Ova stranica je za proizvođače i distribuatore medicinskih uređaja s programskom komponentom ili uključenom softverom koji moraju usklađiti svoju kibernetsku sigurnost s NIS2 te EU MDR zahtjevima. Saznajte kako ispuniti obaveze do kraja 2026. godine.
Proizvođači medicinskih uređaja koji distribuiraju proizvode u Europskoj uniji i čija programska rješenja ili integrirana softverska komponenta mogu utjecati na sigurnost pacijenata kvalificiraju se kao važni subjekti prema NIS2. To uključuje tvrtke s najmanje 50 zaposlenih ili godišnjim prometom većim od 10 milijuna eura koje pružaju kritične usluge u zdravstvenom sektoru.
Za svaki medicinski uređaj s programskom komponentom morate izraditi detaljnu SBOM koja navodi sve komponente otvorenog koda, vanjske biblioteke i izvore od strane tretjih osoba. SBOM mora biti dostupna pri plaćanju i ažurirana sa svakom klinički značajnom zakrpom ili nadogradnjom. Ova dokumentacija je kritična za utvrđivanje ranjivosti i omogućavanje brzog reagiranja na sigurnosne inidente.
Trebate uspostaviti formalnu strukturu nadziranja koja prati javljene ranjivosti vezane uz vaše uređaje tijekom cijelog životnog vijeka proizvoda. Dogovorite dokumentirane procese za verifikaciju, testiranje i siguran razvoj isprava prije nego ih objavite korisnicima. Za bolnički sustav, to znači osiguravanje da se kritične ispravke mogu implementirati bez prekida kliničkih operacija.
Kada uočite ranjivost ili incidenta koji može utjecati na sigurnost pacijentskog zdravlja, morate o tome izvijestiti Hrvatsku agenciju za cybersigurnost i Agenciju za ljekove i medicinske proizvode u propisivanom vremenu. Incident treba biti dokumentiran sa detaljima kako je otkrivena ranjivost i kako je eliminirana, te s procjenom rizika za klinički rad.
Morate provesti procjenu sigurnosti svih vanjskih dobavljača koji pružaju kritične komponente, firmware ili usluge razvoja. Odgovorite na sigurnosnu upitanu listu dobavljača, provjerite njihove kontrole i osigurajte da su uključeni u vašu strategiju reagiranja na incidente. To je posebno važno za dobavljače mikrokontrolera, operacijskih sustava i komunikacijskih biblioteka.
Kibernetska sigurnost mora biti sastavni dio vašeg sustava upravljanja rizikom prema EU MDR. U tehničkoj dokumentaciji trebate prikazati kako ste identificirali kibernetske prijetnje, kako ste ih ublažili kroz arhitekturne odluke i kako pratite nove prijetnje nakon puštanja na tržište. To zahtijeva redovite sigurnosne procjene i penetracijske testove s vanjskim stručnjacima.
SBOM je obavezan za sve medicinske uređaje s programskom komponentom, uključujući naslijeđene proizvode koji su još uvijek u klinički aktivnoj upotrebi. Za produkte puštene na tržište prije 2026. godine, možete početi s onim koji se najčešće koriste ili koji imaju najveći rizik, ali SBOM mora biti dostupna pri plaćanju.
Trebate izvijestiti u roku od 24 sata od kada ste sigurni da postoji ranjivost koja može utjecati na sigurnost pacijentske opskrbe. Ako je ranjivost kritična i zahtijeva hitnu kliničku akciju, trebate dokumentirati sve korake reagiranja i preventivne mjere koje ste poduzeli.
Hrvatska agencija za cybersigurnost može nametnuti upravne novčane kazne do 10 milijuna eura ili do 2% svjetskog godišnjeg prometa, što je veće. Povrh toga, neizvršavanje NIS2 kontrola može dovesti do uklanjanja proizvoda s europskog tržišta ili suspenzije distribucije kroz zdravstvene sustave.