Cyber Security in der ISO 13485

Die ISO 13485 legt die Anforderungen an ein Qualitätsmanagementsystem für Medizinprodukte fest. Obwohl die Norm selbst keine spezifischen und detaillierten Anforderungen an die Cybersicherheit enthält, ist es unerlässlich, Cybersicherheitsaspekte in verschiedene Klauseln des Qualitätsmanagementsystems zu integrieren, um die Sicherheit und Wirksamkeit von Medizinprodukten zu gewährleisten.
Hier sind einige Schlüsselbereiche der ISO 13485 und wie sie mit Cybersicherheit in Verbindung stehen:

• Dokumentationsanforderungen (Abschnitt 4.2): Es müssen Aufzeichnungen über Cybersicherheitsrichtlinien, -verfahren und -kontrollen geführt werden. Cybersicherheitsvorfälle müssen dokumentiert und im Rahmen des Qualitätsmanagementsystems untersucht werden.
• Kommunikation (Abschnitte 5.6 und 7.2): Es müssen klare Kommunikationswege für die Meldung von Cybersicherheitsvorfällen eingerichtet sein.
  Schulung und Kompetenz (Abschnitt 6.2): Mitarbeiter sollten in Cybersicherheitsbewusstsein und -praktiken geschult sein, und es sollten Aufzeichnungen über diese Schulungen geführt werden.
• Risikomanagement (Abschnitt 7.1): Die ISO 13485 erfordert einen systematischen Ansatz für das Risikomanagement über den gesamten Produktlebenszyklus. Dies sollte auch die Bewertung und Minderung von Cybersicherheitsrisiken wie Software-Schwachstellen, unbefugtem Zugriff und Datenlecks umfassen.
• Design und Entwicklung (Abschnitt 7.3): Bei der Entwicklung von Medizinprodukten müssen Cybersicherheitsanforderungen in den Designprozess einbezogen werden. Dies beinhaltet sichere Softwareentwicklungspraktiken und die Validierung der Wirksamkeit von Cybersicherheitskontrollen.
• Produktion und Dienstleistungserbringung (Abschnitt 7.5): Cybersicherheitskontrollen sollten in den Herstellungsprozess implementiert und während des gesamten Lebenszyklus des Geräts, einschließlich der Wartung, aufrechterhalten werden.
• Lenkung von Überwachungs- und Messmitteln (Abschnitt 7.6): Alle Überwachungs- und Messgeräte, die in der Produktion oder Wartung verwendet werden, müssen vor Cybersicherheitsbedrohungen geschützt sein.

Obwohl die ISO 13485 keine expliziten Cybersicherheitsdetails vorschreibt, ist die Einbeziehung von Cybersicherheitsmaßnahmen in diese Bereiche entscheidend, um die Sicherheit und Effektivität von Medizinprodukten zu gewährleisten. Andere Normen und Richtlinien wie ISO/IEC 27001 und IEC 62304 können ergänzend herangezogen werden, um detailliertere Cybersicherheitsanforderungen zu erfüllen.