Samhället digitaliseras allt mer, vilket i sig medför risker. I synnerhet kopplat till cybersäkerhet. Grundbultar i samhället såsom energi, transport, vatten, bank och finansiella marknadsstrukturer behöver säkras upp. Detta gäller även hälso- och sjukvården samt all vår digitala infrastruktur. Alla dessa sektorer är avgörande för vår ekonomi och vårt samhälle, då samtliga förlitar sig på en fungerande och säker informations- och kommunikationsteknik. Rätt teknik, som följer gällande lagar och regler, kan skydda samhällskritiska funktioner och minska riskerna för cyberattacker.
NIS2-direktivets effekter för tillverkare av medicinteknisk utrustning
NIS2-direktivet trädde i kraft under 2023 med syftet att höja den övergripande nivån kring cybersäkerhet inom EU. Lagstiftningen är en reaktion på den ökade digitaliseringen och den upptrappade hotbilden inom just cybersäkerhet. Så vad innebär då detta för dig som tillverkare av medicintekniska produkter och vilka åtgärder kommer krävas?
En av grundstenarna i Medical Device Regulation (MDR) och In Vitro Device Regulation (IVDR) är de så kallade allmänna kraven på säkerhet och prestanda, ofta refererat till som GSPR från engelskans ’General Safety and Performance Requirements’. Det vanligaste sättet att visa att man uppfyller dessa GSPR-krav i regelverket är att använda sig av så kallade ’harmoniserade standarder’ samt även de Guidedokument som EU-kommissionen ger ut. Syftet med guidedokumenten är att kommunicera den aktuella tolkningen av hur regelverken ska appliceras.
Standarder i praktiken – vad gäller?
När det kommer till cybersäkerhet så finns guiden MDCG 2019–16 Rev 1 (Guidance on cybersecurity for medical devices) som ger vägledning till vilka GSPR-krav som indirekt påverkas av cybersäkerhetkraven. Guiden ger bra generell information, men saknar konkreta slutsatser om vilka standarder som kan användas för att påvisa kravuppfyllnad. MDCG 2019–16 Rev 1 refererar till ca 20 cyberrelaterade standarder varav många är överlappande. Vilka standarder ska du då använda dig av? Det finns inget enkelt svar på den frågan eftersom det just nu är lite otydligt exakt vad som gäller kring standarderna.
Som tillverkare av medicintekniska produkter är IEC 81001-5-1 (Health software and Health IT systems safety, effectiveness and security; Security, activities in the product life cycle) ofta den standarden man utgår ifrån och även den standard som Notified Body (Anmälda organ) efterfrågar som en del av den tekniska dokumentationen för tillverkarens CE-märkningen. Intressanta är dock att just denna standard ännu inte finns omnämnd i MDCG 2019–16 Rev 1, men den planeras bli harmoniserad med MDR/IVDR i maj 2024. Det finns med andra ord en viss fördröjning i processen med regelverk och standarder så det gäller att vara påläst.
Vilket är det första steget?
Hot-modellering (threath modelling), för ditt system eller produkt, är ett bra första steg. Det är ett sätt att identifiera och dokumentera den aktuella hotbilden samt möjliga attackvägar in i produkten/systemet. Detta ligger sedan till grund för det fortsätta arbetet kring cyberrelaterade risker. När existerande hot väl har identifierats så kan skydd implementeras i form av In-depth-Design, autentisering, övervakning med mera för att skydda känslig data. Notera att det kanske inte alltid är just din produkt som är det primära målet för en hackare, utan det kan även vara åtkomsten till ett sjukhus IT-system, via din produkt, som är det slutgiltiga målet. Övergripande syftet kan till exempel vara att kunna stänga ner hela eller låsa delar av ett sjukhus, för att senare begära ut pengar för att låsa upp, det som kallas ransomware.
Cybersäkerhet och IEC 62304 Livscykelprocesser för programvara
En av de stora fördelarna med IEC 81001-5-1 är att den är harmoniserad med IEC 62304 (Software lifecycle processes) för mjukvaruutveckling. Med andra ord är det relativt enkelt att väva in ytterligare krav kring sina processer för mjukvaruutvecklingen kopplat till just cybersäkerhet. Största tilläggen berör mjukvaruarkitekturen och ’Secure design’ där man designar sin mjukvara på ett sådant sätt att det är svårare att få tillgång till känslig information eller till delar av systemet för obehöriga. När det handlar om testning av mjukvara tillkommer en del tester såsom THREAT mitigation testing, VULNERABILITY testing och så kallad Penetration testing.
Process för hantering av säkerhetsrisker
Att hantera risker relaterade till cybersäkerhet kräver ett lite annat tankesätt än när man hanterar mer traditionella patient- och operatörsrisker. Här kommer själva hotet utifrån i stället och handlar dessutom inte nödvändigtvis om just din produkt, utan kan handla mer om var den används i ett IT-system. IEC 81001-5-1inkluderar en alternativ riskprocess för att hantera just dessa typer av hot, kallad ’Security Risk Management Process’ där man identifierar sårbarheter, yttre hot och vilka konsekvenser dessa kan ha. Här är det viktigt att inte bara titta isolerat på sin produkt, utan även inkludera var och hur den ska installeras i ett större sammanhang, dvs hela IT-strukturen.
Eftermarknadsanalys
En annan viktig del i cybersäkerhetstänket är att ha utökade kontroller i sin eftermarknadsanalys (Post Market Surveillance) då hoten utifrån kontinuerligt modifieras. Det kan tex vara nya typer av cyberhot, nya angreppssätt, nya metoder, etc som behöver adresseras i din produkt. Det kan alltså bli nya krav och risk-mitigeringar som måste implementeras i din produkt på grund av yttre omständigheter.
Avslutningsvis: att tänka på
Det är viktigt att komma ihåg att cybersäkerhet inte bara handlar om just din produkt och dess säkerhet. NIS2 handlar om att skydda våra samhällskritiska system på riksnivå, för till exempel bank, hälso- och sjukvård, och i det spelar din produkt en viktig roll.
Tillverkar ditt företag medicintekniska produkter? Då känner du antagligen till de ökade kraven i och med inträdet av NIS2-direktivet. Har du behov av hot-modellering, GAP-analys för cyber, utöka existerande SW eller annat inom ämnet så är du välkommen att kontakta en av våra experter.
Pst! Håll dig ständigt uppdaterad genom att ha god kunskap om gällande standarder och guidedokument.
Standarder:
- IEC 62304 (Software lifecycle processes)
- IEC 81001-5-1 (Health software and Health IT systems safety, effectiveness and security; Security, activities in the product life cycle)
Guidedokument:
- MDCG 2019–16 Rev 1 (Guidance on cybersecurity for medical devices)
