Übersicht

Sicherung der Cybersicherheit im Gesundheitswesen

Navigationshilfe:

Der Schutz sensibler Patientendaten, die Sicherung medizinischer Geräte und die Aufrechterhaltung der Integrität von Netzwerken im Gesundheitswesen sind von entscheidender Bedeutung für den Schutz der öffentlichen Gesundheit und des öffentlichen Vertrauens. Da die Medizintechnik immer komplexer wird, ist der Umgang mit Bedrohungen der Cybersicherheit in diesem Bereich von entscheidender Bedeutung.

Zentrale Herausforderungen der Cybersicherheit bei Medizingeräten
Gesundheitssysteme sind mit einer Reihe spezieller Herausforderungen im Bereich der Cybersicherheit konfrontiert. Diese reichen vom Schutz sensibler Patientendaten bis hin zum Schutz von Medizingeräten, die anfällig für Angriffe sind. Einige der zentralen Herausforderungen sind:

  • Offenlegung von Patientendaten durch vernetzte Medizingeräte.
  • Schwachstellen in Krankenhausnetzwerken und in der IT-Infrastruktur im Gesundheitswesen.
  • Konformität mit den komplexen und sich weiterentwickelnden Vorschriften im Gesundheitswesen.
  • Immer ausgereiftere Cyber-Angriffe auf wichtige medizinische Systeme.

Geltende Normen und Vorschriften zur Cybersicherheit

Die Konformität medizinischer Geräte mit allgemeinen und cybersicherheits-spezifischen Normen und Vorschriften, ist ein entscheidender Faktor bei der Minderung von Risiken. Diese Normen enthalten technische Anforderungen für die Sicherung von Netzwerken, Geräten und Daten in komplexen Umgebungen und tragen dazu bei, die Einhaltung von Vorschriften und zuverlässige Cybersicherheitspraktiken zu gewährleisten.

