Riferimenti normativi
Tra le molte novità introdotte dai due nuovi Regolamenti sui dispositivi medici 745/2017 (MDR) e 746/2017 (IVDR) c’è l’attenzione ai rischi della sicurezza informatica che corrono i dispositivi immessi sul mercato dell’Unione Europea.
I nuovi Regolamenti stabiliscono, infatti, nuovi requisiti essenziali di sicurezza per tutti i dispositivi medici che incorporano sistemi elettronici programmabili o software che sono di per sé dispositivi medici (SaMD), e di sviluppare e fabbricare i dispositivi secondo lo stato dell’arte tenendo conto dei principi della gestione del rischio, compresa la sicurezza delle informazioni, nonché di stabilire requisiti minimi relativi alle misure di sicurezza informatica, compresa la protezione contro l’accesso non autorizzato.
Le misure in grado di assicurare un adeguato livello di sicurezza sono dettagliatamente individuate nella Guida alla sicurezza informatica per i dispositivi medici MDCG 2019-16, approvata a dicembre 2019 dal Medical Device Coordination Group (MDCG), istituito dall’articolo 103 del regolamento (UE) 2017/745.
Misure di sicurezza e soggetti competenti
La Guida indica, tra l’altro, che le misure di sicurezza informatica ed i meccanismi di protezione dei dati non riguardano esclusivamente il dispositivo medico e/o il “Provider” del prodotto, ma anche l’“Operatore”, ovvero la struttura sanitaria oppure l’operatore sanitario che lo utilizza.
In altri termini, il soggetto o la struttura che utilizza il dispositivo medico è tenuto a completare la sicurezza informatica e la protezione dei dati incorporate nel prodotto stesso secondo le indicazioni del Provider, agendo su:
- l’ambiente operativo inteso come “la somma degli asset informatici (software, hardware, componenti di rete) all’interno dei quali il dispositivo medico opera e con i quali il dispositivo medico interagisce”;
- il sistema complesso da interpretare come “l’ambiente operativo integra più dispositivi medici e altri sistemi, che richiede misure appropriate per limitare la propagazione di un attacco”.
I nostri strumenti di controllo
Per controllare l’aderenza alle misure disponibili le check list di autovalutazione somministrate dalla nostra piattaforma digitale, sviluppata in collaborazione con MSA di Luigi Zampetti e SIET di Sergio Spera.
Nel percorso MDP “Sicurezza IT dei DM: misure del Provider” sono presenti:
- 3 check list (M1, M2, M3) per analizzare le modalità con cui è stato sviluppato il software e protetti i dati (analisi privacy by design);
- 4 check list (M6, M7, M8, M9) per capire come è valutato e gestito il rischio, le capacità di sicurezza del DM, le attività di sorveglianza e vigilanza, le misure per l’ambiente operativo;
- 2 check list (M14, M15) sulla documentazione prodotta, le istruzioni e le attenzioni in caso di integrazione del DM.
Nel percorso MDO “Sicurezza IT dei DM: misure dell’Operatore” sono presenti:
- 4 check list (M10, M11, M12, M13) per capire la situazione generale, i requisiti minimi per l’ambiente operativo, le misure per l’ambiente operativo, le attività di sorveglianza e vigilanza;
- 2 check list (M14, M15) sulla documentazione prodotta, le istruzioni e le attenzioni in caso di integrazione del DM.
Le check list consentono di valutare la difesa in profondità (Defense in Depth) perché tengono conto come indicato dalla Guida MDCG tanto delle misure di sicurezza informatica e di protezione dei dati del dispositivo che sono a carico del Provider, quanto di quelle indicate per l’”ambiente operativo” nel quale dovrà funzionare, di competenza dell’Operatore, ovvero la struttura sanitaria oppure il singolo operatore sanitario che lo utilizza.