MedTech-enheder og connectivity – spændende muligheder, strammere regler

I dag er et stigende antal MedTech-enheder forbundet til hospitalers netværk eller direkte til internettet ved hjemmebrug. Apparaterne er udviklet til sikkert og pålideligt at tracke for eksempel blodtryk eller blodsukker, mens patienten er i eget hjem. Enhederne kan kategoriseres som Internet of Medical Things (IoMT). MedTech-markedet vokser, og nye innovative startups træder ind på markedet.

"Tidligere, hvor enhedens funktionalitet ikke var afhængig af softwaren, og der ikke var nogen connectivity, var det muligt at udvikle disse enheder i mindre teams. I dag har vi brug for en bred gruppe af eksperter til alle stadier af produktudviklingen", siger Antti Tolvanen, Sales Director for Software & Embedded hos Etteplan.

Forbundne MedTech-enheder forbedrer behandlingen af patienter, men gør samtidig enhederne sårbare over for cybersikkerhedshændelser, der kan bringe patienter og forbrugere i fare. MedTech-virksomheder skal håndtere produkters cybersikkerhedsrisici.

Mens de lovgivningsmæssige krav stiger, gør funktionaliteter, der er afhængige af kunstig intelligens og connectivity, medicinsk teknologiudstyr mere komplekst.

Det voksende behov for ekspertise kan blive et problem for virksomheder, der ønsker at udvikle alt in-house. Et stigende antal MedTech/IoMT-enheder udvikles ved hjælp af en partnerskabsmodel. Dette gør det muligt for MedTech-virksomheder at supplere deres interne ekspertise med alle specifikke kompetencer, der kræves for at få succes på markedet samt løse fremtidige udfordringer relateret til EOL og skiftende markedskrav.

Jo mere kompleks en tilsluttet enhed er, jo mere kritisk er det at håndtere dens cybersikkerhed. Cybersikkerhedskravene bliver endnu strengere, når AI er involveret. Organisationer, der er ansvarlige for at vurdere udstyr, såsom bemyndigede organer for EU, vil gennemgå den tekniske fil, herunder dokumenter relateret til en sikker produktudviklingslivscyklus, forud for en CE-mærkning. I USA overraskede FDA MedTech-industrien ved pludseligt at gøre sikre dokumentationsprocesser relateret til produktudviklingslivscyklussen obligatoriske for nye medicinske enheder nærmest fra den ene dag til den anden.

Det er også vigtigt at huske, at det nyligt vedtagne delegerede direktiv om radioudstyr og forslagene General Product Safety Regulation og Cyber Resilience Act vil regulere cybersikkerheden for sundheds- og wellnessudstyr. Tekniske sikkerhedskrav, der bliver obligatoriske, såsom softwareopdateringer, kan kun implementeres med en understøttende sikkerhedsinfrastruktur.

"Medicinsk udstyr har lange livscyklusser, mens kommercielle systemer til livscyklusstyring af enheder kan have uforudsigeligt korte livscyklusser. På baggrund af det brede spektrum af sikkerhedskrav, der skal implementeres i medicinsk udstyr, kan det også være muligt for producenter af medicinsk udstyr at udvikle en skræddersyet løsning til sikkerhedsinfrastruktur. Den medfølgende 'udvikl eller køb'-beslutning er afgørende", siger Etteplans Etteplan's Antti Tolvanen.

Medicinsk udstyr og dets producenter er stærkt reguleret i dag. EU regulerer stort set alt relateret til digitalisering for at reducere risici for sikkerhed, privatliv og grundlæggende rettigheder for mennesker og enheder. Reguleringsbyrden på MedTech-virksomheder vil øges med blandt andet NIS2 og dataloven.

Den 18. oktober 2024 træder NIS2 i kraft, hvilket medfører, at mellemstore og store producenter af medicinsk udstyr bliver klassificeret som "Essentielle eller Vigtige Enheder", der skal have et passende informationssikkerhedsstyringssystem. Den Europæiske Databeskyttelsesforordning medfører igen nye krav til tilsluttede produkter og relaterede digitale services, hvor medicinske apparater ikke er undtaget. Brugere af produkter vil opnå ejerskab over de data, som enhederne har genereret, og skal derfor eksempelvis tilbydes gratis adgang til alle brugsdata.

"Denne nye forordning vil helt sikkert skabe yderligere udfordringer for producenter af medicinsk udstyr samt sundhedsudbydere. Det vil være en stor fordel at sætte sig ind i datalovens krav allerede i dag," opfordrer Etteplans regulatoriske ekspert Antti Tolvanen.