Medicinteknisk utrustning och konnektivitet – spännande möjligheter, strängare regler

Idag är allt fler medicintekniska produkter uppkopplade till sjukhusens nätverk eller direkt till internet för användning i hemmet. Enheterna är utformade för säker och tillförlitlig övervakning av till exempel blodtryck eller blodsocker hemma hos patienten. Enheterna kan kategoriseras som Internet of Medical Things (IoMT). Den medicintekniska marknaden växer och fylls på med nystartade, innovativa företag.

”Tidigare, när enheterna inte styrdes av programvara eller var uppkopplade, var det möjligt för ett mindre team att utveckla produkter. Idag behöver vi stora expertgrupper för varje steg i produktutvecklingen”, säger Antti Tolvanen, Sales Director för Software & Embedded på Etteplan

Uppkopplad medicinteknisk utrustning förbättrar vården för patienterna, men uppkopplingen gör samtidigt utrustningen mer sårbar för cyberattacker som kan utsätta patienter och konsumenter för risker. Medicintekniska företag måste ta hänsyn till cybersäkerhetsrisker kopplat till sina produkter.

Samtidigt som de regulatoriska kraven ökar gör funktioner som kräver AI och uppkoppling att medicinteknisk utrustning blir mer komplex.

Detta medför ökade kompetenskrav, vilket kan bli ett problem för företag som vill utveckla allt internt. Allt fler medicintekniska produkter utvecklas därför i form av samarbetsprojekt. Detta gör det möjligt för medicintekniska företag att komplettera sin egen expertis med de specifika kompetenser som krävs för att nå marknaden och lösa framtida utmaningar relaterade till uttjänta produkter (EOL) och växande marknadskrav.

Ju mer komplex en uppkopplad enhet är desto viktigare är det att ta hänsyn till cybersäkerhet. Kraven på cybersäkerhet blir ännu högre när AI är involverat. Organisationer som ansvarar för att utvärdera enheterna, till exempel anmälda organ inom EU, går igenom den tekniska doku-mentationen, inklusive dokument relaterade till en säker produktutvecklingsprocess innan produkten CE-märks. I USA överraskade FDA den medicintekniska branschen genom att med kort varsel göra säker processrelaterad dokumentation av produktutvecklingscykeln obligatorisk vid godkännande av nya medicintekniska produkter.

Tänk också på att radioutrustningsdirektivets delegerade akter som nyligen antagits och de snart antagna förslagen till förordning om allmän produktsäkerhet och rättsakt om cyberresiliens kommer att reglera cybersäkerheten för hälso- och friskvårdsutrustning. De tekniska produktsäkerhetskrav som blir obligatoriska, bland annat programuppdateringar, kan endast implementeras med stödjande säkerhetsinfrastruktur.

”Medicintekniska produkter har långa livscykler, medan kommersiella system för hantering av produktlivscykler kan ha oförutsägbart korta livscykler. Med tanke på de många olika säkerhetskrav som måste implementeras i medicintekniska produkter kan tillverkare av dessa också utveckla en egen lösning för säkerhetsinfrastruktur. Det relaterade beslutet att ’utveckla eller köpa’ är avgörande”, säger Antti Tolvanen på Etteplan.

Medicintekniska produkter och tillverkare av dessa är idag hårt reglerade. EU reglerar praktiskt taget allt som har med digitalisering att göra för att minska säkerhets-, integritets- och grundläggande rättighetsrisker för människor och organisationer. Den regulatoriska bördan för medicintekniska företag kommer att öka bland annat genom NIS2-direktivet om cybersäkerhet och dataakten.

Den 18 oktober 2024 förvandlar NIS2-direktivet medelstora och stora tillverkare av medicintekniska produkter till ”väsentliga eller viktiga entiteter” som måste ha ett lämpligt system för hantering av informationssäkerhet. EU:s dataakt ställer i sin tur nya krav på uppkopplade produkter och relaterade digitala tjänster, och medicintekniska produkter är inget undantag. Användare av produkter får äganderätt till de data som produkterna genererar och måste därför bland annat ges fri tillgång till alla användningsdata.

”Denna nya förordning kommer att skapa ytterligare utmaningar för tillverkare av medicintekniska produkter och vårdgivare. Det är hög tid att börja studera kraven i dataakten redan idag”, säger Etteplans regelexpert Antti Tolvanen.