Die US Food and Drug Administration hat die endgültige Version der Richtlinie zu Cyber-Sicherheitsfunktionen (Text auf Englisch), die Hersteller in ihre Medizinprodukte einbauen sollten, um deren Sicherheit und Funktion zu gewährleisten — und um die Prüfung vor der Markteinführung zu bestehen.

Die neue Richtlinie gilt für alle Zulassungsanträge für den US-Markt, darunter 510(k)-Anträge, PMA-Anträge, De novo-Anträge und Produktentwicklungsprotokoll-(PDP-)Anträge sowie Anträge auf Ausnahmegenehmigungen für humanitäre Medizinprodukte (Humanitarian Device Exemption, HDE).

Die FDA-Prüfer erwarten laut Richtlinie, dass Hersteller Cyber-Sicherheitsmaßnahmen während der Produkt-Konstruktions- und Entwicklungsphase entwickeln. Diese Maßnahmen sollten unter anderem die folgenden Punkte umfassen:

• Identifikation von Aktivposten, Gefahren und Schwachstellen des Produkts
• Bewertung der Art der Auswirkungen dieser Gefahren und Schwachstellen auf Benutzer, Patienten und Produktfunktionalität.
• Wahrscheinlichkeit, dass eine identifizierte Gefahr oder Schwachstelle ausgenutzt wird
• Ermittlung der Risikostufen und angemessener Verfahren zur Schadensminderung
• Bewertung der Restrisiken sowie der Risikoakzeptanzkriterien

Faktoren, die sich auf Komponenten eines Cyber-Sicherheitssystems auswirken

Die FDA unterscheidet zwischen Produkten, die anfälliger für Sicherheitsgefahren aus dem Netz — Produkte mit Funkanbindung an andere Produkte — als andere sind, und empfiehlt, dass die Hersteller dieser Produkte stärkere Cyber-Sicherheitsfunktionen entwickeln, um mögliche Risiken zu minimieren.

Die Hersteller sollten Faktoren wie den Verwendungszweck des Produkts, die Verwendung elektronischer Datenschnittstellen und das mögliche Ausmaß des Schadens für einen Patienten oder Benutzer im Fall einer Verletzung der Cyber-Sicherheit berücksichtigen. Die Hersteller sollten jedoch auch sicherstellen, dass die ins Produkt eingebauten Sicherheitsmaßnahmen den Verwendungszweck des Produkts nicht behindern — diese Empfehlung richtet sich besonders an Hersteller von Produkten, die in Notfall- oder kritischen Situationen eingesetzt werden sollen.

Beispiele der Maßnahmen zur Cyber-Sicherheit, die in der Richtlinie genannt werden, umfassen die Zugriffsbeschränkung durch Benutzer-Authentifizierung, sichere Datenübertragung und Verschlüsselung und Tools zur Erkennung von Sicherheitsverletzungen und zur Warnung der Benutzer.

Zulassungsanträgen beizulegende Dokumentation

In Zukunft wollen die FDA-Prüfer Nachweise für die Cyber-Sicherheitsmaßnahmen in der Dokumentation für die Zulassungsanträge sehen. Welche Informationen sollten Hersteller in die Dokumentation aufnehmen? Die folgenden Angaben:

• Gefahrenanalyse und Konstruktionsauslegung in Bezug auf die Cyber-Sicherheitsrisiken des Produkts
• Nachverfolgungsmatrizen, in denen die Cyber-Sicherheitsfunktionen des Produkts den identifizierten Sicherheitsrisiken zugeordnet werden
• Zusammenfassender Plan für die Bereitstellung von Software-Updates und -Patches während des gesamten Produktlebenszyklus
• Übersicht über die Maßnahmen zur Sicherstellung der Integrität der Produkt-Software während der Entwicklung
• Bedienungsanleitung und empfohlene Sicherheitsmaßnahmen wie Antivirus-Software und Firewalls

Besonders von Entwicklern von Medizin-Apps zu berücksichtigende Punkte

Obwohl die neue FDA-Richtlinie Entwickler von mobilen Medizin-Apps und Telegesundheits-Produkten nicht eigens erwähnt, haben die Empfehlungen der Behörde offensichtlich wesentliche Auswirkungen für Unternehmen, deren Apps als Medizinprodukte eingestuft werden.

In Anbetracht der jüngsten Sicherheitsverletzungen, bei denen persönliche, auf Cloud-Servern gespeicherte Fotos von Prominenten veröffentlicht wurden, sollten Entwickler von mobilen Apps, deren Produkte ebenfalls Patienten- oder Leistungsdaten in der Cloud speichern, die möglichen Auswirkungen eines ähnlichen Angriffs auf ihre Produkte bedenken. Sind die Risiken von Cloud-Servern für sensible medizinische Informationen vertretbar oder sollten sicherere — aber kostspieligere — Speicheroptionen eingesetzt werden? Die Cyber-Sicherheitsrichtlinie der FDA befasst sich nicht direkt mit diesem Problem. Angesichts des von der Behörde geplanten nationalen Gesundheits-IT-Rahmenprogramms in Zusammenarbeit mit der Federal Communications Commission (FCC) sollten sich die Entwickler auf ein größeres Interesse der Behörden an Datenspeicherungs-Verfahren als Teil einer breiteren Regulierung von mobilen Medizintechnologien vorbereiten.