MedTech-Geräte und Konnektivität – spannende Möglichkeiten, strengere Vorschriften

Heutzutage wird eine wachsende Zahl von MedTech-Geräten an Krankenhausnetze oder direkt an das Internet angeschlossen, um zu Hause verwendet zu werden. Die Geräte sind so konzipiert, dass sie sicher und zuverlässig z. B. den Blutdruck oder den Blutzucker zu Hause überwachen. Die Geräte können als Internet der medizinischen Dinge (IoMT) kategorisiert werden. Der MedTech-Markt wächst, und neue innovative Start-ups treten auf den Plan.

"Früher, als die Funktionen der Geräte noch nicht von der Software abhingen und es noch keine Konnektivität gab, war es möglich, Geräte mit einem kleineren Team zu entwickeln. Heutzutage brauchen wir große Gruppen von Experten für jede Phase der Produktentwicklung", sagt Antti Tolvanen, Sales Director für Software & Embedded bei Etteplan.

Vernetzte MedTech-Geräte verbessern die Patientenversorgung, aber gleichzeitig macht die Konnektivität die Geräte anfälliger für Cybersicherheitsvorfälle, die Patienten und Verbraucher gefährden können. MedTech-Unternehmen müssen die Cybersicherheitsrisiken ihrer Produkte in den Griff bekommen.

Während die regulatorischen Anforderungen steigen, werden medizintechnische Geräte durch Funktionen, die auf KI und Konnektivität beruhen, immer komplexer.

Der wachsende Bedarf an Fachwissen kann zu einem Problem für Unternehmen werden, die alles selbst entwickeln wollen. Immer mehr MedTech-/IoMT-Geräte werden im Rahmen eines Partnerschaftsmodells entwickelt. Auf diese Weise können MedTech-Unternehmen ihr internes Fachwissen durch spezifische Kompetenzen ergänzen, die für eine erfolgreiche Markteinführung und die Bewältigung künftiger Herausforderungen im Zusammenhang mit dem Auslaufen von Produkten und sich verändernden Marktanforderungen erforderlich sind.

Je komplexer ein vernetztes Gerät ist, desto wichtiger ist es, seine Cybersicherheit zu gewährleisten. Die Anforderungen an die Cybersicherheit werden noch strenger, wenn KI im Spiel ist. Organisationen, die für die Bewertung der Geräte zuständig sind, wie z. B. die benannten Stellen in der EU, werden die technischen Unterlagen, einschließlich der Dokumente im Zusammenhang mit dem Lebenszyklus der sicheren Produktentwicklung, vor der CE-Kennzeichnung prüfen. In den USA überraschte die FDA die MedTech-Branche, indem sie praktisch über Nacht die prozessbezogene Dokumentation des sicheren Produktentwicklungszyklus für die Einreichung neuer Medizinprodukte zur Pflicht machte.

Es ist auch ratsam, sich vor Augen zu halten, dass der kürzlich verabschiedete delegierte Rechtsakt zur Funkausrüstungsrichtlinie und die demnächst verabschiedeten Vorschläge zur Verordnung über die allgemeine Produktsicherheit und zum Cyber Resilience Act die Cybersicherheit von Gesundheits- und Wellnessgeräten regeln werden. Technische Produktsicherheitsanforderungen, die obligatorisch werden, wie etwa Software-Updates, können nur mit einer unterstützenden Sicherheitsinfrastruktur umgesetzt werden.

"Medizinische Geräte haben lange Lebenszyklen, während kommerzielle Systeme für das Lebenszyklusmanagement von Geräten unvorhersehbar kurze Lebenszyklen haben können. In Anbetracht des breiten Spektrums an Sicherheitsanforderungen, die in medizinische Geräte implementiert werden müssen, könnte es für Hersteller medizinischer Geräte auch möglich sein, eine eigene Lösung für die Sicherheitsinfrastruktur zu entwickeln. Die damit verbundene 'Make or Buy'-Entscheidung ist entscheidend", sagt Antti Tolvanen von Etteplan.

Medizinische Geräte und ihre Hersteller sind heute stark reguliert. Die EU reguliert praktisch alles, was mit der Digitalisierung zu tun hat, um die Risiken für die Sicherheit, die Privatsphäre und die Grundrechte von Menschen und Einrichtungen zu minimieren. Die regulatorische Belastung für MedTech-Unternehmen wird unter anderem durch NIS2 und Data Act zunehmen.

Am 18. Oktober 2024 macht NIS2 mittlere und große Medizinproduktehersteller zu "wesentlichen oder wichtigen Einrichtungen", die über ein angemessenes Informationssicherheitsmanagementsystem verfügen müssen. Das EU-Datenschutzgesetz wiederum stellt neue Anforderungen an vernetzte Produkte und damit verbundene digitale Dienste, und medizinische Geräte sind davon nicht ausgenommen. Die Nutzer von Produkten werden Eigentümer der Daten, die die Geräte erzeugt haben, und müssen daher z. B. freien Zugang zu allen Nutzungsdaten erhalten.

"Diese neue Verordnung wird die Hersteller von Medizinprodukten und die Leistungserbringer im Gesundheitswesen sicherlich vor zusätzliche Herausforderungen stellen. Es lohnt sich, sich schon heute mit den Anforderungen des Data Act zu befassen", ermutigt Antti Tolvanen, Regulierungsexperte bei Etteplan.