2023 US-Gesamtgesetz: Neue Horizonte für die Sicherheit von Medizinprodukten

Der aktuelle Stand der Cybersicherheit im Gesundheitswesen ist im Fluss. Angesichts des kontinuierlichen Anstiegs der Anzahl und des Ausmaßes versuchter und erfolgreicher Cyberkriminalität müssen Gesundheitsorganisationen und Hersteller medizinischer Geräte heute über ein robustes Schwachstellenmanagement und einen Prozess zur Meldung von Vorfällen verfügen. Schließlich sind nicht behobene Cyberschwachstellen in den von Krankenhäusern und Kliniken verwendeten medizinischen Geräten wie ungesicherte Türen, die Eindringlinge - oder in diesem Fall Cyberkriminelle - einladen.

Anfang 2023 wurde das US-Gesamtfinanzierungsgesetz (Omnibus Appropriations Bill) verabschiedet, das die US Food and Drug Administration (FDA) mit Finanzmitteln und der rechtlichen Befugnis ausstattet, die Cybersicherheit von Medizinprodukten zu regulieren.

Dies stellt eine neue Grenze für die Sicherheit von Medizinprodukten dar, da es keine Rechtsvorschriften gibt, die sich speziell mit den Sicherheitsanforderungen für Medizinprodukte befassen. Stattdessen hat jeder medizinische OEM seine eigenen Richtlinien und Verfahren, wie er die Cybersicherheit für seine Geräte (unterstützende Systeme) und Angebote auf der Grundlage der von der FDA bereitgestellten Leitlinien handhabt.

In einigen Fällen sind diese Maßnahmen zwar angemessen, doch in den meisten Fällen bleiben die Cyberschwachstellen bestehen.

Die Hersteller müssen nun einen Rahmen für die sichere Produktentwicklung einführen, bei dem die Cybersicherheit in die Geräte integriert wird. Das bedeutet, dass das Prinzip "Secure by Design" angewandt werden muss, um die Sicherheit und Effektivität eines Geräts zu gewährleisten, wobei die Cybersicherheit ein integraler Bestandteil ist, und um ein Verfahren zur Verfolgung von Schwachstellen zu ermöglichen, die in der Zukunft nach der Freigabe des Produkts entdeckt werden könnten.

In dem im März 2023 unterzeichneten Omnibus-Gesetz heißt es weiter, dass die festgelegten Cybersicherheitsanforderungen von allen Medizinprodukten erfüllt werden müssen, die Software enthalten, eine Verbindung zum Internet herstellen oder Cyber-Bedrohungen ausgesetzt sein können.

Sie fasst zusammen, was die FDA von den Herstellern hinsichtlich der von ihnen zu erbringenden Nachweise erwartet, und stützt sich dabei auf die Empfehlung der FDA vom April 2022. Demnach muss jeder neue Antrag auf Zulassung eines Medizinprodukts folgende Bedingungen erfüllen:

Abschnitt 524B - a

Vorlage eines Plans zur Überwachung, Identifizierung und Behebung (innerhalb eines angemessenen Zeitraums) von Cybersicherheitsschwachstellen nach der Markteinführung, einschließlich der Offenlegung von Schwachstellen und der entsprechenden Verfahren.

Abschnitt 524B - b

Konzeption, Entwicklung und Pflege von Prozessen und Verfahren, die gewährleisten, dass die Produkte und zugehörigen Systeme cybersicher sind, und dass nach dem Inverkehrbringen Updates und Patches für die Produkte/zugehörigen Systeme zur Verfügung gestellt werden. Dies umfasst SBOM (Software BOM) - kommerzielle, OTS/Open-Source-Softwarekomponenten.

Abschnitt 524B - c

Für Software, die vom Sponsor als Produkt oder in einem Produkt validiert, installiert oder genehmigt wurde. Dazu gehören vom Sponsor validierte und installierte technologische Merkmale, die für Cybersicherheitsbedrohungen anfällig sein könnten.

Abschnitt 524B - d - Ausnahmen und Datum des Inkrafttretens

Im Bundesregister sind einige Fälle aufgeführt - bestimmte Produkte / Produktkategorien - die von der Einhaltung der Cybersicherheitsanforderungen ausgenommen sind.

Die vorgeschlagenen Änderungen sollen am 1. April 2023 für alle neuen Einreichungen von MedTech-OEMs bei der FDA wirksam werden.

Nach Inkrafttreten des Omnibus-Gesetzes ist jeder, der ein cyberfähiges Medizinprodukt bei der FDA einreicht, dazu verpflichtet:

• Dem FDA-Sekretär einen Plan zur rechtzeitigen Verfolgung, Erkennung und Behebung von Cybersicherheitslücken nach der Markteinführung vorlegen, einschließlich einer koordinierten Offenlegung von Schwachstellen und entsprechender Verfahren;
• Prozesse und Verfahren zu entwickeln, zu schaffen und aufrechtzuerhalten, die ein vertretbares Maß an Sicherheit bieten, dass das Produkt und die zugehörigen Systeme cyber-sicher sind, und nach dem Inverkehrbringen Updates und Patches für das Produkt und die zugehörigen Systeme zur Verfügung zu stellen:
  • Bekannte inakzeptable Schwachstellen in einem vertretbaren regelmäßigen Zyklus;
  • Kritische Schwachstellen so schnell wie möglich außerhalb des Zyklus; und
• Bereitstellung einer Software-Stückliste für den FDA-Sekretär, einschließlich kommerzieller, Open-Source- und handelsüblicher Softwarekomponenten.

Als Hersteller von Medizinprodukten bietet die überarbeitete Landschaft daher neue Möglichkeiten für Sie, robuste Cybersicherheitsfunktionen während des gesamten Produktlebenszyklus bereitzustellen. Neben der Erfüllung der gesetzlichen Anforderungen würde Ihnen dies auch helfen, neue Werte auf dem Markt zu erschließen und das Vertrauen Ihrer Kunden zu gewinnen.

Mit dem Inkrafttreten des Gesetzes können wir also davon ausgehen, dass wir in der gesamten Medizinproduktelandschaft ein neu belebtes und sicheres Cyberumfeld erleben werden, das zum Schutz vor den wachsenden Herausforderungen durch Cyberkriminelle weltweit beitragen wird.