Der aktuelle Stand der Cybersicherheit im Gesundheitswesen ist im Fluss. Angesichts des kontinuierlichen Anstiegs der Anzahl und des Ausma?es versuchter und erfolgreicher Cyberkriminalit?t m¨¹ssen Gesundheitsorganisationen und Hersteller medizinischer Ger?te heute ¨¹ber ein robustes Schwachstellenmanagement und einen Prozess zur Meldung von Vorf?llen verf¨¹gen. Schlie?lich sind nicht behobene Cyberschwachstellen in den von Krankenh?usern und Kliniken verwendeten medizinischen Ger?ten wie ungesicherte T¨¹ren, die Eindringlinge - oder in diesem Fall Cyberkriminelle - einladen.

Anfang 2023 wurde das US-Gesamtfinanzierungsgesetz (Omnibus Appropriations Bill) verabschiedet, das die US Food and Drug Administration (FDA) mit Finanzmitteln und der rechtlichen Befugnis ausstattet, die Cybersicherheit von Medizinprodukten zu regulieren.

Dies stellt eine neue Grenze f¨¹r die Sicherheit von Medizinprodukten dar, da es keine Rechtsvorschriften gibt, die sich speziell mit den Sicherheitsanforderungen f¨¹r Medizinprodukte befassen. Stattdessen hat jeder medizinische OEM seine eigenen Richtlinien und Verfahren, wie er die Cybersicherheit f¨¹r seine Ger?te (unterst¨¹tzende Systeme) und Angebote auf der Grundlage der von der FDA bereitgestellten Leitlinien handhabt.

In einigen F?llen sind diese Ma?nahmen zwar angemessen, doch in den meisten F?llen bleiben die Cyberschwachstellen bestehen.

Die Hersteller m¨¹ssen nun einen Rahmen f¨¹r die sichere Produktentwicklung einf¨¹hren, bei dem die Cybersicherheit in die Ger?te integriert wird. Das bedeutet, dass das Prinzip "Secure by Design" angewandt werden muss, um die Sicherheit und Effektivit?t eines Ger?ts zu gew?hrleisten, wobei die Cybersicherheit ein integraler Bestandteil ist, und um ein Verfahren zur Verfolgung von Schwachstellen zu erm?glichen, die in der Zukunft nach der Freigabe des Produkts entdeckt werden k?nnten.

91Ô­´´

In dem im M?rz 2023 unterzeichneten Omnibus-Gesetz hei?t es weiter, dass die festgelegten Cybersicherheitsanforderungen von allen Medizinprodukten erf¨¹llt werden m¨¹ssen, die Software enthalten, eine Verbindung zum Internet herstellen oder Cyber-Bedrohungen ausgesetzt sein k?nnen.

Sie fasst zusammen, was die FDA von den Herstellern hinsichtlich der von ihnen zu erbringenden Nachweise erwartet, und st¨¹tzt sich dabei auf die Empfehlung der FDA vom April 2022. Demnach muss jeder neue Antrag auf Zulassung eines Medizinprodukts folgende Bedingungen erf¨¹llen:

Abschnitt 524B - a

Vorlage eines Plans zur ?berwachung, Identifizierung und Behebung (innerhalb eines angemessenen Zeitraums) von Cybersicherheitsschwachstellen nach der Markteinf¨¹hrung, einschlie?lich der Offenlegung von Schwachstellen und der entsprechenden Verfahren.

Abschnitt 524B - b

Konzeption, Entwicklung und Pflege von Prozessen und Verfahren, die gew?hrleisten, dass die Produkte und zugeh?rigen Systeme cybersicher sind, und dass nach dem Inverkehrbringen Updates und Patches f¨¹r die Produkte/zugeh?rigen Systeme zur Verf¨¹gung gestellt werden. Dies umfasst SBOM (Software BOM) - kommerzielle, OTS/Open-Source-Softwarekomponenten.

Abschnitt 524B - c

F¨¹r Software, die vom Sponsor als Produkt oder in einem Produkt validiert, installiert oder genehmigt wurde. Dazu geh?ren vom Sponsor validierte und installierte technologische Merkmale, die f¨¹r Cybersicherheitsbedrohungen anf?llig sein k?nnten.

Abschnitt 524B - d - Ausnahmen und Datum des Inkrafttretens

Im Bundesregister sind einige F?lle aufgef¨¹hrt - bestimmte Produkte / Produktkategorien - die von der Einhaltung der Cybersicherheitsanforderungen ausgenommen sind.

Die vorgeschlagenen ?nderungen sollen am 1. April 2023 f¨¹r alle neuen Einreichungen von MedTech-OEMs bei der FDA wirksam werden.

91Ô­´´

Nach Inkrafttreten des Omnibus-Gesetzes ist jeder, der ein cyberf?higes Medizinprodukt bei der FDA einreicht, dazu verpflichtet:

• Dem FDA-Sekret?r einen Plan zur rechtzeitigen Verfolgung, Erkennung und Behebung von Cybersicherheitsl¨¹cken nach der Markteinf¨¹hrung vorlegen, einschlie?lich einer koordinierten Offenlegung von Schwachstellen und entsprechender Verfahren;
• Prozesse und Verfahren zu entwickeln, zu schaffen und aufrechtzuerhalten, die ein vertretbares Ma? an Sicherheit bieten, dass das Produkt und die zugeh?rigen Systeme cyber-sicher sind, und nach dem Inverkehrbringen Updates und Patches f¨¹r das Produkt und die zugeh?rigen Systeme zur Verf¨¹gung zu stellen:
  • Bekannte inakzeptable Schwachstellen in einem vertretbaren regelm??igen Zyklus;
  • Kritische Schwachstellen so schnell wie m?glich au?erhalb des Zyklus; und
• Bereitstellung einer Software-St¨¹ckliste f¨¹r den FDA-Sekret?r, einschlie?lich kommerzieller, Open-Source- und handels¨¹blicher Softwarekomponenten.

Als Hersteller von Medizinprodukten bietet die ¨¹berarbeitete Landschaft daher neue M?glichkeiten f¨¹r Sie, robuste Cybersicherheitsfunktionen w?hrend des gesamten Produktlebenszyklus bereitzustellen. Neben der Erf¨¹llung der gesetzlichen Anforderungen w¨¹rde Ihnen dies auch helfen, neue Werte auf dem Markt zu erschlie?en und das Vertrauen Ihrer Kunden zu gewinnen.

Mit dem Inkrafttreten des Gesetzes k?nnen wir also davon ausgehen, dass wir in der gesamten Medizinproduktelandschaft ein neu belebtes und sicheres Cyberumfeld erleben werden, das zum Schutz vor den wachsenden Herausforderungen durch Cyberkriminelle weltweit beitragen wird.