ISO 27001: IT-Sicherheitsmanagement für alle Medizinproduktehersteller?

Via Johner Institut • Prof. Dr. Christian Johner • 20. Oktober 2020
248 Views | 0 Notes

Die ISO 27001 und die Informationssicherheitsmanagementsysteme (ISMS) werden bei ISO-13485-Audits immer häufiger zum Thema. Die Regularien geben dazu Anlass. Dazu zählt u.a. die Digitale-Gesundheitsanwendungen-Verordnung (DiGAV), die die ISO 27001 in den Fokus vieler Medizinproduktehersteller gerückt hat.

Hersteller müssen die regulatorischen Anforderungen erfüllen, um Ärger mit Behörden und Benannten Stellen zu vermeiden und um Patienten nicht zu gefährden. Sie sollten aber keine unnötigen Aufwände betreiben.

1. Wen die ISO 27001 betrifft

a) Regulatorischer Rahmen

Organisationen können verschiedene Rollen einnehmen:

  • Inverkehrbringer von Medizinprodukten
  • Betreiber von Medizinprodukten
  • Dienstleister für Inverkehrbringer oder Betreiber

Die regulatorischen Anforderungen richten sich v.a. an die Inverkehrbringer und Betreiber: [Die zugehörige Tabelle finden Sie im vollständigen Artikel unter johner-institut.de.]

Die Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) betrachtet die Firmen sowohl als Betreiber als auch als Hersteller.

 

b) Anwendbarkeit der ISO 27001 für Betreiber

Die Betreiber müssen die Gesundheitsdaten durch geeignete technische und organisatorische Maßnahmen gewährleisten. Das fordert u.a. die Datenschutzgrundverordnung DSGVO. Dazu ist i.d.R. ein Informationssicherheitsmanagementsystem (ISMS) erforderlich.

Um dessen Wirksamkeit nachzuweisen, sollten die Firmen den Vorgaben einschlägiger Normen wie der ISO 27001 oder den BSI-Standards (u.a. BSI 200-2) folgen.

Einige Regularien wie die DiGAV schreiben sogar eine Zertifizierung nach einem dieser Standards vor.

 

c) Anwendbarkeit der ISO 27001 für Hersteller

Für die Entwicklung sicherer Medizinprodukte gelten andere Normen.

Die Hersteller müssen die IT-Sicherheit ihrer Produkte gewährleisten. Das setzt einen „Secure Development Lifecycle“ voraus. Dieser beinhaltet Vorgaben zur Entwicklung, zum Testing und zur Überwachung von Produkten, die Software enthalten.

Hierzu gibt es Normen und Leitfäden, z.B. die Normenfamilien IEC 62443 und ISO 15408 sowie der Leitfaden der Benannten Stellen, der auf dem Leitfaden des Johner Instituts aufbaut.

 

Für den Schutz der eigenen IT und Software ist die ISO 27001 dienlich.

Eine direkte Forderung nach einem ISMS gibt es nicht. Allerdings müssen die Hersteller sicherstellen, dass die Medizinproduktesoftware bereits zum Zeitpunkt der Auslieferung frei von Schad-Code ist. Voraussetzung dafür ist u.a., dass Hersteller ihre eigene Informationstechnik schützen. Dazu ist ein ISMS dienlich.

Daher ist die ISO 27001 für Organisationen, die „nur“ in der Rolle eines Herstellers agieren, ein dienlicher Leitfaden, aber keine zwingende Notwendigkeit.

 

Lesen Sie den vollständigen Artikel unter johner-institut.de.

Bild des Benutzers Carolin Freude
Kuratiert
am 19.02.2021 von
Carolin Freude