Mit der zunehmenden Bedeutung der Cybersicherheit in Medizinprodukten steigen auch die Anforderungen an den Risikomanagementprozess. Erfahren Sie, wie Sie mit einem gezielten Sicherheitsprozess die Gefahren für Ihre Produkte minimieren und gleichzeitig die Patientensicherheit gewährleisten können.
Die Cybersicherheit in Medizinprodukten ist kein "Nice-to-have" mehr, sondern eine Notwendigkeit. Normen wie die IEC 81001-5-1 und die FDA Guidance machen klar: Ein sicherer Produktlebenszyklus ist entscheidend.
Die beiden Begriffe „Security“ und „Safety“ lassen sich im deutschen beide mit dem Begriff „Sicherheit“ übersetzen, allerdings spiegelt diese Übersetzung nicht die grundlegenden Unterschiede zwischen den beiden wider. Während es sich bei der „Safety“ um die Patientensicherheit handelt, geht es bei der „Security“ um die Produktsicherheit:
Bei der Patientensicherheit steht laut den Definitionen der ISO 14971 der Schutz und die Sicherheit des Patienten im Fokus, aber auch der Schutz des Anwenders und der Nutzungsumgebung. Das Risikomanagement nach ISO 14971 betrachtet Risiken demnach rein aus der Sicht, wie wahrscheinlich es ist, dass eine Gefährdung für Patient, Nutzer oder Umgebung entstehen. Aus diesem Aspekt heraus werden ebenfalls die Schweregrade bestimmt, welche in der Regel eine Bandbreite von „Keine Auswirkungen“ bis hin zu „Irreversible Schäden oder Tod“ abbilden. Damit werden explizit Schädigungen und Beeinträchtigungen des Gerätes selbst, sowie wirtschaftliche Schäden für das Unternehmen ausgeklammert.
Bei der Produktsicherheit geht es ausnahmsweise nicht um die Patientensicherheit, sondern um den Schutz des Gerätes bzw. des medizinischen Systems. Hierbei ist es wichtig, dass die zu schützenden Assets – also die Teile des Systems, die einen Wert haben – definiert und priorisiert werden. Dabei werden explizit auch Unternehmenswerte, wie zum Beispiel die I.P. (Intellectual Property) oder auch das Image des Unternehmens als schützenswerte Assets angesehen. Während die Patientensicherheit sich über die Auftretungswahrscheinlichkeit und den Schweregrad bewerten lässt, geht es bei der Produktsicherheit um das Angriffspotential, welches sich aus den verschiedenen Bedrohungen (Threats) und Schwachstellen (Vulnerabilities) des Systems ergibt.
Der Unterschied zwischen Safety und Security ist ein essenzieller Aspekt bei der Klassifizierung und Bewertung der entsprechenden Risiken. Durch die grundlegend verschiedene Natur der zugrunde liegenden Ursachen ist es nötig zusätzliche Expertise aufzubauen und den Risikomanagementprozess des Unternehmens umzustrukturieren.
Die Einführung eines sicheren Risikomanagementprozesses, wie ihn die AAMI TIR57 empfiehlt, bietet die nötige Grundlage, um Cybersicherheitsrisiken zu minimieren und gleichzeitig die Patientensicherheit zu gewährleisten.
Erfahren Sie mehr über die Anforderungen an das Risikomanagement und wie Sie die Cybersicherheit in Ihren Medizinprodukten stärken können. Lesen Sie den vollständigen Artikel auf unserer Webseite.