Urządzenia MedTech – szerokie możliwości oraz zaostrzające się przepisy

Obecnie coraz więcej urządzeń MedTech jest podłączanych pod sieci szpitalne lub bezpośrednio do Internetu w celu wykorzystania ich nawet w domu. Urządzenia te mają na celu bezpieczne i niezawodne śledzenie danych takich jak ciśnienie krwi lub poziom cukru we krwi. Urządzenia te można zakwalifikować jako Internet Rzeczy Medycznych (IoMT). Rynek MedTech rośnie, a nowe innowacyjne startupy wkraczają do akcji.

"Wcześniej, gdy funkcjonalności urządzeń nie zależały od oprogramowania i nie wymagały przesyłu danych, ich tworzenie odbywało się w gronie mniejszych zespołów. Obecnie potrzebujemy dużych grup ekspertów na każdym etapie rozwoju produktu" - mówi Antti Tolvanen, dyrektor sprzedaży Software & Embedded w Etteplan.

Połączone ze sobą urządzenia MedTech podnoszą poziom opieki nad pacjentami. Łączność sprawia też, że urządzenia są bardziej podatne na incydenty związane z bezpieczeństwem cybernetycznym, które mogą stanowić zagrożenie dla pacjentów i konsumentów. Firmy z branży MedTech muszą zarządzać ryzykiem związanym z cyberbezpieczeństwem produktów.

Podczas, gdy wymagania regulacyjne rosną, funkcjonalności, które opierają się na AI i łączności, sprawiają, że urządzenia technologii medycznej stają się bardziej złożone.

Rosnące zapotrzebowanie na specjalistyczną wiedzę może stanowić wyzwanie dla firm, które chcą opracować wszystko we własnym zakresie. Coraz więcej urządzeń MedTech/IoMT powstaje w oparciu o model partnerski. Dzięki temu firmy z branży medycznej mogą uzupełnić swoją wiedzę wewnętrzną o wszelkie specyficzne kompetencje, potrzebne do skutecznego wprowadzenia na rynek i rozwiązania przyszłych problemów związanych z wycofaniem produktu z rynku, czy zmieniającymi się wymaganiami.

Im bardziej złożone jest podłączone urządzenie, tym bardziej krytyczna jest obsługa jego cyberbezpieczeństwa. Wymagania dotyczące cyberbezpieczeństwa są coraz bardziej rygorystyczne, gdy w grę wchodzi AI. Organizacje odpowiedzialne za ocenę urządzeń, takie jak jednostki notyfikowane w UE, będą przeglądać dokumentację techniczną, w tym dokumenty związane z cyklem życia bezpiecznego rozwoju produktu przed uzyskaniem oznaczenia CE. W USA, FDA zaskoczyła branżę MedTech, wprowadzając praktycznie z dnia na dzień obowiązek prowadzenia bezpiecznej dokumentacji, związanej z procesem rozwoju produktu dla nowych wyrobów medycznych.

Warto również pamiętać, że niedawno przyjęta dyrektywa w sprawie urządzeń radiowych oraz - mające wkrótce zostać przyjęte - wnioski dotyczące rozporządzenia w sprawie ogólnego bezpieczeństwa produktów i ustawy o odporności na cyberprzestrzeń będą regulować kwestie cyberbezpieczeństwa urządzeń służących zdrowiu i odnowie biologicznej. Wymagania techniczne dotyczące bezpieczeństwa produktów, które stają się obowiązkowe, takie jak aktualizacje oprogramowania, można wdrożyć tylko przy użyciu wspierającej infrastruktury bezpieczeństwa.

"Urządzenia medyczne mają długi cykl życia, natomiast komercyjne systemy do zarządzania cyklem życia urządzeń mogą mieć je nieprzewidywalnie krótkie. Biorąc pod uwagę szeroki zakres wymagań dotyczących bezpieczeństwa, które muszą być zaimplementowane w urządzeniach medycznych, może być również wykonalne dla producentów urządzeń medycznych opracowanie własnego rozwiązania dla infrastruktury bezpieczeństwa. Związana z tym decyzja "make or buy" jest kluczowa", mówi Antti Tolvanen z firmy Etteplan.

Wyroby medyczne i ich producenci podlegają restrykcyjnym przepisom. UE reguluje praktycznie wszystko, co jest związane z cyfryzacją, aby złagodzić zagrożenia dla bezpieczeństwa, prywatności i praw podstawowych osób i podmiotów. Obciążenie regulacyjne dla firm MedTech wzrośnie m.in. poprzez NIS2 i Data Act.

NIS2 określi średnich i dużych producentów wyrobów medycznych jako "Istotne lub ważne podmioty", które muszą posiadać odpowiedni system zarządzania bezpieczeństwem informacji. Z kolei unijna ustawa o danych osobowych nakłada nowe wymagania na produkty podłączone do sieci i związane z nimi usługi cyfrowe. Dotyczy to również wyrobów medycznych. Użytkownicy produktów zyskają prawo własności do danych, które urządzenia wygenerowały, a więc trzeba im zapewnić np. swobodny dostęp do wszystkich danych użytkowych.

"Ta nowa regulacja z pewnością stworzy dodatkowe wyzwania dla producentów urządzeń medycznych i dostawców usług medycznych. Naprawdę warto będzie zacząć studiować wymagania Data Act już dziś" - zachęca ekspert ds. regulacji w firmie Etteplan, Antti Tolvanen.