CYBERBEZPIECZEŃSTWO WYROBÓW MEDYCZNYCH – wskazówki dla producentów
Dwa rozporządzenia w sprawie wyrobów medycznych 745/2017 (MDR) i 746/2017 (IVDR) (zwane dalej rozporządzeniami w sprawie wyrobów medycznych) weszły w życie 25 maja 2017 r. Oba rozporządzenia, które mają zastąpić trzy dyrektywy unijne, stosuje się stopniowo od maja 2021 r. dla wyrobów medycznych i od maja 2022 r. dla wyrobów medycznych do diagnostyki in vitro.
Wśród wielu wprowadzonych zmian, rozporządzenia znacznie zwiększają nacisk prawodawców na zagwarantowanie, że wyroby wprowadzane do obrotu w UE stawią czoła nowym wyzwaniom technologicznym związanych z zagrożeniami bezpieczeństwa cybernetycznego.
Dlatego rozporządzenia w sprawie wyrobów medycznych ustanawiają zupełnie nowe wymagania dotyczące cyberbezpieczeństwa wyrobów medycznych, zawierających elektroniczne programowalne systemy i oprogramowanie będące same w sobie wyrobem medycznym.
Rozporządzenia stawiają producentom wymagania polegające na opracowaniu i wytwarzaniu wyrobów medycznych zgodnie z aktualnym stanem wiedzy technicznej, uwzględniającym zasady zarządzania ryzykiem, w tym bezpieczeństwem informacji, a także wskazują, by określili oni minimalne wymagania dotyczące środków bezpieczeństwa informatycznego (w tym ochrony przed nieupoważnionym dostępem).
Wobec wielu pytań producentów Grupa Koordynacyjna ds. Wyrobów Medycznych (MDCG) wydała instrukcje wyjaśniające wytyczne w zakresie interpretacji załącznika 1 do rozporządzenia 2017/745 w sprawie wyrobów medycznych (MDR) określających cyberbezpieczeństwo wyrobów medycznych.
MDCG składa się z przedstawicieli wszystkich państw członkowskich, a przewodniczy jej przedstawiciel Komisji Europejskiej. MDCG została ustanowiona na mocy art. 103 rozporządzenia MDR i ma służyć radą i pomocą Komisji i państwom członkowskim w zapewnieniu zharmonizowanego wdrażania rozporządzeń w sprawie wyrobów medycznych.
Co rozumieć przez bezpieczeństwo IT, bezpieczeństwo informacji, bezpieczeństwo operacji?
Załącznik nr 1 do rozporządzenia MDR określa ogólne wymagania dotyczące sprzętu, charakterystyki sieci IT i środków bezpieczeństwa IT, w tym ochrony przed nieuprawnionym dostępem, które muszą spełniać producenci wyrobów medycznych. Główną definicją mającą znaczenie dla wszystkich wymogów dotyczących bezpieczeństwa cybernetycznego jest definicja „ryzyka” oznaczającego kombinację prawdopodobieństwa wystąpienia szkody i dotkliwości tej szkody. Mimo to Załącznik nr 1 do rozporządzenia MDR określa również trzy podstawowe koncepcje, które stanowią podstawę tych wymogów.
Termin „bezpieczeństwo IT” w odniesieniu do wyrobów medycznych rozumiany jest jako ochrona systemów informatycznych przed niekorzystnym wpływem na sprzęt, oprogramowanie lub dane oraz przed zakłócaniem lub niewłaściwym ukierunkowaniem świadczonych przez nie usług. MDCG wskazuje, że wymagania jakim powinno odpowiadać bezpieczeństwo IT powinny uwzględniać:
- obowiązek zachowania poufności informacji posiadanych przez producenta,
- wymagania dotyczące integralności zapewniającej autentyczność i dokładność informacji,
- oraz dostępność procesów, urządzeń, danych i połączonych systemów.
