Tekniken rusar fram och EU har redan behövt justera regelverken MDR och IVDR. För tillverkare innebär det ökade krav på att bygga in cyberskydd från början, dokumentera processer och följa upp säkerheten under hela produktens livscykel.
Pacemakers, insulinpumpar, sensorer och analysutrustning är idag beroende av digitala system. För att få säljas inom EU måste de uppfylla tydliga cybersäkerhetskrav och kunna bevisas vara tillförlitliga för både patienter och vården. Här kommer regelverken MDR och IVDR in i bilden – och på andra marknader spelar FDA en liknande roll.
Så styr MDR och IVDR cybersäkerheten
MDR och IVDR gör cybersäkerhet till en del av kvaliteten i medicinteknik, på samma nivå som funktionalitet och säker användning. De täcker hela livscykeln, från design och utveckling till dokumentation, uppföljning och IT-miljö.
- MDR (Medical Device Regulation – EU 2017/745) gäller för de flesta medicintekniska produkter och mjukvaror som används direkt på människor – allt från elektroniska proteser och pacemakers till loggningsappar, mätutrustning och behandlingssystem.
- IVDR (In Vitro Diagnostic Medical Device Regulation EU 2017/746) gäller för diagnostikprodukter som analyserar prover utanför kroppen, till exempel blodprov, genetiska tester och infektionstester.
För att konkretisera kraven planerar EU att harmonisera ISO 81001-5-1 i mitten av 2028, som visar hur tillverkare kan gå från riskanalys till tekniska kontroller och dokumentation. Men redan idag har Notified Bodies börjat tillämpa delar i sina kontroller
Säkerhet måste byggas in från början
Cybersäkerhet kan inte skjutas upp till slutet av utvecklingen. Processerna måste finnas med från start och följas upp genom hela livscykeln. För företag som tar frågan på allvar blir erfarenheten en tillgång som gör nästa process smidigare och snabbare, medan de som väntar riskerar höga kostnader och kraftiga förseningar.
”Det kan vara skillnaden mellan att bli först på marknaden med en ny produkt eller att se en konkurrent hinna före,” säger Albin Eldstål-Ahrens, Tekn.Dr. och säkerhetsspecialist på Assured.
Regelverken gör detta tydligt. MDR och IVDR kräver bland annat att:
- Riskbedömningar måste dokumenteras
- Post-Market Surveillance (PMS) ska finnas på plats – det vill säga kontinuerlig bevakning och rapportering av fel och incidenter när produkten används i verkligheten
- Allvarliga incidenter måste rapporteras inom så kort tid som två dagar
- Dokumentation av säkerhetsåtgärder och tester krävs inför CE-märkning
För de flesta produktklasser krävs dessutom en granskning av en så kallad Notified Body – en EU-ackrediterad, oberoende organisation som godkänner produkten innan den får säljas
Både FDA och Notified Bodies lyfter att det är svårt för en tillverkare att själv granska sin produkt på ett objektivt sätt. Därför är oberoende tester inskrivna i vägledningar och standarder. Regelbundna penetrationstester av en extern part betraktas idag som en självklarhet för att säkerheten ska vara robust över tid.
Läs mer om hur vi jobbar med penetrationstester härFDA och internationella krav
EU är inte ensamt om skarpa lagkrav. Food and Drug Administration (FDA) i USA har länge haft egna riktlinjer som kräver att cybersäkerhet både verifieras och valideras under produktens livscykel.
Detta innebär att samma produkt kan behöva olika typer av dokumentation beroende på marknad. En tillverkare kan därför behöva ta höjd för både EU:s och USA:s krav redan i design- och utvecklingsfasen. Vanligtvis hittar man en heltäckande säkerhetslösning för båda marknaderna.
Vad betyder risk i praktiken?
I regelverken definieras risk som kombinationen av sannolikhet och allvarlighetsgrad. En blodglukosmätare illustrerar skillnaden:
- Missad mätning – mindre allvarligt, men fortfarande en risk.
- Obehörig åtkomst till data – känslig information hamnar i fel händer, en mer allvarlig risk.
- Manipulerade värden – kan leda till fel behandling och bli livshotande.
Risker kan aldrig elimineras helt. Regelverken kräver istället att de reduceras till en nivå som anses acceptabel och att det finns bevis för hur det har gjorts.
Misstag, brister och uppföljning
Risker handlar inte bara om tekniska sårbarheter, utan också om så kallat foreseeable misuse – användarmisstag som går att förutse. Det kan vara otydliga instruktioner eller gränssnitt där nya användare får för höga rättigheter. Effekten blir att attackytan växer trots att användaren agerat på rätt sätt.
”I MDR och IVDR behandlas foreseeable misuse ganska likt riktiga sårbarheter – det ska hanteras på samma sätt,” säger Albin. Sårbarheter ändras under tiden, nya sårbarheter upptäcks i existerande komponenter och leder till foreseeable misuse som skall tas upp i riskanalysen.
Enligt regelverken slutar inte arbetet vid lansering. När produkten används i vården måste tillverkaren snabbt rapportera upptäckta problem till relevanta myndigheter eller sin Notified Body, ibland så snart som inom två dagar. En extra fallgrop är att data som samlas in för att följa upp produkten ofta är känsliga personuppgifter och därför också omfattas av GDPR.
Slutligen är applikationssäkerhet avgörande. Den är inte lika tydligt reglerad i MDR, men i praktiken är det delar som accesskontroll, rättighetshantering och skydd mot dataläckor som avgör hur säker produkten blir.
Läs mer om våra tjänster
Deadlines att ha koll på
Införandet av MDR och IVDR sker stegvis beroende på produktklass. Vissa produkter har omfattats sedan 2021, medan andra har övergångsperioder fram till 2027–2028. Den som väntar för länge riskerar flaskhalsar, förseningar i granskningen – eller i värsta fall en stoppad lansering.
Hur kan företag förbereda sig redan nu?
- Ta reda på om och hur era produkter omfattas av MDR eller IVDR – klassificeringen avgör vilka krav som gäller.
- Se över interna processer. Processer, dokumentation, rutiner och tekniska lösningar måste finnas på plats för att undvika förseningar och extra kostnader.
- Ta hjälp vid behov. Specialister kan guida genom hela processen och samtidigt bygga upp rätt kompetens internt.
”Säkerhet är egentligen ingen egenskap, utan snarare en process. Det är särskilt tydligt i MDR som uttryckligen lägger ett ansvar på tillverkare att följa upp löpande,” avslutar Albin.
Kontakta oss eller fyll i formuläret nedan för att diskutera hur vi kan hjälpa er att uppfylla kraven på cybersäkerhet och säkra era produkter.