Vorschriften im Bereich Cybersicherheit

Vorschrift Beschreibung
Delegierte Verordnung (EU) 2022/30 Diese Verordnung legt Anforderungen an die Cybersicherheit für bestimmte Kategorien von Funkanlagen fest und erweitert den Anwendungsbereich der ursprünglichen Funkanlagenrichtlinie (RED) 2014/53/EU. Ihr Schwerpunkt liegt auf dem Schutz von Netzwerken und der Verhinderung unbefugter Zugriffe insbesondere bei Geräten mit Internetanschluss. Damit soll sichergestellt werden, dass diese Produkte den geltenden Sicherheitsanforderungen entsprechen, bevor sie in der EU in Verkehr gebracht werden.
Cyber Resilience Act (CRA) der Europäischen Union Der Cyber Resilience Act (CRA) zielt darauf ab, die Cybersicherheit von vernetzten Geräten und digitalen Produkten in der EU zu verbessern, indem Sicherheitsanforderungen für deren gesamten Lebenszyklus festgelegt werden. Hersteller, Entwickler und Unternehmen sind für die Einhaltung der Vorschriften verantwortlich, um die Produktsicherheit zu erhöhen und die Verbraucher vor Cyber-Bedrohungen zu schützen.
EU-NIS2-Richtlinie Die NIS2-Richtlinie verschärft die Cybersicherheits-Anforderungen für Anbieter digitaler Dienste in der EU und erweitert den Anwendungsbereich der ursprünglichen NIS-Richtlinie. Sie schreibt ein erweitertes Risikomanagement und eine Meldepflicht für Vorfälle in kritischen Infrastrukturen wie dem Gesundheitswesen, Energiesektor und Transportwesen vor, um diese vor Cyberangriffen zu schützen.
EU-Rechtsakt zur Cybersicherheit Der EU-Rechtsakt zur Cybersicherheit legt die Rahmenbedingungen für Zertifizierungen der Cybersicherheit von Produkten, Dienstleistungen und Prozessen in der EU fest. Er stärkt das Mandat der ENISA (der EU-Agentur für Cybersicherheit) und führt ein europaweites Zertifizierungssystem zur Förderung hoher Cybersicherheitsstandards für vernetzte Geräte und Systeme ein.
EU-Verordnung zur digitalen operationalen Resilienz (DORA) Der Schwerpunkt der DORA liegt auf dem Finanzsektor und legt Cybersicherheits-Vorschriften fest, um sicherzustellen, dass Finanzinstitute in der Lage sind, Störungen oder Bedrohungen im Zusammenhang mit Informations- und Kommunikationstechnologien (IKT) standzuhalten, darauf zu reagieren und sich davon zu erholen. Die Verordnung verlangt von den Unternehmen die Einführung fundierter Risikomanagementstrategien und Testprotokolle zum Schutz vor Cyber-Bedrohungen und zur Verbesserung der betrieblichen Widerstandsfähigkeit.
Funkanlagen-Richtlinie 2014/53/EU — Cybersicherheits-Anforderungen Die Cybersicherheitsanforderungen der Funkanlagenrichtlinie (RED) betreffen die Sicherheit von Funkgeräten, die in der EU verkauft werden. Diese Anforderungen tragen dazu bei, dass Geräte, die mit dem Internet verbunden sind oder persönliche Daten übertragen, über angemessene Cybersicherheitsmaßnahmen wie starke Verschlüsselung und sichere Kommunikationsprotokolle verfügen, um unbefugten Zugriff zu verhindern.
EU-Datenschutz-Grundverordnung (DSGVO) Die DSGVO umfasst die Vorschriften der EU zum Datenschutz mit strengen Regeln für die Erhebung, Speicherung und Verwendung personenbezogener Daten durch Unternehmen. Sie räumt EU-Bürgern bestimmte Rechte in Bezug auf ihre Daten ein, z. B. das Recht auf Auskunft, Berichtigung oder Löschung derselben, und sieht hohe Geldstrafen bei Verstößen vor, um einen soliden Datenschutz in der gesamten EU durchzusetzen.
UK Product Security and Telecommunications Infrastructure (PSTI) Act Der PSTI Act legt die Anforderungen an die Cybersicherheit vernetzter Geräte für Verbraucher in Großbritannien fest. Er schreibt grundlegende Sicherheitsstandards wie das Verbot von Standardpasswörtern, die Bereitstellung von Informationen über Sicherheitsupdates und die Bestätigung von Mechanismen zur Meldung von Sicherheitslücken vor, um die Sicherheit von vernetzten Produkten, die in Großbritannien vertrieben werden, zu erhöhen.
California Privacy Rights Act (CPRA) Der CPRA, eine Erweiterung des kalifornischen Verbraucher-Datenschutzgesetzes (California Consumer Privacy Act), stärkt den Datenschutz für die Bürger Kaliforniens durch die Einrichtung der California Privacy Protection Agency, der kalifornischen Datenschutzbehörde, und die Einführung neuer Rechte, z. B. zur Einschränkung der Verwendung sensibler personenbezogener Daten. Außerdem werden die Verpflichtungen der Unternehmen in Bezug auf die Erhebung und Speicherung von Daten sowie die Transparenz der Datennutzung erhöht.
SB-1121 California Consumer Privacy Act (CCPA) SB-1121, eine Änderung des ursprünglichen CCPA, präzisiert einige Bestimmungen des Gesetzes und passt die Umsetzungsfristen an. Der CCPA räumt den Bürgern Kaliforniens umfassende Rechte in Bezug auf ihre personenbezogenen Daten ein, beispielsweise das Recht auf Auskunft, Löschung und Widerspruch gegen einen Verkauf ihrer Daten. Er gilt für Unternehmen, die bestimmte Grenzwerte bei der Datenverarbeitung erreichen.
SB-327 Kalifornisches IoT-Cybersicherheits-Gesetz Das kalifornische SB-327 ist ein bahnbrechendes Gesetz, das Cybersicherheitsmaßnahmen für alle in dem US-Bundesstaat verkauften IoT-Produkte vorschreibt. Es verlangt von den Herstellern, die Geräte mit angemessenen Sicherheitsmerkmalen wie individuellen Passwörtern und sicheren Authentifizierungsprotokollen auszustatten, um Schutz vor unbefugtem Zugriff und Datenmissbrauch zu erreichen.

