Die ISO 14971 ist der zentrale internationale Standard für das Risikomanagement von Medizinprodukten und wurde in ihrer aktuellen Ausgabe (3rd Edition) um explizite Anforderungen an Risiken aus dem Bereich Cybersecurity erweitert. Hersteller von Medizinprodukten sind nach MDR/IVDR verpflichtet, alle relevanten Risiken—including Cyberrisiken—im Rahmen ihres Risikomanagementsystems systematisch zu identifizieren, zu bewerten und zu behandeln.
Wie greifen ISO 14971 und Cybersecurity zusammen?
- ISO 14971 verlangt, dass auch Risiken im Zusammenhang mit Daten- und Systemsicherheit, etwa durch Angriffe auf vernetzte Geräte oder Software, im Risikomanagementprozess bewertet werden.
- Cybersecurity-Risiken sind genauso wie klassische technische Risiken strukturiert zu erfassen, zu analysieren und durch angemessene Maßnahmen zu mitigieren—dies umfasst Aspekte wie Bedrohungsmodellierung, Bewertung von Schwachstellen und Auswirkungen, Schutzmaßnahmen sowie Monitoring.
- Weitere Standards wie IEC 62304 (Software-Lebenszyklus), IEC 81001-5-1 (Cybersecurity-Anforderungen für Health Software und IT Systeme), sowie FDA- oder MDCG-Guidelines fordern, Security Risk Management nach ähnlichen Prinzipien wie ISO 14971 aufzubauen und nachzuweisen.
- Best Practices umfassen die Integration der Cybersicherheit bereits in der Entwicklungsphase und während des gesamten Produktlebenszyklus—einschließlich der kontinuierlichen Überwachung, Schwachstellenmanagement und Updatefähigkeit.
Regulatorische Einordnung
- Die EU-Verordnungen (MDR, IVDR) und nationale Empfehlungen (zum Beispiel BSI oder MDCG-Dokumente) machen die Berücksichtigung von Cybersecurity im Risikomanagement verbindlich.
- Für die US-Zulassung verlangt die FDA bereits explizit Security Risk Management und Dokumentation auf Basis von ISO 14971 und ergänzender Security-Standards.
- Für Auditierungen und Behördenkommunikation empfiehlt es sich, eine nachvollziehbare Verknüpfung zwischen dem allgemeinen Risikomanagement (ISO 14971) und den besonderen Prozessen zur Bewertung und Behandlung von Cybersecurity-Risiken nachzuweisen.
Fazit
ISO 14971 bildet die verbindliche Grundlage für das Risikomanagement bei Medizinprodukten und muss heute systematisch um Cybersecurity-Risiken ergänzt werden. Dazu gehört:
- Identifikation und Bewertung spezifischer Cyberbedrohungen und Schwachstellen
- Umsetzung technischer und organisatorischer Schutzmaßnahmen
- Kontinuierliche Überwachung und Aktualisierung des Produktes
- Nachweis der Integration von Cybersecurity in den klinischen und regulatorischen Dossiers
Eine ganzheitliche Sicherheitsstrategie umfasst somit sowohl Safety- als auch Security-Aspekte über den gesamten Produktlebenszyklus hinweg.
