Risikomanagement & ISO 14971

Mittwoch, 24. Februar 2021 | Christian Rosenzweig

Dritte Ausgabe der ISO 14971 – Was sich ändert

Die dritte Ausgabe der ISO 14971 steht seit Dezember 2019 bereit.

Die neue Version der ISO 14971 wurde als ISO 14971:2019 publiziert. Sie ist eine evolutionäre Weiterentwicklung der ISO 14971:2007 und bricht nicht mit den bisherigen Konzepten.
 

Hersteller sollten sich mit den neuen und geänderten Anforderungen dieser Norm vertraut machen. Noch im Dezember 2019 hat die FDA die 3. Ausgabe Norm der ISO 14971 anerkannt. Mehr zu den Übergangsfristen weiter unten.

Beitrag lesen

Health IT & Medizintechnik

Montag, 8. Februar 2021 | Christian Rosenzweig

IT-Sicherheit im Gesundheitswesen

Wie gefährdet die IT-Sicherheit im Gesundheitswesen ist, wissen wir nicht erst seit Februar 2016: Damals wurden die IT-Infrastrukturen vieler Kliniken durch einen einfachen Virenangriff stillgelegt. Daher drängen die Behörden strenger darauf, dass nicht nur Kliniken, sondern auch Hersteller die IT-Sicherheit ihrer (Medizin-)Produkte gewährleisten.

In diesem Artikel erhalten Sie einen Überblick darüber, was die IT-Sicherheit im Gesundheitswesen gefährdet und was Sie dagegen tun können und müssen. Damit wird es Ihnen gelingen, regulatorischen Ärger zu vermeiden und Produkte sicher zu entwickeln und zu betreiben.

Update: Im Kapitel 3. a) die aktuellen Veröffentlichungen des BSI eingefügt. Das verschafft Ihnen einen schnellen Überblick über 120 Seiten.

Beitrag lesen

Software & IEC 62304

Donnerstag, 4. Februar 2021 | Christian Rosenzweig

CVSS Common Vulnerability Scoring System

Das Common Vulnerability Scoring System CVSS dient in der IT Security nicht nur der Klassifizierung des Schweregrads von Software-Schwachstellen. Dieses CVSS-Framework wird auch genutzt, um diese Schwachstellen zu charakterisieren und einheitlich zu einzuschätzen.

Lernen Sie dieses Common Vulnerability Scoring System CVSS verstehen und damit die Meldungen der NIST. Diese Meldungen sollten Sie als Hersteller (z.B. von Medizinprodukten) kontinuierlich überwachen, um Risiken für Ihre Produkte einschätzen und beherrschen zu können. Das hilft Ihnen, die gesetzlichen Vorgaben zu erfüllen.

Beitrag lesen

Auf was Sie bei der Systementwicklung von Medizinprodukten achten müssen

Mittwoch, 3. Februar 2021 | Prof. Dr. Christian Johner

IEC 60601-4-5: Die Norm zur IT-Sicherheit auch für Standalone-Software?

Die Normenfamilie IEC 60601 ist eigentlich nur für medizinisch elektrische Geräte anzuwenden. Doch die IEC 60601-4-5 bildet eine Ausnahme: Dieser Technical Report zur IT-Sicherheit hat alle Medizinprodukte im „Scope“, die in IT-Netzwerke eingebunden sind. Das betrifft auch Software as a Medical Device.

Erfahren Sie, welche Anforderungen die IEC 6TR 0601-4-5 an Hersteller und Betreiber stellt. Diese Norm gibt Ihnen z.B. konkrete Hinweise, welche Maßnahmen zur Verbesserung der IT-Sicherheit Sie umsetzen müssen und von welchen Faktoren diese Verpflichtung abhängt.

Damit will Ihnen die Norm helfen,

  • sichere Produkte zu entwickeln,
  • gleichzeitig unnötige Aufwände zu vermeiden und
  • die Chancen zu erhöhen, Probleme bei der Zulassung Ihres Produkts zu vermeiden.
Beitrag lesen

Health IT & Medizintechnik

Dienstag, 20. Oktober 2020 | Katrin Schnetter

ISO 27001: IT-Sicherheitsmanagement für alle Medizinproduktehersteller?

Die ISO 27001 und die Informationssicherheitsmanagementsysteme (ISMS) werden bei ISO-13485-Audits immer häufiger zum Thema. Die Regularien geben dazu Anlass. Dazu zählt u.a. die Digitale-Gesundheitsanwendungen-Verordnung (DiGAV), die die ISO 27001 in den Fokus vieler Medizinproduktehersteller gerückt hat.

