Cybersecurity – TÜV SÜD prüft IVD-Medizinprodukte

Auch die medizinische Infrastruktur besteht inzwischen aus Netzwerken und Computersystemen, die oftmals sensible Daten verarbeiten. Viele unterschiedliche Schnittstellen bedeuten ebenso viele mögliche Sicherheitslücken. Daher müssen Hersteller entsprechend der Verordnung (EU) 2017/746 über In-vitro-Diagnostika (IVDR) vor dem Inverkehrbringen ihrer Produkte deren Cybersecurity nachweisen. Die dabei geltenden Übergangsfristen für bereits zertifizierte Produkte wurden nach Risikoklassen gestaffelt und laufen ab 26. Mai 2025 (Risikoklasse D) ab. Für Risikoklasse C ist der Termin der 26. Mai 2026, für Klasse B und für Produkte der Klasse A, die in sterilem Zustand in Verkehr gebracht werden, der 26. Mai 2027.

„Das Thema betrifft alle Geräte, die mit einem Netzwerk verbunden werden können. In Krankenhaus-Laboren und -Stationen existieren zahlreiche IVD-Medizinprodukte, die mit Medizinprodukten und Informationssystemen vernetzt sind“, sagt Dr. Alexander Stock, Project Manager IVD Medical Device Testing bei TÜV SÜD. „Ein unbefugter Zugriff kann neben dem Verlust vertraulicher Daten vor allem die Patientensicherheit und sogar die öffentliche Gesundheit gefährden.“ Die Manipulation von Testdaten kann zu einer falschen Diagnose und somit zu einer falschen Therapie führen, aber auch zu Fehlschlüssen beispielsweise bei der Einschätzung zum Infektionsgeschehen in einer Pandemie. Hersteller und Betreiber von unsicheren Geräten müssen neben den finanziellen Risiken auch mit Imageschäden rechnen.

Cybersecurity-Risiken sollten frühzeitig und kontinuierlich über den gesamten Produktlebenszyklus berücksichtigt werden – von der Entwicklungsphase, über die Herstellung, Installation und Wartungsphase. Der Grund dafür ist, dass täglich neue Schwachstellen gefunden und veröffentlicht werden, die IVD-Geräte angreifbar machen können. Diese Sicherheitslücken kommen zum Beispiel aus Modulen oder Bibliotheken von Programmiersprachen und Betriebssystemen. Als Folge müssen die Hersteller kontinuierliche Risikoanalysen betreiben, permanent Updates für ihre Geräte anbieten, sie auf dem neuesten Stand halten und gegebenenfalls kurzfristig reagieren.

IVD-Geräte erfordern die gleiche Cybersecurity-Betrachtung wie vernetzte Medizinprodukte. Das schließt Threat Modeling beziehungsweise Threat-Analyse ein – Verfahren zum Cybersecurity-Risikomanagement – mit dem Ziel, die Bedrohungen frühzeitig zu identifizieren und Maßnahmen davon abzuleiten. Die verpflichtende regulatorische Basis ist die IVDR, deren Annex I grundlegende Anforderungen an die Cybersecurity enthält. Weitere Hilfestellung bieten die sogenannten MDCG-Leitlinien der Medical Device Coordination Group der EU, Positionspapier der Benannten Stellen, sowie die ISO 14971 für das Risikomanagement bei Medizinprodukten und die IEC 81001-5-1 für die sicherheitsbezogenen Aktivitäten im Software-Lebenszyklus.

TÜV SÜD verfügt über akkreditierte Prüflabore und bietet umfassende Prüfleistungen und Testing-Services für IVD-Geräte und -Produkte sowie produktindividuelle Cybersecurity-Tests. Je nach Stand des Produktes im Lebenszyklus umfasst das fünf Stufen:

• Training zu den Normen und regulatorischen Vorgaben,
• Early-Bird-Assessment,
• Fuzzing,
• Vulnerability Scanning,
• Penetration-Test (simulierter Cyberangriff).

Zudem betreibt TÜV SÜD das einzige akkreditierte Prüf- und Validierungslabor für die IEC TR 60601-4-5. Die Expertinnen und Experten kennen die unterschiedlichen länderspezifischen regulatorischen Anforderungen. Sie unterstützen Hersteller, ihre Geräte und Produkte sicher und zeiteffizient in Verkehr zu bringen und wissen auch um die Anforderungen an eine rechtssichere Dokumentation.

Whitepaper und weitere Informationen:

• Whitepaper zum Thema IVD Testing
• Whitepaper Cybersicherheit für Medizinprodukte nach IEC 81001
• Whitepaper Understanding the IEC TR 60601-4-5: Medical Electrical Equipment
• EU-Verordnung über In-vitro-Diagnostika IVDR