Auswirkungen des Omnibus-Gesetzes auf die Cybersicherheit von Medizingeräten

Omnibus Act Impact on Medical Device Cybersecurity

Das „Consolidated Appropriations Act, 2023“ (HR 2617) wurde vom US-Senat verabschiedet und am 29. Dezember 2022 von Präsident Biden gesetzlich unterzeichnet.

Mit dem Sammelausgabengesetz in Höhe von 1.7 Billionen US-Dollar werden eine Reihe von Zielen erreicht, darunter die Finanzierung der US-Regierung bis zum Geschäftsjahr 2023 sowie eine Reihe außen- und innenpolitischer Ziele, die von der Unterstützung der Ukraine über Verteidigung bis hin zur Hilfe bei Naturkatastrophen reichen. Darüber hinaus wird es erhebliche Auswirkungen auf die Gesundheitsbranche sowie auf die Cybersicherheit im Allgemeinen und insbesondere auf die Art und Weise haben, wie die Sicherheit medizinischer Geräte reguliert und durchgesetzt wird.

House Appropriations Committee ^{Haushaltsausschuss}

Die allgemeinen Cybersicherheitsbestimmungen umfassen erhebliche Mittel zur Verbesserung der Angriffsfähigkeiten auf allen Ebenen von Regierungs- und Industrieorganisationen sowie kritischen Infrastrukturbranchen, beispielsweise Technologiemodernisierung, Transparenz bei Akquisitionen, Infrastrukturverbesserungen, Einstellung und Bildung. Darüber hinaus umfasst das Gesetz Investitionen in die Cyberabwehr (z. B. Cyberkriminalität und Strafverfolgung, Reduzierung von Cyberspionage- oder Sabotagerisiken, Austausch von Bedrohungsinformationen, Reduzierung von Cyberrisiken für die Zivilbevölkerung).

Darin enthalten ist auch der Food and Drug Omnibus Reform Act (FDORA), der der FDA für das Geschäftsjahr 6.56 Gesamtmittel in Höhe von rund 2023 Milliarden US-Dollar bereitstellt. Dies ist besonders zeitgemäß für die Gesundheitsbranche. Nach Jahren zunehmender Cyber-Kompromisse (z. B. a Durchschnittlicher Anstieg der gemeldeten Datenschutzverletzungen um 12 % im Jahresvergleich) In Kombination mit zahlreichen anderen Stressfaktoren (z. B. Personalmangel, Umsatzeinbußen, Reaktion auf eine Pandemie) ist die Verbesserung der Sicherheitslage des Gesundheitssektors für Regierung und Industrie gleichermaßen zu einer dringenden Priorität geworden.

FDA & CISA ^{FDA und CISA}

Die Cybersecurity and Infrastructure Security Agency (CISA) und die Food and Drug Administration (FDA) werden ausdrücklich mit zunehmenden Befugnissen und Mitteln erwähnt, wobei letztere die Cybersicherheit von Medizinprodukten durch eine Änderung des Bundesgesetzes über Lebensmittel, Arzneimittel und Kosmetika gewährleisten soll, um ausdrücklich gesetzliche Befugnisse aufzunehmen zur Regulierung der Cybersicherheit von Medizinprodukten, wobei Cybersicherheit in der Vergangenheit als Teil des Risikomanagementprozesses betrachtet wurde und auf der Interpretation bestehender Qualitätssystemvorschriften und Empfehlungen durch Leitlinien basierte.

Diese Änderungen treten 90 Tage nach Inkrafttreten dieses Gesetzes in Kraft.

Hersteller müssen jetzt Nachweise für Sicherheitskontrollen und Sicherheitstests sowie Pläne zur Aufrechterhaltung des Sicherheitsstatus des Geräts durch Updates und Patches vorlegen, die alle durch dokumentierte Nachweise gestützt werden, z. B. eine Software-Stückliste für kommerzielle, Open-Source- und Off-the-Versionen -Shelf-Software Komponenten.

Konkret umfasst dies:

Entwicklung von Plänen zur Überwachung, Identifizierung und Behebung von Schwachstellen und Exploits im Bereich der Cybersicherheit nach dem Inverkehrbringen, einschließlich der koordinierten Offenlegung von Schwachstellen;
Design-, Entwicklungs- und Wartungsprozesse, um sicherzustellen, dass ein Gerät cybersicher ist;
Verfügbarkeit von Post-Market-Updates und Patches für das Gerät in regelmäßigen Zyklen für bekannte inakzeptable Schwachstellen und kritische Schwachstellen außerhalb des Zyklus, die unkontrollierte Risiken verursachen könnten;
„Stellen Sie eine Software-Stückliste bereit, die kommerzielle, Open-Source- und Standard-Softwarekomponenten umfasst.“

Diese Anforderungen gelten für Geräte und Systeme, die Software enthalten, eine Verbindung zum Internet herstellen können und anfällig für Cybersicherheitsbedrohungen sein könnten. Um alle Aspekte dieser Anforderungen zu erfüllen, müssen möglicherweise neue Vorschriften entwickelt werden.

