اقدامات امنیت سایبری اتحادیه اروپا در medtech – آنچه باید بدانید

کریس وایت هاوس، مشاور سیاسی و کارشناس سیاست ها و مقررات فناوری پزشکی در Whitehouse Communications، رئیس انجمن تجارت اورولوژی، خوانندگان را در مورد اطلاعیه های کلیدی اخیر که بر بخش پزشکی در بریتانیا و اتحادیه اروپا تأثیر می گذارد، به روز می کند.

دیجیتالی شدن روزافزون و اتصال بیشتر به یکدیگر شاهد افزایش تعداد فعالیت های مخرب سایبری در سراسر جهان بوده است. برای پاسخ به این تهدیدات فزاینده، کمیسیون اروپا قوانین و مقررات جدیدی را در مورد امنیت سایبری معرفی کرده است که بر بخش فناوری پزشکی تأثیر خواهد گذاشت.

در 17^هفتم ژانویه، دستورالعمل NIS 2 لازم الاجرا شد – به روز رسانی قوانین اتحادیه اروپا در مورد امنیت شبکه و سیستم های اطلاعاتی (دستورالعمل NIS). قانون جدید، نهادهای متوسط ​​و بزرگ را از بخش‌هایی که برای اقتصاد و جامعه حیاتی تلقی می‌شوند، پوشش می‌دهد. دامنه دستورالعمل NIS 2 به تولید کنندگان دستگاه های پزشکی و دستگاه های پزشکی تشخیصی آزمایشگاهی (IVD) گسترش یافته است.

NIS 2 مشاغلی را که در محدوده خود قرار می گیرند در دو دسته طبقه بندی می کند – موجودیت های “ضروری” و “مهم”. سازندگان دستگاه های پزشکی و IVD به عنوان نهادهای “مهم” طبقه بندی می شوند. این دستورالعمل همچنین مشاغل تولید کننده تجهیزات پزشکی را که در شرایط اضطراری بهداشت عمومی حیاتی تلقی می شوند، به عنوان “ضروری” طبقه بندی می کند.

رژیم های نظارتی متفاوتی برای هر یک از این دو دسته اعمال می شود. نهادهای «مهم» به طور سیستماتیک ملزم به مستندسازی انطباق با اقدامات امنیت سایبری نیستند و مقامات ذیصلاح تنها در صورتی اقدام خواهند کرد که شواهدی برای آنها خریداری شود که نشان دهنده نقض احتمالی دستورالعمل باشد. اما برای نهادهای «ضروری»، NIS 2 نظارت فعال‌تری را پیش‌بینی می‌کند، از جمله الزام مقامات ذیصلاح برای انجام بازرسی‌های در محل و نظارت خارج از محل و همچنین ممیزی‌ها و اسکن‌های امنیتی هدفمند.

هر دو نهاد «ضروری» و «مهم» مشمول الزامات بیشتری هستند، از جمله:

• اقدامات دقیق مدیریت ریسک که مشاغل را در سراسر زنجیره تامین پوشش می دهد.
• تعهدات برای مدیریت ارشد، مانند الزامات نظارت بر اجرای اقدامات مدیریت ریسک در امنیت سایبری؛ و
• گزارش حوادث امنیت سایبری در بازه های زمانی مشخص

مراقب باشید، NIS 2 جریمه های اداری را برای عدم رعایت اقدامات مدیریت ریسک و گزارش تا 7 میلیون یورو برای نهادهای “مهم” و تا 10 میلیون یورو برای نهادهای “ضروری” پیش بینی می کند.

شرکت‌های Medtech همچنین باید از قانون مقاومت سایبری (CRA) آگاه باشند. دستگاه های پزشکی و IVD در محدوده پیشنهاد قانونی فعلی نیستند. اما، ناظر حفاظت از داده اروپا [EDPS] تاکید کرده است که دامنه باید گسترش یابد تا آنها را در مفاد خود قرار دهد. در نظری که در نوامبر سال گذشته منتشر شد، EDPS معتقد است که مفاد امنیتی مقررات تجهیزات پزشکی (MDR) “همیشه به اندازه موارد موجود در CRA دقیق و مشخص نیست” و همچنین استدلال می کند که در حالی که MDR تعهدی را برای ” ایجاد، پیاده سازی، مستندسازی و حفظ یک سیستم مدیریت ریسک»، مشخص نیست که آیا این سیستم جنبه های مربوط به امنیت سایبری و حفاظت از داده ها را نیز پوشش می دهد یا خیر.

از آنجایی که صنعت تجهیزات پزشکی در اروپا شاهد رشد و توسعه مداوم است، تصمیم گیرندگان اتحادیه اروپا به دنبال صدور مقررات اضافی برای اطمینان از ایمنی بیماران اروپایی و حفظ نوآوری این بخش هستند. با دستورالعمل NIS 2 که اقدامات امنیت سایبری اضافی را به موارد معرفی شده توسط MDR برای صنعت medtech و CRA آتی اعمال می کند، یک چیز واضح است: نظارت بر سیاست و تعامل نزدیک با تصمیم گیرندگان اکنون بیش از هر زمان دیگری برای کسب و کارهای medtech مهم است تا مطمئن شوند که آنها هستند. کاملاً مطابق با قانون است و این قانون برای هدف مناسب است.

سوالات یا نظرات مربوط به این مقاله را می توان با نویسنده در آدرس زیر مطرح کرد chris.whitehouse@whitehousecomms.com.