{"id":976141,"date":"2017-10-24T09:00:33","date_gmt":"2017-10-24T07:00:33","guid":{"rendered":"https:\/\/www.johner-institut.de\/blog\/?p=976141"},"modified":"2024-08-16T21:09:01","modified_gmt":"2024-08-16T19:09:01","slug":"aami-tir-57-it-security-medizinprodukte","status":"publish","type":"post","link":"https:\/\/www.johner-institut.de\/blog\/systems-engineering\/aami-tir-57-it-security-medizinprodukte\/","title":{"rendered":"AAMI TIR 57: IT-Sicherheit und Risikomanagement"},"content":{"rendered":"\n

Der TIR 57 ist ein \u201eTechnical Information Report\u201c der amerikanischen AAMI.<\/p>\n\n\n\n

Er m\u00f6chte Hilfestellung dabei geben, Risiken durch mangelnde IT-Sicherheit<\/a> von Medizinprodukten zu erkennen und zu beherrschen und so die Anforderungen der ISO 14971 an das Risikomanagement<\/a> zu erf\u00fcllen.<\/p>\n\n\n\n\n\n\n\n

TIR 57: Zusammenfassung f\u00fcr eilige Leser<\/h2>\n\n\n\n

Der AAMI TIR 57 ist ein Guidance Document, das Herstellern zeigen m\u00f6chte, wie sie die Anforderungen der ISO 14971 erf\u00fcllen k\u00f6nnen. Dazu benennt der TIR 57 f\u00fcr jedes Teilkapitel der ISO 14971 die notwendigen T\u00e4tigkeiten, um IT-Sicherheitsrisiken zu identifizieren, zu bewerten und zu beherrschen.<\/p>\n\n\n\n

Der TIR 57 taucht nicht tief in die Technologie ab und bietet keine Anleitung, wie Hersteller beispielsweise Buffer-Overflow-Schwachstellen identifizieren oder in der Entwicklung von vorneherein vermeiden k\u00f6nnen.<\/p>\n\n\n\n

Wenn Hersteller keinen dedizierten Risikomanagementprozess bzw. Risikomanagementplan f\u00fcr die IT-Sicherheit haben, empfiehlt es sich, diese Verfahrensanweisungen bzw. Pl\u00e4ne um die im TIR 57 genannten Aspekte zu erg\u00e4nzen.<\/p>\n\n\n\n

Verbindlichkeit des TIR 57<\/h2>\n\n\n\n

Der AAMI TIR 57 ist ein \u201eTechnical Information Report\u201c (TIR) und somit nicht per se verbindlich. Allerdings verlangen alle relevanten Vorschriften, dass Hersteller Risiken gem\u00e4\u00df \u201eStand der Technik\u201c identifizieren. Die EU-Medizinprodukteverordnung MDR<\/a> schreibt beispielsweise:<\/p>\n\n\n\n

\u201eBei Produkten, zu deren Bestandteilen Software geh\u00f6rt, oder bei Produkten in Form einer Software wird die Software entsprechend dem Stand der Technik<\/strong> entwickelt und hergestellt, wobei die Grunds\u00e4tze des Software-Lebenszyklus, des Risikomanagements einschlie\u00dflich der Informationssicherheit<\/strong>, der Verifizierung und der Validierung zu ber\u00fccksichtigen sind.\u201c MDR, Anhang I, Absatz 17.2<\/em><\/p>\n\n\n\n

Die FDA<\/a> z\u00e4hlt den AAMI TIR 57 zu den \u201eConsensus Standards\u201c und zitiert ihn in den eigenen \u201eGuidance Documents\u201c zur \u201eCybersecurity<\/a>\u201c.<\/p>\n\n\n\n

Hersteller sollten daher den TIR 57 nicht als weitere \u201enervige\u201c regulatorische Anforderung verstehen, sondern als Hilfestellung, um die IT-Sicherheit der eigenen Produkte zu verbessern.<\/p>\n\n\n\n

<\/path><\/path><\/g><\/svg><\/div>Beachten Sie auch den Podcast zum Zusammenspiel von Risikomanagement und IT Security!<\/span><\/div>\n

Unser Experte Christian Rosenzweig berichtet im Podcast \u00fcber typische Probleme, die Hersteller von vernetzten Medizinprodukten mit dem Risikomanagement und der IT-Sicherheit haben. Er gibt auch konkrete Tipps aus seiner Alltagspraxis, wie Hersteller diese Probleme vermeiden und Medizinprodukte entwickeln k\u00f6nnen, die sowohl sicher sind als auch die regulatorischen Anforderungen erf\u00fcllen.<\/p>\n\n\n\n

Diese und weitere Podcast-Episoden finden Sie auch hier<\/a>.<\/p>\n<\/div>\n\n\n\t\t\t