Eine hinreichende Gewährleistung der Sicherheit und Wirksamkeit von Geräten erfordert möglicherweise die Gewährleistung der Cybersicherheit, auch für Geräte, die zuvor genehmigt oder freigegeben wurden. Im Gesetz heißt es: „Nichts in diesem Abschnitt, einschließlich der in diesem Abschnitt vorgenommenen Änderungen, darf so ausgelegt werden, dass es die Befugnisse des Ministers in Bezug auf die Gewährleistung einer angemessenen Gewährleistung der Sicherheit und Wirksamkeit von Geräten beeinträchtigt, wozu auch die Sicherstellung gehören kann.“ Es besteht eine hinreichende Gewähr für die Cybersicherheit bestimmter Cybergeräte, auch für Geräte, die vor dem Inkrafttreten dieses Gesetzes genehmigt oder freigegeben wurden.“

Zu den konkreten Schritten nach Inkrafttreten des Gesetzes gehören:

innerhalb von 2 Jahren und danach in regelmäßigen Abständen überprüft und aktualisiert die FDA in Absprache mit CISA die zuvor bereitgestellten Leitlinien zum Inhalt von Premarket-Anträgen für das Management der Cybersicherheit in medizinischen Geräten;
Spätestens 180 Tage und danach mindestens jährlich stellt die FDA aktualisierte öffentliche Informationen zur Verbesserung der Cybersicherheit von Geräten bereit.
Spätestens nach einem Jahr veröffentlicht das GAO einen Bericht, in dem die Herausforderungen bei der Cybersicherheit für Geräte, einschließlich Altgeräte, ermittelt werden. wie Bundesbehörden die Koordinierung stärken können, um die Cybersicherheit für Geräte besser zu unterstützen; sowie gesetzliche Beschränkungen und Möglichkeiten zur Verbesserung der Cybersicherheit für Geräte.

Andere Bestimmungen des Gesetzes behandeln ein breites Spektrum verwandter Themen, zum Beispiel:

ein erforderlicher Bericht der FTC über Ransomware und andere Cyberangriffe;
Einrichtung eines Gremiums des Beratungsausschusses für Medizinprodukte mit dem Ziel, Beratung zu Themen im Zusammenhang mit Medizinprodukten bereitzustellen, die bei der Vorbereitung und Reaktion auf Pandemien eingesetzt werden;
Vorab festgelegte Änderungskontrollpläne für bestimmte Geräte, um weiterhin Sicherheit und Wirksamkeit zu gewährleisten.
Schutz der Daten von Teilnehmern klinischer Studien;

Die Notwendigkeit, die Cyber-Resilienz des Gesundheitssektors zu verbessern, kommt in verschiedenen Abschnitten des Omnibus-Gesetzes deutlich zum Ausdruck. Dies geht Hand in Hand mit anderen (aktuellen und erwarteten) Cybersicherheitsinitiativen unter der Biden-Regierung, die darauf abzielen, Cyberrisiken für den Gesundheitssektor im Allgemeinen und medizinische Geräte im Besonderen weiter zu reduzieren.

Es ist zu erwarten, dass zusätzliche Anstrengungen der Exekutive und der Gesetzgebung dazu beitragen werden, die gesamte Branche auf einen Mindeststandard für Cybersicherheit zu bringen. Dazu können finanzielle Anreize für Krankenhäuser gehören, Mindestanforderungen an die Cybersicherheit einzuführen. Ein solcher Entwurf wurde kürzlich von veröffentlicht US-Senator Warner hebt drei Schwerpunktbereiche hervor:

Verbesserung der Cybersicherheitsrisikolage im Gesundheitswesen;
Ermittlung von Möglichkeiten, wie die Bundesregierung dem privaten Sektor bei der Bewältigung von Cyber-Bedrohungen helfen kann;
Entwicklung von Richtlinien, die Gesundheitsdienstleistern helfen könnten, auf Angriffe zu reagieren.

