Cybersecurity als ein Aspekt der Produkt-Qualität ist einer der langfristigen Erfolgsfaktoren für Medizingeräte. Dafür genügt es nicht, nach bestem Wissen und Gewissen zu arbeiten. Als Minimum gelten good practices, mit denen anhand von Prüflisten bekannte Schwachstellen und Exploits in genutzten Technologien (z.B. IT-Kommunikation) gefunden und geschlossen werden könne. Eine effektive Umsetzung der Cybersecurity, wie sie auch die FDA fordert, kann nur auf der Grundlage gut integrierter Prozesse (u.a. Risikomanagement und Entwicklung) erfolgen und bindet zielgerichtetes Cybersecurity-Engineering, (Penetration-) Tests und Maßnahmen für den CAPA-Prozess mit ein. Der Vortrag zeigt am Beispiel eines modernen Herzschrittmachers/Medizingerätes, wie die Ebenen Regulatorische Anforderungen, Cybersecurity-Prozesse, Cybersecurity Engineering und Penetration-Tests in einem verzahnten System zu sicheren Medizingeräten führt.

Was lernen die Zuhörer*innen in dem Vortrag?

An einem konkreten Beispiel, angelehnt an die Praxis aus rechtlichen Gründen fiktiven und didaktisch überarbeitet, lernten die Zuhörer die Konsequenzen kennen, die sich aus den drei Reifegrade eines Unternehmens bzgl. Cybersecurity ergeben: „initial“ nach bestem Wissen und Gewissen; „informed“ anwenden von good practices & expert Prozesse, Engineering & Penetration-Test etabliert. Als praktisches Takeaway wird beispielhaft klar, wie die Abstraktionsebenen regulatorische Anforderungen, Prozesse (inkl. CAPA – auch hinsichtlich der Unterstützung der Cybersecurity-Forensik), Cybersecurity-Engineering und Penetration-Tests zusammenwirken, um ein modernes *und* sicheres Medizinprodukt zu entwickeln.