Cyber Security von Produkten mit digitalen Komponenten, wie IoT-Geräten, Apps oder Industriesteuerungen, in der Europäischen Union durch verbindliche und einheitliche Anforderungen zu verbessern. Dies umfasst sowohl Elektronik als auch Software und vernetzte Geräte, die direkt oder indirekt mit dem Internet verbunden sind. Der Gesetzesvorschlag fordert Hersteller dazu auf, die Sicherheit ihrer Produkte mit digitalen Elementen verbindlich während des gesamten Lebenszyklus zu gewährleisten. Dazu gehört die Verpflichtung, Sicherheitslücken zeitnah zu schließen und die Cyber-Security-Risiken kontinuierlich zu überwachen.
Mit dem CRA reagiert die EU auf die steigende Anzahl von Cyberangriffen und Sicherheitsvorfällen, die mit dem zunehmenden Einsatz digitaler Technologien und vernetzter Geräte einhergehen. Nach der Verabschiedung des Gesetzes durch das Europäische Parlament und den Rat der EU folgt eine Übergangsphase, in der die Unternehmen Zeit haben, die neuen Anforderungen umzusetzen. Derzeit wird mit einem Inkrafttreten noch im Jahr 2024 gerechnet. Bei einer Übergangsfrist von 36 Monaten müssten Hersteller eine volle Compliance ab 2027 nachweisen.
Cyber Security proaktiv in den Entwicklungsprozess integrieren
Der Cyber Resilience Act schreibt Herstellern von vernetzten Produkten die Implementierung strenger Cyber-Security-Maßnahmen vor. Zudem verlangt er Transparenz bei der Offenlegung von Sicherheitslücken. Detaillierte Sicherheitsinformationen müssen Nutzern und Behörden zur Verfügung stehen. Hersteller müssen diese Maßnahmen berücksichtigen, um die Konformität ihrer Produkte zu erklären und mit der CE-Kennzeichnung den Marktzugang in der EU zu erhalten.
CRA-Vorgaben wirken sich auch im Gesundheitswesen aus
Medizinprodukte sind zwar vom CRA ausgeschlossen, da sie in der EU durch die MDR und die bevorstehende Harmonisierung der Norm für Gesundheitssoftware, der IEC 81001-5-1, bereits einer umfangreichen Regulierung unterliegen. Dennoch hat der CRA weitreichende Auswirkungen auch in die Welt des Gesundheitswesens hinein.
Der Cyber Resilience Act betrifft unter anderem Geräte, Apps und Cloud-Dienste, die Teil des Ökosystems vieler Medizinprodukte sind. Bislang wurden diese nicht reguliert, sofern sie selbst kein Medizinprodukt im Sinne der MDR oder IVDR darstellen.
Künftig werden aber auch hier ähnliche Anforderungen an Security-Risikomanagement, Lebenszyklus-Sicherheit und „Security by Design” gelten, wie es bei Medizinprodukten mittlerweile Standard ist. In einzelnen Aspekten wird der CRA sogar darüber hinausgehen und konkretere Anforderungen an die Meldung von Sicherheitslücken und das regelmäßige Update- und Patch-Management stellen. Die Verantwortung hierfür liegt beim Hersteller der Medizinprodukte.
Dies ist besonders bedeutsam für lebenswichtige Geräte wie Herzschrittmacher, Insulinpumpen oder Bildgebungsgeräte. Ein Hersteller von Insulinpumpen muss beispielsweise sicherstellen, dass sein vernetztes Insulinpumpensystem sowohl die Anforderungen der MDR als auch des CRA erfüllt.
Die MDR verlangt, dass die Insulinpumpe sicher und effektiv arbeitet, einschließlich eines robusten Risikomanagements und Schutzes vor Cyberangriffen auf das Gerät selbst. Gleichzeitig greift der CRA für eine begleitende Patienten-App, die personenbezogene Daten speichert und analysiert.
Um Cyber-Security-Maßnahmen muss der Hersteller sich kümmern
Der Hersteller muss hier Cyber-Security-Maßnahmen, wie verschlüsselte Datenübertragung, regelmäßige Sicherheitsupdates und Vorfallmanagement implementieren, um sicherzustellen, dass sowohl die Pumpe als auch die Patienten-App vor möglichen Cyberangriffen geschützt sind.
Unabhängig von den oben beschriebenen Verpflichtungen für Hersteller im Rahmen der MDR und des CRA setzt die 2023 aktualisierte NIS2-Richtlinie einen höheren Standard für alle, die vernetzte Geräte in ihrem Unternehmen betreiben: Sie schafft einen einheitlichen Rahmen für die Sicherheit von Netz- und Informationssystemen (NIS). Sie erweitert und vertieft die ursprüngliche NIS-Richtlinie (2016), um den gestiegenen Bedrohungen durch Cyberangriffe zu begegnen und die Widerstandsfähigkeit kritischer Infrastrukturen zu erhöhen.
