Lääkinnällisten laitteiden uusi kyberturvallisuusohje on julkaistu (MDCG)

Keskiviikko 22.1.2020 - Terhi Holappa


AdobeStock_178187166.jpeg


Lääkinnällisten laitteiden koordinointiryhmä (MDCG) julkaisi uudet ohjeet 6.1.2020 koskien kyberturvallisuutta. Ohje auttaa valmistajia uusien asetusten MDR 2017/745 ja IVDR 2017/746 kyberturvallisuutta koskettavien vaatimusten täyttämisessä.

Tämän asian äärellä, asetuksen MDR 2017/745 näkökulmasta, ollaan asiantuntijajoukon kanssa USBIMED ja Tikkasec Oy:n yhteistyössä järjestämässä koulutustilaisuudessa 23.1.2020 Helsingissä. Omassa osuudessani käyn läpi ajankohtaiskatsauksen kyseisestä asetuksesta yleensä ja ohjelmistojen kannalta katsoen erityisesti. Lisäksi nostan esille keskeiset asiakohdat asetuksesta, jotka kytkeytyvät kyberturvallisuuteen. Pohditaan myös ajankohtaisia ohjeistuksia ja standardeja ohjelmistojen sekä kytkeytyvän tietoturvan kannalta katsoen.

Uusi ohje vahvistaa ja tarkentaa ne asetuksen liitteen I mukaiset yleiset turvallisuus- ja suorituskykyvaatimukset, jotka liittyvät kyberturvallisuuteen. Nämä vaatimukset koskettavat kaikkia lääkinnällisiä laitteita, jotka sisältävät ohjelmoitavia elektronisia järjestelmiä, kuten ohjelmistoja tai ohjelmistoja, jotka itsessään ovat lääkinnällisiä laitteita. Valmistajan tulee kehittää ja valmistaa tuotteet ottaen kattavasti huomioon riskienhallinan periaatteet, tietoturva mukaan luettuna (Kuva 1). Ohje kattaa sekä markkinoille saattamista edeltävät vaatimukset (pre-market), että vaaatimukset markkinoille saattamisen jälkeen (post-market), vahvistaen näin tuotteen koko elinkaaren aikaista lähestymistapaa.

Kuva14.png

Kuva 1. Kyberturvallisuusriskien kytkeytyminen riskienhallintaan. (Lähde: MDCG 2019-16 Guidande on Cybersecurity for medical devices, Liite IV, s.47)

Mainitun ohjeen taulukossa 1 osoitetaan lista keskeisistä liitteen I vaatimuksista, joska kytkeytyvät kyberturvallisuuteen. Kaikki vaatimukset ovat tärkeitä, mutta ydinsanoma esitetään MDR asetuksen liitteen 1 kohdassa 17.2. Tässä kohdassa sanotaan, että "Kun on kyse laitteista, joihin sisältyy ohjelmisto, tai ohjelmistoista, jotka ovat itsessään laitteita, ohjelmistot on suunniteltava ja valmistettava alan viimeisen kehityksen mukaisesti ottaen huomioon kehityskaareen, riskinhallintaan, kuten tietoturvallisuuteen, todentamiseen ja validointiin liittyvät periaatteet"

MDR 2017/745 asetus korostaa elinkaariajatteluun liittyen myös toimitusketjun eri osapuolten rooleja turvallisuuden ja suorituskyvyn varmistamisessa (mm. valmistaja, jakelija, maahantuoja) ja asettaa uusia vaatimuksia maallikkokäyttäjälle suunnattujen tuotteiden suunnittelulle sekä laitteen mukana toimitettaville tiedoille. Kyberturvalli-suusohjeen (MDCG) kappale 2.6. täsmentää ja ohjeistaa "joint responsibility" periaatteen mukaisesti eri osapuoliin (integrator, operator, user) kohdistuvia odotuksia ja vastuita kyberturvallisuuden kannalta katsoen. Näitä odotuksia ja vastuita esitetään sekä analysoidaan myös kansainvälisessä IMDRF draft -dokumentissa (IMDRF/CYBER WG/N 60), joka on kehitteillä ja pitkälti linjassa MDCG -ohjeen kanssa.

MDCG -ohjeessa tuodaan esille myös muita direktiivejä ja asetuksia, kuten EU:n NIS direktiivi 2016/1148, Kyberturvallisuusasetus 2019/881 (Cybersecurity Act) sekä Tietosuoja-asetus 2016/679 (GDPR), jotka ovat myös merkityksellisiä lääkinnällisten laitteiden kyberturvallisuuden kannalta (Kuva 2).

Sieppaa3.PNG

Kuva 2: Kyberturvallisuusvaatimukset MDR asetuksessa sekä sovellettava muu lainsäädäntö. (Lähde: MDCG 2019-16 Guidande on Cybersecurity for medical devices, s.6)

Ohjeen liitteessä III luetellaan keskeisiä kyberturvallisuuteen liittyviä standardeja, joista osa on lääkinnällisiä laitteita koskettavia, viitaten siten selkeästi siihen suuntaan, että tietoturva on olennainen osatekijä kokonaisriskin hallinnassa.

Joulukuussa 2019 julkaistiin uusi versio ISO 14971 standardista, mikä on löydettävissä SFS verkkokaupasta identtisenä SFS-EN ISO 14971 versiona (ei ole harmonisoitu, edustaa "state of art"). Tämän rinnalla revisioitiin myös opastava ISO/TR 24971 Ed. 2, jonka julkaisuajankohta on ennustettu vuoden 2020 puoliväliin.

Mielenkiintoisia uudempia tulokkaita standardimaailmaan kehitetään parhaillaan:

  • IEC TR 60601-4-5 ED1 Medical Electrical Equipment – Part 4-5. Safety related technical security specifications for medical devices (CD vaiheessa, arvioitu julkaisuajankohta 2020 loppupuoli, pohjautuu IEC 62443-4-2 standardiin)
  • IEC 80001-5-1 ED1 Application of Risk Management for IT networks incorporating medical device – Safety, effectiveness and security in the implementation and use of connected medical devices or connected health software – Part 5-1: Activities in the product life-cycle. (CD vaiheessa, arvioitu julkaisuajankohta 2021 puoliväli, pohjautuu IEC 62443-4-1 standardiin)

Standardien suhteen tulee ottaa huomioon, että kehitteillä on paitsi uusia standardeja, myös useita kymmeniä standardeja on esitetty revisioitavaksi*. Harmonisoinnin tila on vähintäänkin haastava tällä hetkellä MDR asetuksen suhteen.

*Viite: Kesäkuussa 2019 julkaistu "Draft standardisation request to the European Committee for Standardisation and the European Committee for Electrotechnical Standardization as regards medical devices in support of Regulation (EU) 2017/745 of the European Parliament and of the Council and in vitro diagnostic medical devices in support of Regulation (EU) 2017/746 of the European Parliament and of the Council"