Jsme výrobci zdravotnických prostředků – jak máme řešit kybernetickou bezpečnost?

Pokud vyvíjíte nebo uvádíte na trh zdravotnické prostředky s digitálním prvkem, týká se vás nejen nařízení MDR (EU 2017/745), ale v blízké budoucnosti také Cyber Resilience Act (CRA). Ten zavádí povinnosti v oblasti kybernetické bezpečnosti produktů – včetně hlášení incidentů od září 2026 a plné účinnosti od prosince 2027.

Doporučujeme již nyní vyvíjet své produkty v souladu s normami IEC 62443-4-1 (bezpečný vývoj), IEC 81001-5-1 (pro zdravotnický software) a IEC 62443-4-2 (bezpečnost technických komponent). Tyto standardy stanovují jasné požadavky na procesy, architekturu, aktualizace a odolnost proti zranitelnostem.

Zároveň je zásadní, aby výrobci znali prostředí, ve kterém budou jejich produkty nasazeny – tj. aby od nemocnic získali informace, do jakých zón (dle bezpečnostního členění nemocnice) jejich produkty vstupují (např. zóna se zvýšenou důvěryhodností, bezpečnostní perimetr, otevřená síť apod.). Na základě toho lze určit, do jaké úrovně zabezpečení musí produkt odpovídat – což ovlivňuje i způsob konfigurace, logging, šifrování, aktualizace nebo možnost integrace do nemocničního SIEM.