In dem 4.100 Seiten umfassenden 1,7-Billionen-Dollar-Gesamtpaket, das am Dienstag von den Haushaltsausschüssen des Repräsentantenhauses und des Senats verabschiedet wurde, ebnet Abschnitt 3.305 den Weg für wesentliche Verbesserungen der Cybersicherheit von Medizinprodukten. Der Gesetzgeber hat damit anerkannt, dass die Sicherheit der Patienten von der Sicherheit vernetzter medizinischer Geräte abhängen kann und dass jede Betriebsstörung zu lebensbedrohlichen Verzögerungen in der Patientenversorgung führen kann.
Nach der Verabschiedung des Gesetzentwurfs müssten Hersteller, die bei der Food and Drug Administration (FDA) Medizinprodukte zur Zulassung einreichen, eine Reihe von Cybersicherheitsanforderungen erfüllen. In erster Linie geht es dabei um konkrete Verfahren zur Behebung von Schwachstellen nach der Markteinführung in regelmäßigen Abständen sowie um die Behebung kritischer Bugs außerhalb des Systems. Der Gesetzentwurf verdeutlicht auch die Notwendigkeit von Transparenz in Bezug auf die in einem Medizinprodukt verwendeten Softwarekomponenten, um Fragen der Cybersicherheit besser angehen zu können.
Sichere Geräte sind gleichbedeutend mit Patientensicherheit
Angesichts des zunehmenden Einsatzes von Software in vernetzten medizinischen Geräten stellen die im diesjährigen Omnibus enthaltenen Bestimmungen zur Cybersicherheit einen entscheidenden Schritt zur Gewährleistung der Patientensicherheit dar. Selbst gut konstruierter Code kann äußerst schwerwiegende Schwachstellen enthalten, die sich auf die Funktionsfähigkeit der Software auswirken können, und angesichts der weit verbreiteten Verwendung von Drittanbieter- und Open-Source-Software sind sich die Hersteller von Medizinprodukten möglicherweise nicht einmal der Schwachstellen bewusst, die die Patientenversorgung beeinträchtigen können.
Die Bestimmungen des Omnibus-Gesetzes - Teil des Protecting and Transforming Cyber Health Care (PATCH)-Gesetzes - enthalten wichtige Leitlinien, die sicherstellen sollen, dass die Gerätehersteller bereit, willens und in der Lage sind, Schwachstellen in ihren Produkten nach dem Inverkehrbringen innerhalb von 90 Tagen zu erkennen und darauf zu reagieren.
Eine weitere Bestimmung sieht vor, dass die Gerätehersteller der FDA eine Software-Stückliste (SBOM) vorlegen müssen, in der alle kommerziellen, quelloffenen und handelsüblichen Softwarekomponenten aufgeführt sind, die in einem Gerät verwendet werden. Durch diese SBOM-Anforderung sind die Hersteller außerdem gezwungen, festzustellen, ob es Probleme mit den Komponenten von Drittanbietern gibt, die sie bei der Softwareentwicklung einsetzen. Die Hersteller medizinischer Geräte können nicht länger die Augen vor den Risiken verschließen, die für die Patienten durch Sicherheitsrisiken in der von ihnen verwendeten Software entstehen.
SBOM Translate to Transparency
Die Gesetzgebung geht sogar noch einen Schritt weiter, indem sie den Leitfaden für die Einreichung von Medizinprodukten vor der Markteinführung aktualisiert, nachdem eine Reihe von Interessengruppen aus der Industrie und der CISA um Feedback gebeten wurden. Damit wird sichergestellt, dass der Leitfaden mit den sich wandelnden Sicherheitsbedenken in Bezug auf die digitale Technologie Schritt hält.
Angesichts der zunehmenden Konnektivität und Bedrohungen gibt diese Gesetzgebung den Organisationen des Gesundheitswesens Vertrauen und Gewissheit in die Sicherheit der Medizinprodukte, auf die sie angewiesen sind, was Transparenz erfordert. Die Bereitstellung von SBOMs unterstützt eine größere Transparenz der von den Geräteherstellern übermittelten Daten.
Der 1,7 Billionen Dollar schwere Gesetzentwurf, mit dem die Regierung bis September nächsten Jahres finanziert werden soll, wird zunächst dem Senat und dann dem Repräsentantenhaus zur Genehmigung vorgelegt. Es wird erwartet, dass beide Gremien dem Gesetzentwurf zustimmen, bevor die Finanzierung der Regierung am Freitag ausläuft.
