Wählen Sie ein anderes Land, um sich über die Services vor Ort zu informieren

//Land auswählen

Die häufigsten Fragen zur Cyber Security bei Medizinprodukten

Fragen und Antworten (FAQ)

Laut FDA, EU und Health Canada sollten bei der Entwicklung von Medizinprodukten zur Gewährleistung der Cyber Security auch Schwachstellenscans und Penetrationstests durchgeführt werden. Die fünf häufigsten Fragen zum Thema Cyber Security (Informationssicherheit) bei Medizinprodukten und die dazugehörigen Antworten finden Sie im Folgenden:

  1. Kann man davon ausgehen, dass ein Medizinprodukt alle Anforderungen an die Cyber Security erfüllt, wenn im Schwachstellenscan und Penetrationstest keine Schwachstellen festgestellt wurden?
    Nein. Dies allein ist noch kein Hinweis auf die Cybersicherheit des Produkts. Die Hersteller müssen stets bedenken, dass Cyber Security nur mit einem gut strukturierten Entwicklungsprozess in Kombination mit Tests möglich ist.
  2. Ist die Durchführung von Schwachstellenscans per Gesetz gefordert?
    Nein. Die Durchführung von Schwachstellen-Scans ist nicht gesetzlich gefordert. Die meisten Leitfäden und Standards weisen jedoch darauf hin, dass ein solcher Scan durchgeführt werden sollte. Hersteller, die keinen Schwachstellenscan durchführen wollen, sollten daher gute Gründe für ihre Entscheidung anführen können. Das Gleiche gilt für Penetrationstests.
  3. Müssen Hersteller den Schwachstellenscan oder Penetrationstest nach jeder Softwareänderung wiederholen?
    Nach jeder Softwareänderung sollten Hersteller sowohl die sicherheitsrelevanten Tests, bezogen auf die Änderung, als auch Regressionstests in Erwägung ziehen. Regressionstests dienen dem Nachweis, dass die Änderung sich nicht negativ auf die Informationssicherheit des Geräts auswirkt. Aus der Praxis wissen wir, dass Schwachstellenscans oder Penetrationstests in den meisten Fällen zumindest teilweise wiederholt werden müssen.
  4. Können Hersteller Schwachstellenscans und Penetrationstests selbst durchführen? 
    Ja. Hersteller können diese Tests selbst durchführen, müssen dazu jedoch intern über die erforderlichen Kompetenzen verfügen. Allerdings ist es auch in so einem Fall sinnvoll, das Vieraugenprinzip einzuführen.
  5. Warum sollten Hersteller eine unabhängige Prüforganisation zur Bewertung der Cyber Security einschalten?
    Das wichtigste Argument zur Einschaltung einer unabhängigen Prüforganisation ist deren Objektivität. Hersteller können dabei, je nach Anbieter, auch von langjähriger Erfahrung und umfassendem Wissen profitieren.
 

Wie können wir Ihnen helfen?

WORLDWIDE

Germany

German

Global

Americas

Asia

Europe

Middle East and Africa