在医疗健康领域,任何新的医疗器械都会引起人们的关注。对医疗器械网络安全的担忧,被黑客攻击或数据被泄露到互联网上,是新增加的担忧。在这方面,欧盟的医疗器械法规MDR就像一张医疗器械的安全网,确保医疗器械性能良好、使用安全。随着医疗保健越来越数字化,人工智能医疗服务发展,再加上所有这些相互关联的医疗器械和应用程序,网络攻击已成为一个非常现实的问题。欧盟 MDR 和美国FDA都已着手解决这一问题,其中欧盟发布了一份关于医疗器械网络安全的MDCG 指南文件MDCG 2019-16。
为什么网络安全在欧盟 MDR 中很重要?
在欧盟MDR 中,网络安全之所以成为更多关注的焦点,是因为网络攻击越来越隐蔽、越来越频繁。这使患者、个人信息和整个医疗保健系统面临风险。为此,欧盟MDR 对网络安全规则进行了严格规定。他们希望确保医疗器械的设计、制造和使用都是安全的。
MDCG 指南花了大量篇幅讨论网络安全问题。他们强调了网络安全的重要性。医疗器械制造商在设计时就需要考虑网络安全问题。因此,您需要遵守“通用安全和性能要求GSPRs”,这包括网络安全准则。
网络安全要求
根据指南文件MDCG 2019-16,网络安全要求与一般安全和性能要求并列。欧盟MDR 目前的附录确实包含了许多网络保护所需的数据。您必须特别注意以下几点:
-关于符合性评估:第52条
-关于数据保护:第62.4条
-关于PMS:第83条
-关于PMS 计划:第84条
-关于项目管理系统报告:第85条
-关于PSUR:第86条
-关于严重事故报告以及安全和纠正行动:第87条
-关于趋势报告:第88条
-关于严重事故分析和实地安全纠正行动:第89条
-关于技术文件:附录II
-关于PMS 的技术文件:附录III
-关于临床评估和PMCF:MDR第VI章和附录 XIV
欧盟 MDR 网络安全要求何时生效?
提高医疗器械网络安全的时间已经不多了。考虑到欧盟MDR 的推出时间,它已经有点晚了。不过,它确实已于2021 年 5 月生效。但在宽限期内,制造商仍可销售根据旧医疗器械指令(MDD)获得许可的旧器械。
网络安全要求适用于新旧器械。所有器械都必须做好准备,以防止客户使用和数据保护方面的风险。
如何遵守网络安全规则
如果制造商想做好网络安全工作,就必须熟悉相关规则和标准。首先,要了解基本的网络安全概念。这些概念包括信息技术安全、信息安全、操作安全、预期用途、操作环境、操作员等。
重点不仅仅是了解这些概念,而是要理解所有这些概念是如何对器械的安全性做出贡献的,以及作为制造商,您需要如何控制和预测影响这些基本概念的所有因素,以确保您的器械是安全的。
例如,器械的性能在很大程度上取决于操作人员。因此,制造商必须在这一层面控制可能出错的因素和事件,以实现最佳的医疗器械网络安全。他必须:
-确保运行环境有足够的安全性(网络、物理等);
-拥有正确的基础设施(网络和物理);
-确保对使用器械的人员进行了适当的培训,并在发生安全漏洞时能够及时处理;
-确保医疗器械的使用符合制造商的技术规范。未经授权的用户不得访问,遵守密码限制,并采取网络安全措施;
-确保根据需要进行定期维护,特别是安全安装等;
-确保尽快报告任何可疑活动。
这只是一个方面。所有方面都必须有类似程度的参与,以确保安全风险管理。因此,制造商显然必须从一开始就认真对待网络安全风险,从一开始就确保器械的网络安全。他们必须弄清网络安全风险,并内置安全功能。此外,测试和扫描是确保器械能够应对攻击的关键。请外部专家来做这件事确实很有帮助。
医疗器械网络安全的步骤
确保器械完全安全的关键在于安全设计和制造。MDCG指南文件建议您这样做:
1.安全管理
这一步就是要确保与安全相关的内容在产品的整个生命周期中都得到周密的规划、记录和实施。
2.明确安全要求
确定需要哪些安全功能。我们要保护医疗器械的数据、功能和服务。这可能包括身份验证、加密、审核、授权和其他安全措施。
3.设计安全
安全性实际上取决于器械的制造工艺。这一理念就是要确保器械由内而外的强大。
4.安全实施
这意味着在医疗器械中加入网络安全功能。这是最重要的安全风险管理流程步骤之一。这主要包括技术内容---硬件和软件。
5.安全验证和确认测试
您希望对所有联网的医疗器械进行测试,并验证器械的安全性。
6.安全相关问题的管理
网络安全系统的好坏取决于其安全漏洞。因此,您必须确保在出现问题时有相应的系统。这一步是为了建立故障排除系统。
7.安全更新管理
这一步确保任何有关安全的更新或修复都经过测试,并迅速与用户共享。这样才能确保所有连接的医疗器械安全无误。
8.安全指南
最后一步也是非常重要的一步是创建手册。可以是用户手册。它告诉您如何设置、配置和保持网络安全系统的功能和更新。
随着各种医疗器械的发展,尤其是人工智能医疗器械的发展,医疗技术领域的网络安全在未来几年将变得更加重要。制造商需要积极主动地应对网络安全问题,从最初的设计开始考虑,直到器械停止销售,甚至在此之后。
一些重要的指导文件
欧盟 MDR 附录 I:制造商应仔细阅读欧盟MDR 附录 I,其中提供了有关医疗器械网络安全要求的具体指导。
MDCG 2019-16:欧盟委员会关于医疗器械网络安全的指导文件为制造商提供了详细的见解和建议。
IMDRF:国际医疗器械监管机构论坛的《医疗器械网络安全原则与实践》提供了有关最佳实践和全球标准的更多指导。