„Bezpieczeństwo operacyjne” rozumiane jest natomiast jako ochrona przed zamierzonym uszkodzeniem procedur lub przepływu informacji, których skutki będą niezamierzone przez ich właścicieli, projektantów lub użytkowników.
Pojęcie „Bezpieczeństwo informacji” należy rozumieć jako ochronę przed zagrożeniem kradzieży, usunięcia lub zmiany przechowywanych lub przekazywanych danych w ramach systemu informatycznego.
Bezpieczeństwo i efektywność
MDR wymaga, aby wyroby medyczne były bezpieczne i skuteczne oraz by nie zagrażały stanowi klinicznemu lub bezpieczeństwu pacjentów. Dlatego już na etapie projektowania wyrobu medycznego, producenci muszą uwzględniać wymogi związane z cyberbezpieczeństwem. Producenci wyrobów medycznych muszą zapewnić, aby wyrób medyczny był projektowany i wytwarzany w sposób całkowicie eliminujący lub przynajmniej minimalizujący ryzyko związane z tzw. racjonalnie przewidywalnymi warunkami środowiskowymi.
MDCG wskazuje, że kwestie bezpieczeństwa muszą być dobrze zaplanowane, a problemy mogą dotyczyć zarówno zbyt słabych jak i zbyt silnych zabezpieczeń:
- w przypadku słabej kontroli dostępu możliwa będzie szkodliwa modyfikacja działania wszczepionego urządzenia,
- w przypadku zbyt silnych środków bezpieczeństwa zapewniających w normalnych warunkach wysoki poziom ochrony (zwłaszcza jeśli jest niewłaściwie zaprojektowane) może spowodować, że w sytuacji kryzysowej personel medyczny będzie mieć ograniczony dostęp do urządzenia wszczepionego pacjentowi.
Dlatego też przy ocenie ryzyka ważne jest uwzględnienie kwestii bezpieczeństwa, nawet w przypadkach, gdy bezpieczeństwo nie jest wyraźnie określone w samych rozporządzeniach.
Bezpieczeństwo projektowanie i produkcja
Bezpieczeństwo, ochrona i skuteczność to kluczowe aspekty przy projektowaniu mechanizmów zabezpieczających dla wyrobów medycznych. Dlatego też producenci są zobowiązani do uwzględnienia tych aspektów na wczesnym etapie rozwoju wyrobu i procesu produkcyjnego, a także przez cały cykl życia wyrobu medycznego.
Należy przeprowadzić ocenę ryzyka, identyfikując i oceniając ryzyko związane z bezpieczeństwem i wydajnością wyrobu wynikające z zamierzonego lub przewidywalnego niewłaściwego użycia wyrobu. Następnie ryzyka te muszą być w miarę możliwości zredukowane do akceptowalnego poziomu.
Analiza ryzyka wyrobu pod kątem bezpieczeństwa powinna zatem uwzględniać wpływ luk w zabezpieczeniu na podstawowe funkcjonowanie produktu. Ocena ryzyka może zawierać listę ogólnych zagrożeń związanych z bezpieczeństwem zidentyfikowanych dla wyrobu, takich jak np.: odmowa dostępu, uszkodzenie pamięci, nieautoryzowany dostęp itp.
Przepisy dotyczące wyrobów medycznych wymagają od producentów uwzględnienia najnowszego stanu wiedzy podczas projektowania, opracowywania i unowocześniania wyrobów medycznych w całym cyklu ich życia. Producenci powinni wykazać, że w swoich decyzjach kierują się najnowszym stanem wiedzy (w oparciu o obowiązujące normy, wytyczne, własną wiedzę i publicznie dostępne informacje naukowe/techniczne), jednocześnie wykazując adekwatność do proporcjonalnego uwzględnienia ryzyka w zakresie bezpieczeństwa.
