Die US Food and Drug Administration empfiehlt bei manchen Medizinprodukten und Softwareprodukten strengere Maßnahmen nach der Markteinführung in Bezug auf die Cybersicherheit.

In einer neuen Leitlinie (auf Englisch) räumt die Behörde ein, dass die Cybersicherheitsrisiken vor der Markteinführung schwer einzuschätzen sind, und hebt deshalb die Notwendigkeit hervor, dass Hersteller von Produkten, in denen Software, Firmware oder programmierbare Logik eingesetzt wird, bzw. von Software, die als Medizinprodukt fungiert, diese Risiken nach der Markteinführung auf dem US-Markt abdecken. Diese Cybersicherheitsmaßahmen sollten natürlich auch die Qualitätssicherungssystem-Vorschriften von 21 CFR Part 820 erfüllen.

Sechs wesentliche Komponenten für das Risikomanagement in Bezug auf die Cybersicherheit

Im Leitfaden führt die FDA sechs wichtige Komponenten an, die in einem angemessenen Risikomanagementprogramm zur Cybersicherheit enthalten sein sollten:

• Überwachung von Datenquellen, um Sicherheitslücken zu ermitteln
• Bewertung der möglichen Auswirkungen von etwaigen Sicherheitslücken
• Einrichtung von Verfahren zur Handhabung etwaiger Sicherheitslücken
• Definition der wesentlichen klinischen Leistung eines Produkts zur Minimierung von Cybersicherheitsrisiken
• Einführung einer koordinierten Offenlegungsstrategie von Sicherheitslücken
• Einführung von Praktiken zur Minderung von Cybersicherheitsrisiken, bevor etwaige Sicherheitslücken ausgenutzt werden

Ferner empfiehlt die FDA, dass Hersteller Risikomanagementprogramme zur Cybersicherheit entwickeln, die Komponenten des NIST-Rahmenplans zur Verbesserung wichtiger Infrastruktur-Cybersicherheitsmaßnahmen (auf Englisch) einbeziehen. Der NIST-Rahmenplan wurde von der US-Regierung entwickelt, um Probleme mit der Cybersicherheit in wichtigen Infrastrukturen zu behandeln.

 Definition der „wesentlichen klinischen Leistung“

Der in der Leitlinie angeführte Begriff „wesentliche klinische Leistung“ bezieht sich auf die Leistung des Geräts, die zur Vermeidung inakzeptabler klinischer Risiken, wie vom Produkthersteller definiert, notwendig sind.

Die FDA gibt an, dass Hersteller die wesentliche klinische Leistung als Teil ihrer Cybersicherheitsmaßnahmen definieren sollten und mögliche Folgen ermitteln sollten, falls diese Leistung kompromittiert ist.

Bewertung der Ausnutzbarkeit von Schwachstellen und des Schweregrads solcher Angriffe

Die Risikomanagementverfahren sollten die Ausnutzbarkeit der Schwachstellen der Produkte und den Schweregrad der Auswirkungen eines solchen Angriffs auf die Gesundheit der Patienten bewerten, so die Leitlinie.

Obwohl die FDA die Risikomanagementverfahren für herkömmliche Medizinprodukte als für die Bewertung von Cybersicherheitslücken „akzeptabel“ erachtet, empfiehlt die Behörde den Einsatz spezifischerer Tools wie das Common Vulnerability Scoring System (Link auf Englisch), das vom Forum of Incident Response and Security Teams entwickelt wurde, um die Schwachstellen eines betroffenen Produkts zu bewerten.

Bei der Bewertung der Auswirkungen auf die Gesundheit sollten die Hersteller die in der Norm ISO 14971:2007/(R)2010, Medizinprodukte – Anwendung des Risikomanagements auf Medizinprodukte angegebenen Abstufungen verwenden.  

Abwarten

Die neue Leitlinie illustriert die derzeitige Haltung der FDA zur Cybersicherheit, sollte jedoch nicht als endgültig angesehen werden. Vernetzte und softwarebasierte Medizinprodukte bleiben für die FDA und das CDRH weiterhin bewegte Ziele, und die Behörden werden die Risikomanagementverfahren für diesen innovativen Medizinprodukte-Sektor sicher fortlaufend verfeinern.

Weiterführende Informationen zum Thema erhalten Sie in Emergos Whitepaper (auf Englisch) zu Medizinprodukte-Softwarestandards. Außerdem bieten wir ein regulatorisches Ablaufdiagramm (auf Englisch) zum Zulassungsverfahren der US FDA.