ZUSAMMENFASSUNG DER WESENTLICHEN PUNKTE DURCH EMERGO:

• Im US-Repräsentantenhaus wird ein Gesetzesvorschlag behandelt, nach dem eine Arbeitsgruppe unter der Leitung der FDA Strategien zur Minderung von Cybersicherheitsrisiken in der Medizintechnik entwickeln würde.
• Der Gesetzesvorschlag baut auf den von der Arbeitsgruppe für Cybersicherheit der Gesundheitsbranche vorgeschlagenen Empfehlungen auf.
• Falls das Gesetz vom Kongress verabschiedet wird, müsste die Arbeitsgruppe unter der Leitung der FDA innerhalb von 18 Monaten einen Bericht abliefern.

Im US-Repräsentantenhaus wird derzeit ein Gesetzesvorschlag besprochen, nach dem eine Arbeitsgruppe unter der Leitung der FDA zur Verbesserung von Maßnahmen in Bezug auf die Cybersicherheit in der Medizintechnik eingerichtet werden soll.

Der Internet of Medical Things Resilience Partnership Act würde die FDA und andere Regierungs-, akademische und Industrieorganisationen mit der Entwicklung von Empfehlungen und Richtlinien zur Verbesserung der Cybersicherheit von vernetzten Medizinprodukten innerhalb von 18 Monaten nach Verabschiedung des Gesetzes durch den gesamten Kongress beauftragt. Der Gesetzesvorschlag scheint Empfehlungen der Health Care Industry Cybersecurity (HCIC) Task Force zu berücksichtigen, einer vom US-Kongress eingerichteten Gruppe, die wichtige Schwachstellen des US-Gesundheitssystems in Bezug auf Cyber-Bedrohungen identifizieren sollte.

Vorgeschlagene Mitglieder der Arbeitsgruppe

Im Rahmen des Gesetzesvorschlags würde die FDA die Arbeitsgruppe leiten, in enger Zusammenarbeit mit dem National Institute of Standards and Technology (NIST). Andere Regierungsvertreter in der Gruppe würden das Zentrum für medizinische Geräte und Einhaltung der Strahlensicherheit (Center for Devices and Radiological Health, CDRH) der FDA, das Büro des nationalen Koordinators für Gesundheitsinformationstechnologie, das Büro für technologische Forschung der Federal Trade Commission und die Abteilung für Cybersicherheit und Kommunikationszuverlässigkeit der Federal Communications Commission.

Darüber hinaus würde der FDA-Commissioner für die Auswahl von Vertretern der Privatindustrie verantwortlich sein, darunter Medizinprodukte-Hersteller, Gesundheitsdienstleister, Versicherungsträger, Anbieter von Gesundheits-IT und Entwickler von mobilen Medizin-Apps, Cloud-Computing und drahtlosen Netzwerken.

Schwerpunkte der Arbeitsgruppe

Laut Gesetzesvorschlag sollte der Abschlussbericht der Arbeitsgruppe die folgenden Punkte abdecken:

• Identifikation der derzeit verfügbaren Cybersicherheitsnormen, Strukturen und bewährten Praktiken, die geeignet sind, um Sicherheitslücken von Medizinprodukten und Medizintechnik zu beheben.
• Identifikation von US-amerikanischen und internationalen Cybersicherheitsnormen, die derzeit eingesetzt werden oder entwickelt werden, die Sicherheitslücken beheben können.
• Identifikation von wichtigen Sicherheitslücken, bei denen neue oder aktualisierte Cybersicherheitsnormen erforderlich sind.
• Maßnahmenpläne zur Minderung dieser wichtigen Sicherheitslücken

Empfehlungen der Gesundheitsbranche für die Arbeitsgruppe             

Wie sehr stimmt der Gesetzesvorschlag mit den Anfang 2017 veröffentlichten Empfehlungen der HCIC-Arbeitsgruppe überein?  

Die im Rahmen des Cybersecurity Act von 2015 eingerichtete HCIC-Arbeitsgruppe identifizierte mehrere wichtige Bereiche, die behandelt werden müssen, um die hohe Verletzlichkeit des US-Gesundheitssystems gegenüber Cyberbedrohungen zu reduzieren:

• Definition von Aufsicht und Erwartungen bei der Verwaltung von Cybersicherheits-Maßnahmen im Medizinprodukte- und Gesundheitssektor
• Verbesserung der Sicherheit und Robustheit von Medizinprodukten sowie von Gesundheitstechnik und Netzwerken
• Verbesserung des Bewusstseins und der technischen Kenntnisse des medizinischen Personals zur Cybersicherheit
• Verbesserung des Bewusstseins für Cybersicherheit und der Kenntnisse zum Thema in der Gesundheitsbranche
• Verbesserter Schutz in der Forschung und Entwicklung sowie von geistigem Eigentum gegen Cyberangriffe
• Verstärkter Austausch über Bedrohungen, Sicherheitslücken und Gegenmaßnahmen in der Gesundheitsbranche

Der Vorschlag im Rahmen des Internet of Medical Things Resilience Partnership Act, eine Arbeitsgruppe aus Vertretern der Behörden und der Industrie scheint mit den Bemühungen der HCIC-Task-Force zur Verbesserung der Zusammenarbeit zwischen öffentlichem und privatem Sektor übereinzustimmen. Der Bericht der HCIC-Task-Force enthält aber auch sehr detaillierte Empfehlungen und Maßnahmenvorschläge zur Verbesserung der Cybersicherheit. Angenommen der derzeit besprochene Gesetzesvorschlag wird umgesetzt, stellt sich jedoch die Frage, ob die neue Arbeitsgruppe auf diesen detaillierten Empfehlungen aufbauen wird oder diese einfach wiederholen wird?

Anura Fernando, leitender Techniker für Interoperabilität und Sicherheit von medizinischen Systemen bei UL und Mitglied der HCIC-Task-Force, meint, dass eine rasche Umsetzung von Gesetzgebung wie dem Internet of Medical Things Resilience Partnership Act zur Beseitigung von Cybersicherheitslücken in der Gesundheitsbranche wünschenswert ist.

„Als Mitglied der Task-Force hoffe ich, dass Gesetze wie dieses helfen können, rasch Öffentlich-private-Partnerschaften aufzubauen, die den Bedarf nach Aufsicht in Bezug auf die Cybersicherheit in der Branche unterstützen, Lösungen bieten, um die Annäherung von Medizinprodukten und Gesundheits-IT zu berücksichtigen, und die Basis der Interessenvertreter zum Informationsaustausch erweitern, um letztendlich die Sensibilisierung in Bezug auf die Cybersicherheit und die Bereitschaft in diesem Sektor zu verbessern“, sagt Fernando.

Weitere Ressourcen für den US-Markt und zur Cybersicherheit von Emergo:

• Beratung und Unterstützung in Bezug auf die Cybersicherheit von Medizinprodukten
• Beratungsleistungen in Bezug auf drahtlose Vernetzung von Medizinprodukten
• Beratungsleistungen für Medizinprodukte-und IVD-Unternehmen zu FDA-Vorschriften
• Webinar (auf English): Cybersicherheits-Normen und FDA-Richtlinien
• Whitepaper (auf Englisch): FDA-Vorschriften in Bezug auf Cybersicherheit für Medizinprodukte