Die Umsetzung der Anforderungen der IEC 81001-5-1 ist aus unserer Sicht ein guter Ansatz, um Cybersecurity bei Medizinprodukteherstellern prozessual zu etablieren. Diese Norm ergänzt unter anderem die IEC 82304-1 und die IEC 62304.
Die Sicherheit von Informationen und Daten gewinnt in der heutigen Zeit immer mehr an Bedeutung, da es bei Verlusten zu einem hohen Schadensausmaß kommen kann. Besonders in Software der Gesundheitsindustrie kann ein Hackerangriff auf ein Gerät den Tod von Patienten bedeuten. Daher gibt es für Gesundheits-IT-Systeme zunehmend höhere Anforderungen an die Hersteller und Betreiber von medizinischer Software:
Neben den eigentlichen Geschäftsprozessen muss auch ein besonderer Fokus auf die Informationssicherheit gelegt werden.
Die Informationssicherheit innerhalb einer Organisation kann durch die Einhaltung der Anforderungen der DIN EN IEC 81001-5-1 deutlich verbessert werden. Diese Norm legt Anforderungen für medizinische Geräte und Systeme an die Informationssicherheit fest. Sie ist Teil der Normenreihe IEC 81001 und setzt sich mit der Thematik IT-Sicherheit im kompletten Software-Lebenszyklus von Health Software auseinander. Unter Health Software versteht man Softwareelemente oder Systeme, die in einem medizinischen Kontext verwendet werden. In der Norm werden vier Kategorien für Health Software definiert:
· Software als Teil eines Medizinprodukts
· Software als Medizinprodukt
· Software als Teil spezifischer Gesundheits-Hardware
· Software als reines Produkt für andere Gesundheitszwecke
Somit kann jedes Medizinprodukt als Health Software definiert werden, das auf irgendeine Art Software integriert hat. Die Norm IEC 81001-5-1 hat das Hauptziel, die Sicherheit von Patienten oder medizinischem Personal zu erhöhen, indem ein sicherer Health Software Life-Cycle entwickelt wird.
Abgrenzung zu einem Informationssicherheitsmanagementsystem gemäß ISO 27001
Anders als bei der DIN EN IEC 81001-5-1 ist die Norm IEC 27001 nicht nur für medizinische Einrichtungen, sondern auch für alle anderen Sektoren anwendbar. In der IEC 27001 wird ein besonderer Fokus auf den Aufbau und die Integration eines Informationssicherheitsmanagementsystem (ISMS) in die Organisation gesetzt. Dabei werden Anforderungen an das ISMS festgelegt, um die Hauptschutzziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu erreichen. Zusätzlich ist ein Risikomanagement von essenziellen Assets der Organisation fundamental.
DIN EN IEC 81001-5-1 Gesundheitssoftware und Gesundheits-IT-Systeme Sicherheit, Effektivität und Security