Ghidul complet pentru entitățile importante din sectorul dispozitivelor medicale care trebuie să respecte simultan cerințele NIS2/Legea 362/2022 și regulamentele UE MDR. Aflați obligațiile critice de cibersecuritate și modalitățile de conformare.
Producătorii de dispozitive medicale clasificate ca entități importante conform Anexei II a NIS2 trebuie să se conformeze dacă furnizează dispozitive cu funcționalități de rețea sau telemetrie, sau dacă sunt încadrate în categoriile de risc critice sub MDR. Pragurile includ entități cu activități esențiale în domeniul sănătății și care deservesc población semnificativă din România.
Trebuie să generați și să mențineți o listă completă a tuturor componentelor software integrate în dispozitivele dumneavoastră medicale, inclusiv biblioteci terțe și module încorporate. SBOM-ul trebuie actualizat la fiecare versiune de firmware și comunicat autorităților în caz de incidente de securitate care afectează siguranța pacientului, conform articolului 5(5) al MDR și cerințelor NIS2.
Instituți un proces documentat de monitorizare continuă a dispozitivelor în utilizare pentru a identifica vulnerabilități noi care pot afecta funcționalitățile critice. Programul trebuie să includă canale de raportare din partea utilizatorilor, spitalelor și furnizorilor de servicii, cu timp de răspuns de maximum 30 de zile pentru dispozitivele cu funcții de siguranță critice.
Toate incidentele de cibersecuritate care pot compromite funcționalitățile esențiale ale dispozitivelor medicale sau au potențial să cauzeze rănire pacientului trebuie raportate DNSC în termen de 72 de ore de la descoperire. Raportul trebuie să includă descrierea vulnerabilității, vectorul de atac, dispozitivele afectate și măsurile de remediere implementate.
Efectuați evaluări regulate de cibersecuritate a furnizorilor de componente, software și servicii cloud utilizate în fabricarea dispozitivelor. Asigurați contractual că furnizorii dumneavoastră implementează standarde minime de cibersecuritate și notifică imediat asupra încălcărilor de date sau vulnerabilităților depistate în produsele lor.
Implementați mecanisme criptografice pentru semnarea și validarea tuturor actualizărilor de firmware și patch-urilor de securitate, cu control de acces strict și audit trail complet. Procedurile trebuie să includă testare în mediu controlat înainte de deployare în producție, cu documentație care demonstrează că actualizările nu compromit funcționalitățile critice de siguranță.
Auditați codul binar și componentele instalate prin inginerie inversă controlată în mediu izolat, documentând toate bibliotecile și module identificate. Lucrați cu furnizori originali pentru a obține informații lipsă despre versiunile și patchuri. Acest proces trebuie finalizat până la 31 martie 2026 pentru a respecta termenul NIS2.
MDR necesită documentare componentelor software pentru siguranța pacientului; NIS2 necesită detaliere și actualizare continuă pentru răspuns rapid la incidente de cibersecuritate. NIS2 cere audit trail complet și notificare autorităților în 72 de ore, ceea ce MDR nu specifică explicit. SBOM NIS2 trebuie mai granular și actualizat cu fiecare versiune.
Legea 362/2022 prevede amenzi de până la 10 milioane EUR sau 2% din cifra de afaceri anuală mondială pentru entitățile importante care nu implementează controlurile NIS2. Pentru producători medicali, sancțiunile pot fi combinate cu suspendarea permiselor de fabricație și retragerea din piață de către ANMCS (Agenția Națională pentru Medicamete și Dispozitive).