Auf dem Weg zu cybersicheren Medizinprodukten
| Interlynk
Die Verabschiedung des umfassenden Haushaltsgesetzes zur Finanzierung der Bundesregierung durch den Senat ist ein beispielloser Schritt zur Stärkung der FDA im Bereich der Cybersicherheit vernetzter Medizinprodukte.
Das Gesetz verpflichtet die FDA, einen Plan zur Behebung von Schwachstellen und Exploits nach dem Inverkehrbringen in angemessenen Abständen einzufordern und einen Prozess für kritische Schwachstellen einzurichten.
In einer deutlichen Anlehnung an die Executive Order 14028 – Verbesserung der Cybersicherheit des Landes – fordert das Gesetz die FDA außerdem auf, eine Software-Stückliste (SBOM) für solche Geräte zu erfassen.
Wir bei Interlynk glauben, dass eine einfache, offensichtliche und automatisierte Softwareoffenlegung der Grundbaustein der Softwaresicherheit ist, und begrüßen diese Anforderungen im Gesetzesentwurf des Senats.
Text aus der Rechnung:
SEC. 524B. GEWÄHRLEISTUNG DER CYBERSICHERHEIT VON PRODUKTEN.
(a) IM ALLGEMEINEN. — Eine Person, die einen Antrag oder eine Einreichung gemäß Abschnitt 510(k), 513, 515(c), 515(f) oder 520(m) für ein Produkt einreicht, das die Definition eines Cyber-Produkts gemäß diesem Abschnitt erfüllt, hat die Informationen beizufügen, die der Minister verlangen kann, um sicherzustellen, dass dieses Cyber-Produkt die Cybersicherheitsanforderungen gemäß Absatz (b) erfüllt.
(b) CYBERSICHERHEITSANFORDERUNGEN. — Der Sponsor eines in Absatz (a) beschriebenen Antrags oder einer dort beschriebenen Einreichung muss —
(1) dem Minister einen Plan vorlegen, um Cybersicherheitslücken und -versuche nach dem Inverkehrbringen in angemessener Zeit zu überwachen, zu identifizieren und gegebenenfalls zu beheben, einschließlich koordinierter Offenlegung von Sicherheitslücken und damit verbundener Verfahren;
(2) Prozesse und Verfahren entwerfen, entwickeln und aufrechterhalten, um eine angemessene Gewähr dafür zu bieten, dass das Produkt und die damit verbundenen Systeme cybersicher sind, und Updates und Patches nach dem Inverkehrbringen für das Produkt und die damit verbundenen Systeme zur Verfügung stellen, um Folgendes zu beheben: „A) in einem angemessen begründeten regelmäßigen Zyklus bekannte unannehmbare Sicherheitslücken; und (B) so schnell wie möglich außerhalb des Zyklus kritische Sicherheitslücken, die unkontrollierbare Risiken verursachen könnten;
(3) dem Minister ein Software-Verzeichnis (Software Bill of Materials) vorlegen, das kommerzielle, Open-Source- und Standard-Softwarekomponenten enthält; und
(4) alle weiteren Anforderungen erfüllen, die der Minister durch Verordnung vorschreiben kann, um eine angemessene Gewähr dafür zu erbringen, dass das Produkt und die damit verbundenen Systeme cybersicher sind.