Riferimenti normativi
Tra le molte novità introdotte dai due nuovi Regolamenti sui dispositivi medici 745/2017 (MDR) e 746/2017 (IVDR) c’è l’attenzione ai rischi della sicurezza informatica che corrono i dispositivi immessi sul mercato dell’Unione Europea.
I nuovi Regolamenti stabiliscono, infatti, nuovi requisiti essenziali di sicurezza per tutti i dispositivi medici che incorporano sistemi elettronici programmabili o software che sono di per sé dispositivi medici (SaMD: Software as Medical Device), e di sviluppare e fabbricare i dispositivi secondo lo stato dell’arte tenendo conto dei principi della gestione del rischio, compresa la sicurezza delle informazioni, nonché di stabilire requisiti minimi relativi alle misure di sicurezza informatica, compresa la protezione contro l’accesso non autorizzato.
Le misure in grado di assicurare un adeguato livello di sicurezza sono dettagliatamente individuate nella Guida alla sicurezza informatica per i dispositivi medici MDCG 2019-16, approvata a dicembre 2019 dal Medical Device Coordination Group (MDCG), istituito dall’articolo 103 del regolamento (UE) 2017/745.
Misure di sicurezza e soggetti competenti
La Guida individua due diversi soggetti: il Provider, ovvero il Costruttore del dispositivo, e l’Operatore, cioè la struttura sanitaria oppure l’operatore sanitario che lo utilizza.
La sicurezza informatica e la protezione dei dati è affidata ad entrambi al fine di realizzare la cosiddetta “difesa in profondità” (Defense in Depth).
Nel documento, infatti, sono individuate:
- le misure di sicurezza informatica e di protezione dei dati da incorporare nel dispositivo che il Provider deve mettere in atto,
- le azioni che il Provider deve eseguire nel tempo,
- le misure di sicurezza informatica e di protezione dei dati che è raccomandato l’Operatore adotti per garantire un adeguato livello di sicurezza dell’ambiente operativo, misure che spetta al Provider indicare all’Operatore.
Per quanto riguarda il concetto di “ambiente operativo”, la Guida fornisce queste due definizioni:
- ambiente operativo: “la somma degli asset informatici (software, hardware, componenti di rete) all’interno dei quali il dispositivo medico opera e con i quali il dispositivo medico interagisce”;
- sistema complesso: “l’ambiente operativo che integra più dispositivi medici e altri sistemi, che richiede misure appropriate per limitare la propagazione di un attacco”.
I nostri strumenti di controllo
Il sistema digitale ASG© (Analisi dei Sistemi di Gestione) di somministrazione delle check list di autovalutazione, accessibile a questo link, mette a disposizione due percorsi basati sulla Guida MDCG2019-16.
L’obiettivo è strutturare l’attività di rilevazione delle informazioni e per supportare il Provider e l’Operatore nell’individuare le misure e le azioni da eseguire per abbassare il livello di rischio informatico ed aumentare la sicurezza.
- Nel percorso MDP “Sicurezza IT dei DM: misure del Provider” sono presenti:
- 3 check list (M1, M2, M3) per analizzare le modalità con cui è stato sviluppato il software e protetti i dati (analisi privacy by design);
- 4 check list (M6, M7, M8, M9) per capire come è valutato e gestito il rischio, le capacità di sicurezza del DM, le attività di sorveglianza e vigilanza, le misure per l’ambiente operativo;
- 2 check list (M14, M15) sulla documentazione prodotta, le istruzioni e le attenzioni in caso di integrazione del DM.
- Nel percorso MDO “Sicurezza IT dei DM: misure dell’Operatore” sono presenti:
- 4 check list (M10, M11, M12, M13) per capire la situazione generale, i requisiti minimi per l’ambiente operativo, le misure per l’ambiente operativo, le attività di sorveglianza e vigilanza;
- 2 check list (M14, M15) sulla documentazione prodotta, le istruzioni e le attenzioni in caso di integrazione del DM.