Allgemeine Normen im Bereich Cybersicherheit

Norm Beschreibung
UL 2900-1 Eine Cybersicherheits-Norm, die sich auf die Sicherung von Produkten und Systemen mit Netzwerkverbindung konzentriert. Sie bietet Richtlinien für die Identifizierung von Schwachstellen, die Durchführung von Penetrationstests und die Analyse von Quellcodes, um Cybersicherheitsrisiken zu managen. Der Standard unterstützt Hersteller bei der Implementierung von Sicherheitsmaßnahmen für ihre Produkte und bei der Erfüllung der notwendigen regulatorischen Erwartungen. UL 2900-1 wird allgemein für die Validierung der Sicherheit von vernetzten Geräten in verschiedenen Branchen verwendet.
IEC 62443-Reihe Eine internationale Normenreihe zum Schutz von industriellen Automatisierungs- und Kontrollsystemen (IACS) vor Cyber-Bedrohungen. Sie bietet einen strukturierten Ansatz für das Risikomanagement in industriellen Umgebungen und deckt Bereiche wie Systemdesign, Sicherheitsstufen und Zugangskontrolle ab. Durch die Einhaltung dieser Normenreihe können Unternehmen die Resilienz ihrer industriellen Systeme gegenüber Cyber-Bedrohungen verbessern und so den Schutz kritischer Infrastrukturen und Prozesse stärken. Die Normen sind vielseitig und können in verschiedenen Branchen wie Energie, Fertigung, Transport und Gesundheitswesen angewendet werden, um die Sicherheit industrieller Systeme in unterschiedlichen Sektoren zu verbessern.

Cybersicherheits-Normen und Vorschriften für Medizingeräte

Norm Beschreibung
IEC 81001-5-1 IEC 81001-5-1 ist eine internationale Norm, die sich mit der Cybersicherheit von Produkten im Gesundheitswesen befasst, insbesondere mit medizinischen Geräten und Gesundheitssoftware. Sie spezifiziert Anforderungen zur Sicherung der Vertraulichkeit, Integrität und Verfügbarkeit medizinischer Daten sowie Maßnahmen zum Schutz von Patienteninformationen vor unberechtigtem Zugriff oder Manipulation. Die Norm bietet Herstellern und Anwendern Leitlinien für die Implementierung von Sicherheitskontrollen während des gesamten Lebenszyklus von Medizinprodukten und trägt dazu bei, Cybersicherheits-Risiken zu minimieren und gleichzeitig die Sicherheit und Leistungsfähigkeit von Medizinprodukten zu gewährleisten.
UL 2900-2-1 Diese Norm ist Teil der UL 2900 Reihe und konzentriert sich auf Patientensicherheit, Konformität mit der ISO 14971, strukturierte Penetrationstests für Gesundheitssysteme, sicheres Lebenszyklusmanagement und verbesserte Dokumentation. Sie fügt zusätzliche Sicherheitsstufen hinzu, die auf das sensible und regulierte Umfeld im Gesundheitswesen zugeschnitten sind, und bestätigt, dass Sicherheitsverletzungen die wesentlichen medizinischen Funktionen nicht beeinträchtigen.
IEC 62443-Reihe Diese Normenreihe umfasst die Cybersicherheit von industriellen Automatisierungs- und Steuerungssystemen einschließlich medizinischer Geräte, wie sie im Gesundheitswesen eingesetzt werden. Sie legt Sicherheitsanforderungen für den gesamten Lebenszyklus medizinischer Geräte fest, von der Konzeption und Entwicklung bis hin zur Nutzung und Wartung. Durch die Anwendung der IEC 62443-Normen können Hersteller von Medizingeräten ihre vernetzten Systeme besser gegen Cyber-Angriffe absichern und so die Patientensicherheit und die Zuverlässigkeit der Infrastruktur im Gesundheitswesen sichern.
Medizinprodukte-Verordnung (MDR) 745/2017 Die Medizinprodukte-Verordnung (MDR) 745/2017 legt die Anforderungen an die Sicherheit, die Performance und das Risikomanagement von Medizinprodukten in der EU fest. Sie betont die Bedeutung von Cybersicherheitsmaßnahmen während des gesamten Lebenszyklus von Medizinprodukten zum Schutz vor Cyberbedrohungen, die die Patientensicherheit und die Funktionalität der Geräte beeinträchtigen könnten. Die Einhaltung der MDR bietet Herstellern die Möglichkeit sicherzustellen, dass sie die Sicherheitsstandards erfüllen, die für die Vermarktung ihrer Produkte in der EU erforderlich sind.
Verordnung über In-vitro-Diagnostika (IVDR) 746/2017 Die Verordnung über In-vitro-Diagnostika (IVDR) 746/2017 regelt die Sicherheit und Performance von Geräten zur In-vitro-Diagnostik (IVD) in der EU. Wie die MDR betont auch die IVDR die Notwendigkeit des Managements von Cybersicherheitsrisiken zum Schutz diagnostischer Daten und der Systemintegrität. Durch die Einhaltung der IVDR können Hersteller von IVD-Produkten nachweisen, dass ihre Produkte die gesetzlichen Anforderungen an Sicherheit und Cybersicherheit erfüllen. Dies ermöglicht ihnen den Zugang zum EU-Markt und schützt gleichzeitig Patienten und Gesundheitssysteme.