Minimalne wymagania dotyczące cyberbezpieczeństwa
Załącznik 1 do rozporządzenia MDR zawiera minimalne wymagania stawiane producentom wyrobów medycznych w zakresie cyberbezpieczeństwa. Ryzyko związane z bezpieczeństwem danych i systemów jest wyraźnie wymienione w ramach procesu zarządzania ryzykiem, aby uniknąć wątpliwości, że do zarządzania ryzykiem w zakresie cyberbezpieczeństwa związanym z wyrobami medycznymi potrzebny byłby odrębny proces. W odniesieniu do ryzyk związanych z bezpieczeństwem stosuje się jednak specjalne metody i wymagania.
Elementami tego procesu będą: analiza ryzyka, ocena ryzyka, kontrola ryzyka ], ocena szczątkowego ryzyka oraz raportowanie. Jeżeli ryzyko związane z bezpieczeństwem lub środki kontroli mogą mieć wpływ na bezpieczeństwo i skuteczność, należy je uwzględnić w ocenie ryzyka. Podobnie, wszelkie kontrole lub rozważania dotyczące ryzyka, które mogą mieć wpływ na bezpieczeństwo, powinny być włączone do analizy ryzyka.
Dokładne wymagania co do bezpieczeństwa IT powinny być określone w zależności od konkretnego wyrobu medycznego, niemniej producent musi szczególną uwagę zwrócić na elementy takie jak:
- zapewnienie w środowisku operacyjnym fizycznego bezpieczeństwa wyrobu medycznego,
- uwzględnienie w środowisku operacyjnym odpowiednie kontrole bezpieczeństwa,
Producent musi też określić minimalne wymagania dotyczące charakterystyki sieci informatycznych oraz środki dotyczące cyberbezpieczeństwa, w tym ochrony przed nieuprawnionym dostępem, których nie można było zaimplementować w projekcie wyrobu medycznego.
Ponadto producenci muszą dostarczyć przejrzystą instrukcję obsługi urządzenia z uwzględnieniem cyberbezpieczeństwa oraz wytyczne dotyczące kontroli bezpieczeństwa IT związane ze środowiskiem operacyjnym.
Wszystkie minimalne wymagania dotyczące środowiska operacyjnego dotyczące cyberbezpieczeństwa muszą być również określone w oparciu o szereg zasad wymienionych w wytycznych. Dla przykładu wszelkie sugerowane wymagania dotyczące bezpieczeństwa środowiska operacyjnego muszą opierać się na ocenie ryzyka przeprowadzonej dla danego wyrobu medycznego. Ponadto urządzenia medyczne muszą być jak najbardziej niezależne od innych czynników cyberbezpieczeństwa. Wreszcie, domniemania producenta dotyczące cyberbezpieczeństwa środowiska operacyjnego muszą być jasno określone w instrukcjach i zgodne z najlepszymi praktycznymi standardami bezpieczeństwa.
Inne wymagania dotyczące cyberbezpieczeństwa
Istnieje jeszcze szereg innych wymagań dotyczących cyberbezpieczeństwa, które nie są wymienione w załączniku 1 do rozporządzenia MDR, ale których producenci muszą nadal przestrzegać. Są to na przykład wymagania dotyczące ochrony prywatności i danych, nadzoru po wprowadzeniu do obrotu oraz zgłaszania poważnych incydentów z udziałem urządzenia. Jednak wymogi te należy interpretować w odniesieniu do konkretnego wyrobu medycznego.
Masz wątpliwości dotyczące obowiązków jakie muszą spełnić Twoje wyroby medyczne? Odezwij się do nas na: office@ipsolegal.pl lub bezpośrednio do Błażeja Wągiela, który chętnie odpowie na pytania dotyczące prawa medycznego i farmaceutycznego i wszystkich kwestii związanych z wymogami jakie muszą spełnić wyroby medyczne.
Pozostałe artykuły z serii dotyczącej MDR:
MDD vs MDR – zrozumieć różnice regulacji rynku wyrobów medycznych
Rozporządzenie MDR – Wskazówki dla branży MedTech&Healthcare