Die Richtlinie muss bis Oktober 2024 von den EU-Mitgliedsstaaten in nationales Recht überführt werden. Diese Vorgaben gelten auch für Akteure im Gesundheitsmarkt wie Krankenhäuser. Hersteller müssen ihren Kunden daher die notwendigen Unterlagen zur Verfügung stellen, um die Integration von Medizinprodukten in das Kundennetzwerk zu ermöglichen, ohne die Cyber Security zu gefährden.
FDA treibt Cyber Security federführend voran
Der Blick über den europäischen Tellerrand hinaus zeigt: In den USA setzt die FDA mit ihren umfangreichen Richtlinien, wie den FDA Guidances zu Cyber Security in Medical Devices, einen klaren Fokus darauf, die Cyber Security für Medizinprodukte zu verbessern und ist hier federführend.
Etwas wie den CRA gibt es in den USA bisher nicht
Umso verwunderlicher ist es, dass es in den USA bisher kein direktes Äquivalent zum EU Cyber Resilience Act gibt. Am ehesten vergleichbar ist der „U.S. Cyber Trust Mark Act“, der jedoch auf Freiwilligkeit beruht und eher den Verbrauchermarkt fokussiert. Für Unternehmen, die auf beiden Märkten tätig sind, bedeutet dies, dass sie sowohl den EU-Vorgaben des CRA, der MDR und IVDR als auch den spezifischen US-Anforderungen gerecht werden müssen.
Zusammenfassend lässt sich sagen, dass der CRA nun eine Situation schafft, in der bestimmte Security-Aktivitäten für Hersteller von Produkten im Bereich der Medizintechnik verbindlich sind, unabhängig davon, ob das konkrete Produkt unter die Regulierung der MDR/IVDR fällt oder nicht.
Checkliste Cyber Security für Hersteller
Mit dem CRA werden bestimmte Security-Aktivitäten für Hersteller von Produkten aus der Medizintechnik zur Pflicht. Darüber hinaus sind Aktivitäten sinnvoll, die – unabhängig von einer Regulierung – bei jeder Produktentwicklung im Kontext von Cyber Security und Datenschutz Anwendung finden sollten.
Vorgeschriebene Aktivitäten
- Bedrohungs- und Risikoanalyse:
Gehen Sie bei der Bedrohungs- und Risikoanalyse systematisch vor, um möglichst wenig zu übersehen und die Analyse nachvollziehbar zu gestalten. Stride und CVSS sind Techniken, die diese Anforderungen erfüllen. Bei „Stride“ steht jeder Buchstabe für eine Art von Risiko, die für das System eine Rolle spielen könnte – Beispiele sind die Manipulation von Daten, der Einsatz einer falschen Identität oder der Ausfall von Funktionen. Die Risiken lassen sich mit dem Common Vulnerability Scoring System (CVSS) bewerten. - Security by Design:
Binden Sie Maßnahmen zur Cyber Security bereits von Anfang an in den Entwicklungsprozess ein. - Software Bill of Materials (SBOM): Führen Sie ein standardisiertes Inventar aller Softwarekomponenten.
- CVE-Analysen:
Bewerten Sie regelmäßig (mindestens jährlich) die Schwachstellen auf Grundlage der SBOM. - Unabhängige Pentests:
Lassen Sie umfassende Penetrationstests durch externe Stellen durchführen.
Zusätzliche Aktivitäten
- DSGVO-Konformität:
Überprüfen Sie, ob Ihr Produkt mit der DSGVO konform ist, um sicherzustellen, dass die Anforderungen an den Datenschutz erfüllt werden. - Privacy by Design:
Überprüfen Sie, ob Ihr Produkt nur Daten verwendet, die für Ihre Anwendungsfälle unbedingt erforderlich sind. - Optimierte Sicherheitskonzepte:
Optimieren Sie Ihre Sicherheitskonzepte, um Angriffsvektoren, soweit möglich, zu reduzieren. - Verbessertes Management
von Schwachstellen:
Überprüfen Sie Ihr Produkt mindestens monatlich, wenn nicht gar wöchentlich, auf bekannte Schwachstellen und Anfälligkeiten (CVE).
Über ITK Engineering
ITK Engineering entwickelt kundenspezifische und plattformunabhängige System- und Softwarelösungen und unterstützt Auftraggeber von der Idee bis zum Produkt und
darüber hinaus. Der Geschäftsbereich Healthcare ist nach EN ISO 13485:2016 zertifiziert. Dort entstehen normkonforme System- und Softwarelösungen für Medizinprodukte in Eigenverantwortung bis hin zum fertigen OEM-Produkt.