Weitere für Medizingeräte geltende Anforderungen

FD&C Act Beschreibung
FD&C Act Section 524B – Sicherstellung von Cybersicherheit bei Medizingeräten FD&C Act Section 524B ist eine gesetzliche Bestimmung innerhalb des Federal Food, Drug, and Cosmetic Act (FD&C Act) der Vereinigten Staaten. Sie wurde im Rahmen des Consolidated Appropriations Act of 2023 ergänzt, um die Cybersicherheit von Medizinprodukten zu regeln. Section 524B des FD&C Act schreibt vor, dass Hersteller von Medizinprodukten während des gesamten Lebenszyklus der Geräte Cybersicherheitsmaßnahmen ergreifen müssen, um aufkommenden Bedrohungen zu begegnen. Hersteller, die diese Anforderung erfüllen, weisen nach, dass sie die Risiken eines unbefugten Zugriffs und einer potenziellen Störung der Gerätefunktionalität bewerten, mindern und kontrollieren. Durch die geforderte Dokumentation der Cybersicherheit trägt sie zum Schutz der Patientensicherheit und der Datenintegrität bei.
Zentrale Aspekte der Cybersicherheit im Gesundheitswesen

Ressourcen über die Cybersicherheit um Gesundheitswesen Wichtiger Hinweis: Bitte beachten Sie, dass die folgenden Ressourcen derzeit nur auf Englisch verfügbar sind.

Dienstleistungen

Lassen Sie Ihre Produkte auf Sicherheit, Konformität und weltweiten Marktzugang prüfen, inspizieren und zertifizieren.

Vorgestelltes Symbol. Prüfung

Prüfung

Verwandeln Sie Ihre Innovationen mit Hilfe unserer kompetenten Testservices in Qualitätsprodukte, die kritische Sicherheitsanforderungen erfüllen.

Vorgestelltes Symbol. Zertifizierung

Zertifizierung

Führen Sie neue Produkte ein und steigern Sie das Kundenvertrauen durch unsere globalen Zertifizierungsdienstleistungen.

Vorgestelltes Symbol. Prüfzeichen und Labels

Prüfzeichen und Labels

Sie erhalten die erforderlichen Prüfzeichen, um sorgenfreien Zugang zu Ihren Zielmärkten zu erhalten.

Vorgestelltes Symbol. Zusatzdienstleistungen

Zusatzdienstleistungen

Durch Zugang zu unserem Kundenportal, Online-Produktlistungen und vielem mehr, sparen Sie Zeit und gewinnen Sie Effizienz.