Ablaufende Übergangsfristen In-vitro-Diagnostikum: IVD-Medizinprodukten auf Cybersecurity prüfen

Anbieter zum Thema

ET System electronic GmbH

Ahlborn Mess- und Regelungstechnik GmbH

RECOM Power GmbH

Komplexe medizinische Systeme mit unterschiedlichen Schnittstellen sind angreifbar. Hersteller müssen die Cybersecurity nachweisen. Übergangsfristen bereits zertifizierter Produkte laufen gestaffelt ab dem 26. Mai 2025 ab.

„Das Thema betrifft alle Geräte, die mit einem Netzwerk verbunden werden können. In Krankenhauslaboren und -stationen gibt es zahlreiche IVD-Medizinprodukte, die mit medizinischen Geräten und Informationssystemen vernetzt sind“, sagt Dr. Alexander Stock, Project Manager IVD Medical Device Testing bei TÜV SÜD. „Ein unbefugter Zugriff kann neben dem Verlust vertraulicher Daten vor allem die Patientensicherheit und sogar die öffentliche Gesundheit gefährden.“

Die Manipulation von Testdaten kann zu einer falschen Diagnose und damit zu einer falschen Therapie führen, aber auch zu Fehlschlüssen, zum Beispiel bei der Einschätzung des Infektionsgeschehens in einer Pandemie. Hersteller und Betreiber unsicherer Geräte müssen neben finanziellen Risiken auch mit Imageschäden rechnen.

Täglich werden neue Schwachstellen entdeckt

Cybersicherheitsrisiken sollten frühzeitig und kontinuierlich während des gesamten Produktlebenszyklus Produktlebenszyklus berücksichtigt werden – von der Entwicklungsphase über die Herstellung Wartungsphase. Denn täglich werden neue Schwachstellen entdeckt und veröffentlicht, die IVD-Geräte angreifbar machen können. Diese Schwachstellen stammen beispielsweise aus Modulen oder Bibliotheken von Programmiersprachen und Betriebssystemen. Als Konsequenz müssen die Daher müssen die Hersteller kontinuierlich Risikoanalysen durchführen, Updates für ihre Geräte anbieten, diese auf dem halten und bei Bedarf kurzfristig reagieren.

IVD-Geräte erfordern die gleiche Cybersecurity-Betrachtung wie vernetzte Medizinprodukte. Das schließt Threat Modeling bzw. Threat-Analyse ein – Verfahren zum Cybersecurity-Risikomanagement – mit dem Ziel, die Bedrohungen frühzeitig zu identifizieren und Maßnahmen davon abzuleiten. Die verpflichtende regulatorische Basis ist die IVDR, deren Annex I grundlegende Anforderungen an die Cybersecurity enthält. Weitere Hilfestellung bieten die sogenannten MDCG-Leitlinien der Medical Device Coordination Group der EU, Positionspapier der Benannten Stellen, sowie die ISO 14971 für das Risikomanagement bei Medizinprodukten und die IEC 81001-5-1 für die sicherheitsbezogenen Aktivitäten im Software-Lebenszyklus.

Bestmögliche Sicherheit mit einem Fünf-Stufen-Ansatz

TÜV SÜD verfügt über akkreditierte Prüflabore und bietet umfassende Prüfleistungen und Testing-Services für IVD-Geräte und -Produkte sowie produktindividuelle Cybersecurity-Tests. Je nach Stand des Produktes im Lebenszyklus umfasst das fünf Stufen:

• Training zu den Normen und regulatorischen Vorgaben,

• Early-Bird-Assessment,

• Fuzzing,

• Vulnerability Scanning und

• Penetration-Test (simulierter Cyberangriff).

TÜV SÜD betreibt zudem das einzige akkreditierte Prüf- und Validierungslabor für die IEC TR 60601-4-5. Die Expertinnen und Experten kennen die unterschiedlichen länderspezifischen regulatorischen Anforderungen. Sie unterstützen Hersteller, ihre Geräte und Produkte sicher und zeiteffizient in Verkehr zu bringen und wissen auch um die Anforderungen an eine rechtssichere Dokumentation.

IVD-Geräte und Produkte, die bereits vor dem Geltungsbeginn der IVDR rechtmäßig in Verkehr gebracht wurden, dürfen derzeit unter bestimmten Voraussetzungen weiterhin befristet in Verkehr gebracht werden (IVDR, Artikel 110). Allerdings laufen die Übergangsfristen je nach Risikoklasse des Produkts schon bald ab: Für Risikoklasse D ist es der 26. Mai 2025, für Klasse C der 26. Mai 2026, für Klasse B und für Produkte der Klasse A, die in sterilem Zustand in Verkehr gebracht werden, der 26. Mai 2027.

(ID:49524667)