Herzlich Willkommen beim beam-Verlag in Marburg, dem Fachverlag für anspruchsvolle Elektronik-Literatur.


Wir freuen uns, Sie auf unserem ePaper-Kiosk begrüßen zu können.

beamnet
Aufrufe
vor 1 Monat
Melden

5-2025

  • Weitere Details anzeigen
  • Medizintechnik
  • Medizinelektronik
  • Medical pc
  • Qualitaetssicherung
  • Elektronik
  • Hmi
  • Bedienen und visualisieren
  • Software
  • Bildverarbeitung
  • Stromversorgung
  • Lasertechnik
  • Elektronik produktion
Fachzeitschrift für Medizintechnik-Produktion, Entwicklung, Distribution und Qualitätsmanagement

RegularienAuch wenn es

RegularienAuch wenn es nicht gesetzlich gefordert ist,stärkt die Einhaltung der CRA-Pflichten (Secureby-Design,Patchfähigkeit, SBOM, Vulnerability­Handling) die Sicherheit von Subsystemen undliefert dem OEM belastbare Nachweise für MDR-Anforderungen (z. B. Risikomanagement, IT-Sicherheitsmaßnahmen). Im Ergebnis führt dieszu einem geringeren Integrations- und Zulassungsrisiko,einer schnelleren CE-Kennzeichnung,weniger Feldmaßnahmen – und bessererAkzeptanz bei NIS2-pflichtigen Kunden.NIS2 – Betreiberanforderungenund Auswirkungen auf ZuliefererDie EU-Richtlinie NIS2 (Network and InformationSecurity Directive) verfolgt das Ziel, dieCyberresilienz kritischer Infrastrukturen aus 18verschiedenen Bereichen (unter anderem demGesundheitswesen) europaweit zu verbessern.Die Anforderungen richten sich zwar formalan Betreiber sogenannter „wesentlicher“ und„wichtiger Einrichtungen“ – darunter auch vieleKrankenhäuser (bzw. Gesundheitsdienstleister),Labore und Hersteller von Medizingeräten – wirkenmittelbar aber auch auf Zulieferer zurück.Sicherheit der LieferketteUnter anderem wird als Risikomanagementmaßnahmeim Bereich der Cybersicherheit(Art. 21) von den betroffenen Einrichtungen verlangt,die Sicherheit ihrer Lieferkette zu gewährleisten.Zusätzlich haben die Mitgliedsstaatensicherzustellen, dass ein Austausch von Informationenzum Thema Cybersicherheit nicht nurmit den Einrichtungen selbst sondern ggf. auchderen Lieferanten oder Dienstleistern möglichist (Art. 29).Entscheidend dabei: Betreiber müssen Lieferkettenrisikensystematisch adressieren; dadurchsteigen die Erwartungen an Zulieferer messbar.Hinweis zur Einordnung von NIS2NIS2 ist eine EU-Richtlinie (EU 2022/2555),keine Verordnung. Sie entfaltet ihre Wirkung erstnach Umsetzung in nationales Recht. In Deutschlandgeschieht dies über ein NIS2-Umsetzungsgesetz(inkl. KRITIS-Neuregelungen). Dadurchkann die nationale Ausgestaltung über die EU-Mindestvorgaben hinausgehen (vgl. NIS2 Art. 5„Mindestharmonisierung“). Verordnungen (wiez. B. MDR und CRA) gelten dagegen ab einembenannten Stichtag in identischem Wortlaut inder kompletten EU.Pflichten der Technischen ZuliefererDie regulatorischen Anforderungen machendeutlich: Technische Zulieferer müssen heutemehr leisten als reine Funktionalität. Sie müssenbelegen können, dass ihre Produkte sicher,dokumentiert und wartbar sind.Typische Anforderungen:• Security by Design• Schwachstellenmanagement• SBoM• Patchfähigkeit• Technische DokumentationZulieferer, die ihren Kunden aktiv zuarbeiten -etwa mit Risikobewertungen, Cybersicherheitsdatenoder Supportprozessen - werden in Auswahlverfahrenbevorzugt.Fiktives Praxisbeispiel:Sicherheits kritischer Vorfall in einemNIS2-pflichtigen KrankenhausDie Ausgangslage: Ein Krankenhaus (NIS2-relevant) betreibt ein vernetztes Diagnose system(MDR-Produkt) mit integriertem IPC einesZulieferers. Während einer Untersuchung friertdas System ein; der Fail-Safe greift, die Untersuchungwird abgebrochen – Verfügbarkeit undpotenziell Patientensicherheit sind betroffen.Ablauf (verkürzt): Innerhalb von 24 h erfolgtdie Early-Warning-Meldung gemäß NIS2; OEMund Zulieferer analysieren Logdaten und SBOM.Ursache ist eine bekannte Schwachstelle (CVE)in einer Netzwerkbibliothek des IPC; ein Patchdes Zulieferers existiert, dem OEM war abernicht kommuniziert worden, dass es sich hierbeium eine kritische Sicherheitslücke handelt,weswegen dieser geplant hatte, diesen erst beimnächsten Major-Update einzupflegen und nichtumgehend. Nach 72 h wird die Incident-Notificationmit Details versendet. Binnen 14 Tagenliefert der OEM einen qualifizierten Hotfix, nach30 Tagen folgt der Abschlussbericht mit Root-Cause und Maßnahmen.Wer trägt in diesem Beispielwelche Verantwortung?1. Krankenhaus (Betreiber, NIS2-pflichtig)Pflichten:• Betriebssicherheit sicherstellen (z. B. Fail-Safe, Patienten evakuieren, Dokumentationdes Vorfalls).• Meldepflichten: Early Warning binnen24 h, Incident Notification binnen 72 h,Abschlussbericht binnen 30 Tagen.• Zusammenarbeit mit OEM und Zulieferer,indem Logs, SBOM und Nutzungskontextbereitgestellt werden.Risiko: Das Krankenhaus ist NIS2-Verpflichteterund steht in der direkten Haftung, falls Fristenoder Maßnahmen nicht eingehalten werden.2. OEM (Hersteller des MDR-Produkts)Pflichten:• Qualifiziert den Patch und integriert ihn inden Systembuild.• Erstellt und pflegt SBOM/VEX (zeigt, welcheKomponenten betroffen sind und wie kritischdie Lücke ist).• Trägt die Verantwortung für die klinischeSicherheit und MDR-Compliance des Gesamtsystems.• Kommuniziert an das Krankenhaus: Schweregradder Schwachstelle, Workarounds, verfügbareHotfixes, Sicherheitsadvisories.Risiko: Verzögerungen bei Qualifizierung undKommunikation können Patientensicherheitgefährden und zu MDR-/NIS2-Verstößen führen.3. Zulieferer(IPC-Hersteller/Komponentenlieferant)Pflichten:• Security-Monitoring: Schwachstellen (CVEs)in eigenen Komponenten verfolgen undbewerten.• Patch-Bereitstellung: zeitnah Fixes liefern,inkl. Security-Advisory und Einordnung(z. B. CVSS-Score, Exploitbarkeit).• Kommunikation: OEM muss aktiv informiertwerden, warum der Patch sicherheitskritisch istund welche Risiken bei Verzögerung bestehen.• CVD-Prozess (Coordinated Vulnerability Disclosure):Security-Kontakt, Triage und Advisoryan alle relevanten Kunden.Risiko:Mehr Informationen zum Thema finden Sie im kostenlosen Whitepaper.www.hms-networks.com/de/whitepapers/whitepaper/regulatorischeanforderungen-an­zulieferer-in-der-medizintechnik• Auch wenn das Krankenhaus nicht direkt Vertragspartnerist, kann NIS2 über die Supply-Chain-Pflichten den Zulieferer indirekt verpflichten.FazitRegulatorische Anforderungen wie MDR,CRA und NIS2 betreffen längst nicht mehr nurHersteller fertiger Medizingeräte. Auch Zulieferergeraten zunehmend in den Geltungsbereich- direkt oder indirekt. In einer vernetzten Systemlandschaftreicht technische Funktionalitätnicht mehr aus. Produkte müssen regulatorischnachvollziehbar sicher, kompatibel unddokumentiert sein.Wer diese Anforderungen frühzeitig berücksichtigt,schafft Vertrauen – und Wettbewerbsvorteile.◄38 meditronic-journal 5/2025

SonderteilEinkaufsführer Medizin-TechnikBox-PC für KI-gestützte DiagnostikICO Innovative Computer GmbH, Seite 117Platinbeschichtung für die MedizintechnikUmicore Galvanotechnik GmbH, Seite 106All-in-One-PC mit wechselbarem PC-ModulConcept International GmbH, Seite 99Kühlung macht Medizintechnikeffizient und ausfallsicherCTX Thermal Solutions GmbH, Seite 136Digitale Transformation im GesundheitswesenTL Electronic GmbH, Seite 118Smart Healthcare × Edge AIEuropean Portwell Technology B.V. Seite 114

hf-praxis

PC & Industrie

© beam-Verlag Dipl.-Ing. Reinhard Birchel