FDA aktualisiert Leitlinien zur Cybersicherheit für Medizinprodukte: Empfehlungen für die Markteinführung 2025

Die US-amerikanische Food and Drug Administration (FDA) veröffentlichte im Juni 2025 einen aktualisierten Leitfaden mit dem Titel „Cybersicherheit bei Medizinprodukten: Überlegungen zum Qualitätssystem und Inhalt von Zulassungsanträgen vor der Markteinführung“, der die Version von 2023 ersetzt. Dieser Leitfaden beschreibt detailliert die Erwartungen an das Management von Cybersicherheitsrisiken über den gesamten Lebenszyklus von Medizinprodukten, von der Entwicklung bis zur Außerbetriebnahme.

Was dies für Hersteller medizinischer Geräte bedeutet

Da medizinische Geräte zunehmend in Netzwerke, Krankenhaussysteme und Cloud-Plattformen integriert sind, sind sie erhöhten Cybersicherheitsrisiken ausgesetzt. Diese Schwachstellen können die Gerätefunktionalität beeinträchtigen und die Patientensicherheit gefährden. Bemerkenswerte Vorfälle wie der WannaCry-Ransomware-Angriff und Schwachstellen wie URGENT/11 und SweynTooth unterstreichen die dringende Notwendigkeit robuster Cybersicherheitsmaßnahmen in Ökosystemen für medizinische Geräte.

Wer ist betroffen

• Geräte mit Software oder programmierbarer Logik, ob vernetzt oder nicht vernetzt
• Alle FDA-Vormarkteinreichungstypen, einschließlich 510(k), PMA, De Novo, HDE, BLA und IND
• „Cyber-Geräte“ gemäß der Definition in Abschnitt 524B des FD&C Act (mit dem Internet verbundene Geräte mit Softwarefunktionalität)
• Geräte mit cybersicherheitsrelevanten Funktionen, auch wenn sie keiner Vorabzulassung unterliegen

Schlüsselanforderungen

1. Cybersicherheit ist ein wesentlicher Bestandteil der Gerätesicherheit

Cybersicherheit ist heute ein zentraler Bestandteil der Gerätesicherheit und -effektivität. Die Einhaltung der Qualitätssystem-Vorschriften (QS) der FDA erfordert die Einbeziehung von Cybersicherheits-Risikomanagement und Designkontrollen.

2. Framework für sichere Produktentwicklung (SPDF)

Die FDA empfiehlt die Einführung eines SPDF, eines strukturierten Satzes von Prozessen, die in Design, Entwicklung und Wartung integriert sind, um Schwachstellen frühzeitig im Lebenszyklus zu reduzieren.

3. Robustes Risikomanagement

Hersteller müssen Folgendes durchführen:

• Bedrohungsmodellierung zur Identifizierung und Eindämmung potenzieller Angriffsvektoren
• Risikobewertungen im Bereich der Cybersicherheit konzentrieren sich auf die Ausnutzbarkeit, nicht nur auf die Wahrscheinlichkeit
• Sicherheitsbewertungen für ungelöste Softwareanomalien
• Laufendes Sicherheitsrisikomanagement, einschließlich Updates und End-of-Life-Strategien

4. Software von Drittanbietern und SBOMs

Eine Software Bill of Materials (SBOM) ist erforderlich, um alle Softwarekomponenten zu dokumentieren, insbesondere Drittanbieter- und Open-Source-Software. Die SBOM muss den Supportstatus und bekannte Schwachstellen detailliert beschreiben, um zeitnahe Patches oder Ersatz zu ermöglichen.

5. Transparenz bei der Kennzeichnung

Hersteller müssen Cybersicherheitsfunktionen, -konfigurationen und -risiken in die Gerätekennzeichnung aufnehmen, damit Benutzer Risiken effektiv managen und einen sicheren Betrieb in den vorgesehenen Umgebungen gewährleisten können.

6. Einhaltung von FDORA Abschnitt 524B

„Cyber-Geräte“ müssen zusätzliche Anforderungen erfüllen, darunter:

• Dokumentierte Pläne und Verfahren zur Cybersicherheit
• Prozesse zur Gewährleistung kontinuierlicher Cybersicherheit während des gesamten Gerätelebenszyklus
• Eine maschinenlesbare SBOM

7. Sicherheitsarchitektur

Hersteller müssen die Sicherheitsarchitektur des Geräts dokumentieren, einschließlich Authentifizierung, Verschlüsselung, Datenintegrität, Protokollierung und Update-Mechanismen. Sicherheitskontrollen sollten in das Design integriert und nicht nachträglich hinzugefügt werden.

8. Tests und Metriken

Vorabanmeldungen müssen Ergebnisse aus Penetrationstests, Fuzz-Tests und statischer/dynamischer Codeanalyse enthalten. Hersteller sollten Kennzahlen wie Patch-Bereitstellungszeitpläne und Fehlerdichte verfolgen, um die Robustheit der Cybersicherheit nachzuweisen.

Wie AssurX Herstellern hilft, diese Anforderungen zu erfüllen

AssurX ermöglicht es Herstellern, die Cybersicherheitsrichtlinien der FDA für 2025 umzusetzen, ohne unterschiedliche Tools hinzuzufügen oder bestehende Prozesse zu stören. Unsere Cloud-basiertes eQMS integriert Best Practices für Cybersicherheit in alle unsere Lösungen, einschließlich Designkontrolle, Risikomanagement und Arbeitsabläufe zur Meldung unerwünschter Ereignisse. Unsere Plattform erfasst Bedrohungsinformationen und Sicherheitsanforderungen in DHF-Artefakten, startet Change Control oder CAPA-Workflows wenn Schwachstellen auftauchen, und mehr. Darüber hinaus werden robuste Prüfpfade mit elektronischen Signaturen verwaltet, sodass Prüfer jederzeit objektive Beweise zur Verfügung haben.

Fazit

Die Cybersicherheitsrichtlinien der FDA für 2025 sind ein wichtiger Schritt im Umgang mit den sich entwickelnden digitalen Bedrohungen für Medizinprodukte. Durch die direkte Verknüpfung von Cybersicherheit mit der Gerätesicherheit und -effektivität betont die FDA einen proaktiven, transparenten und systematischen Ansatz. Hersteller müssen Cybersicherheit in jede Phase des Gerätelebenszyklus integrieren, um Patienten und Gesundheitssysteme vor neuen Risiken zu schützen.

Über den Autor

Stephanie Ojeda ist Leiterin des Produktmanagements für die Life-Science-Branche bei AssurX. Stephanie verfügt über mehr als 15 Jahre Erfahrung in leitenden Funktionen der Qualitätssicherung in verschiedenen Branchen, darunter Pharma, Biotechnologie, Medizintechnik, Lebensmittel und Getränke sowie Fertigung.