Der Omnibus Act beschreibt die zu erwartenden Unterstützungsbemühungen aller Regierungsbehörden, einschließlich FDA, CISA und HHS, und sieht erhebliche Budgeterhöhungen vor, um den Grundstein zu legen – z. B. eine Budgeterhöhung für HHS auf 121 Milliarden US-Dollar und speziell für die FDA auf 5 Millionen US-Dollar für Cybersicherheitsbemühungen für medizinische Geräte.

Im Gesundheitswesen steht Cybersicherheit in direktem Zusammenhang mit der Patientensicherheit und der Fähigkeit von Krankenhäusern, eine zeitnahe und qualitativ hochwertige Versorgung zu gewährleisten. In einem aktuellen Interview, Dr. Suzanne Schwartz, Direktorin des Office of Strategic Partnerships & Technology Innovation, FDA CDRH, erklärte: „Auch wenn wir immer wieder gesagt haben, dass Cybersicherheit von medizinischen Geräten nicht optional und nicht freiwillig ist, hatten wir das bisher noch nie.“ Die Macht des Gesetzes und der tatsächlichen Gesetzgebung verlangt von den Herstellern, sich mit der Cybersicherheit medizinischer Geräte zu befassen.“

Mit anderen Worten: Die traditionelle implizite Autorität der FDA über die Regulierung von Qualitätssystemen ist nun zu einer expliziten Autorität geworden, die eine direkte Aufsicht in Fragen der Cybersicherheit ermöglicht.

Die der FDA zugewiesenen gesetzlichen Befugnisse und Mittel sollten zu mehr Ressourcen, Schulung und Bewusstsein für Cybersicherheit im gesamten CDRH führen. Erhöhte Ressourcen werden zu einer konsistenteren Überprüfung, sichereren Geräten, die auf den Markt kommen, und einer verstärkten Sicherheitsprüfung im Postmarketing führen. Dies ist ein großer Gewinn für Gerätebenutzer, da es die Sicherheit von Geräten insgesamt verbessert, die Transparenz der von MDMs ergriffenen Sicherheitsmaßnahmen erhöht, die Kommunikation zwischen MDMs und Gerätebenutzern verbessert und die Einführung von Best Practices beschleunigt.

Die Bestimmungen des Omnibusgesetzes gehen Hand in Hand mit Die nationale Cyberstrategie von Präsident Biden kritische Infrastruktur sicherer zu machen. Diese neue, umfassende Cybersicherheitsstrategie wird voraussichtlich in den kommenden Wochen bekannt gegeben. Es wird eine Abkehr vom bisherigen freiwilligen Ansatz mit Schwerpunkt auf Informationsaustausch und öffentlich-privaten Partnerschaften hin zu einem Regulierungsansatz zur Gewährleistung der nationalen und öffentlichen Sicherheit geben.

Angesichts der Notwendigkeit von Fortschritten auf nationaler Ebene werden Maßnahmen der Exekutive und des Kongresses erforderlich sein, um eine Kombination aus neuen Vorschriften und der Verlagerung der Haftung zu unterstützen. Kritische Sektoren benötigen ein höheres, aber auch gleichbleibendes Sicherheitsniveau. Durch die Harmonisierung zwischen Sektoren und Regierungsbehörden sowie die Festlegung einer Sicherheitsgrundlinie werden auch Verwirrung und Ineffizienz durch ein Flickenteppich aus Vorschriften und Durchsetzungsmaßnahmen verhindert.

SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
PlatoESG. Automobil / Elektrofahrzeuge, Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
BlockOffsets. Modernisierung des Eigentums an Umweltkompensationen. Hier zugreifen.
Quelle: https://www.greenlight.guru/blog/omnibus-act-impact-medical-device-cybersecurity

Generative Datenintelligenz

Auswirkungen des Omnibus Act auf die Cybersicherheit von Medizingeräten

Die heutige Wordle-Antwort für Samstag, den 4. Mai

MotoGP 24 Switch-Gameplay

Neueste Intelligenz

Gray Zone Warfare Radio Silence Guide: Wo man das isolierte Haus findet

Ich bin so verärgert, dass sie das neue Hobbit-Spiel „Ein Der Herr der Ringe-Spiel“ nennen.

Beliebtes NREL-Zelleneffizienzdiagramm präsentiert Tandem-Photovoltaik jetzt besser – CleanTechnica

IRS-Leitlinien zu Anreizen für Elektroantriebe werden den Stakeholdern entlang der gesamten Wertschöpfungskette Klarheit verschaffen – CleanTechnica

Liste der Splatoon-Anleitungen für Splatoon 3, Side Order und mehr

Die Pole im Sprint-Qualifying in Miami geht an Max Verstappen, Ricciardo begeistert mit Tempo