Hersteller müssen die regulatorischen Anforderungen erfüllen, um Ärger mit Behörden und Benannten Stellen zu vermeiden und um Patienten nicht zu gefährden. Sie sollten aber keine unnötigen Aufwände betreiben. Daher sollten sie verstehen,

  • ob sie das Thema ISMS und damit die ISO 27001 überhaupt betrifft,
  • welche Anforderungen die ISO 27001 an sie stellt und
  • wie sie ggf. ein solches ITSM einführen können (insbesondere, wenn es bereits ein QMS gibt).
Beitrag lesen

Software & IEC 62304

Dienstag, 6. November 2018 | Prof. Dr. Christian Johner

IEC 62443-4-1: IT-Sicherheit als Teil das Produktlebenszyklus

Die IEC 62443-4-1 ist Teil einer Normenfamilie zur „IT-Sicherheit für industrielle Automatisierungssysteme“.

Dieser Artikel stellt Ihnen den Teil 4-1 vor, der Anforderungen an den Lebenszyklus (Entwicklung, Wartung) von sicheren Produkten stellt. Er untersucht auch, ob diese Norm für Hersteller von Medizinprodukten sinnvoll anwendbar ist.

Beitrag lesen


FDA Zulassung - die U.S. Food and Drug Administration

Dienstag, 23. Oktober 2018 | Christian Rosenzweig

Cybersecurity in Medical Devices: FDA Guidance Dokumente

Das Thema Cybersecurity steht zur Zeit sehr im Fokus der FDA. Die US-Gesundheitsbehörde hat dazu drei Guidance Dokumente veröffentlich, die sich an Hersteller von Medizinprodukten wenden, allerdings mit unterschiedlichem Fokus.
  1. Das FDA Guidance Dokument „Cybersecurity in Medical Devices“ wendet sich an alle Medizinproduktehersteller, der Produkte Software enthalten oder eigenständige Software sind. Der Fokus liegt auf der Entwicklungsphase (Pre-Market).
  2. Das Dokument „Postmarket Management of Cybersecurity in Medical Device“ schildert die Ansichten der FDA bezüglich der Phase nach der Entwicklung.
  3. Das Dokument „Cybersecurity for Networked Medical Devices Containing Off-the-Shelf (OTS) Software“ ist lediglich ein FAQ.

Update: Die FDA hat einen Entwurf für ein Update des Pre-Market Cybersecurity Guidance Documents verfasst. Was die FDA darin fordert, finden Sie hier zusammengefasst.

Update: Die FDA hat „Best Practices for Communicating Cybersecurity Vulnerabilities to Patients“ veröffentlicht.
Beitrag lesen


Regulatory Affairs

Montag, 4. Juni 2018 | Astrid Schulze

EU Datenschutzgrundverordnung DSGVO

Die EU Datenschutzgrundverordnung (DSGVO) – auf englisch „General Data Protection Regulation“ (GDPR) – muss spätestens ab dem 25. Mai 2018 eingehalten werden.

Viele Firmen, darunter auch Medizinproduktehersteller und Betreiber wie Krankenhäuser, sind darauf nicht ausreichend vorbereitet.

Dieser Beitrag verschafft einen Überblick über die wesentlichen Konzepte und Forderungen der Datenschutzgrundverordnung und beleuchtet Aspekte, die für den Kontext der Medizinprodukte relevant sind.

Beitrag lesen


Health IT & Medizintechnik

Mittwoch, 2. Mai 2018 | Christian Rosenzweig

Risikomanagement im Krankenhaus und bei anderen Betreibern

Das Risikomanagement im Krankenhaus ist ein vielschichtiges Thema, da verschiedene Stakeholder verschiedene Interessen verfolgen.

Das medizinische Personal versucht Risiken für Patienten zu minimieren, die beispielsweise durch falsches ärztliches Handeln entsteht. Die Geschäftsführung ist daran interessiert, gesetzliche und versicherungsrechtliche Risiken zu beherrschen und gleichzeitig den ökonomischen Erfolg zu sichern. Die IT und Medizintechnik fokussieren auf Risiken, die durch die Technologien entstehen.

Beitrag lesen


Health IT & Medizintechnik

Dienstag, 16. Januar 2018 | Prof. Dr. Christian Johner

Fuzz-Testing: IT-Sicherheit von Produkten bewerten

Fuzz-Testing ist eine Methode zur Identifizierung bisher nicht-erkannter Schwachstellen und Sicherheitslücken in Software (stand-alone oder embedded), die die Schnittstellen der Systeme automatisiert mit korrekten oder falschen Werten testet.

Beitrag lesen