Ai6 Solutions Nähkästchen Von regulatorischen Anforderungen bis zur Praxis: Cybersicherheit als Unternehmensaufgabe

Anbieter zum Thema

KUMAVISION AG

ConSense GmbH

Prosmap · Medical Product Platform

Der neuste Teil unserer Kolumne der Regulatory-Affairs-Experten von Ai6 Solutions dreht sich um Cybersicherheit – und warum diese heute Chefsache ist.

Cybersicherheit hat sich vom scheinbaren IT-Nischenthema zum zentralen Erfolgsfaktor für Unternehmen gemausert – besonders in regulierten Branchen wie Gesundheitswesen und Medizintechnik. Die Digitalisierung, die Vernetzung von Produkten und global verfügbare Softwaredienste sorgen für eine stetig wachsende Angriffsfläche. Cyberkriminelle schlafen nicht – und die Zahlen sprechen für sich: Die Angriffe nehmen zu, die Schäden sind massiv. Laut IBM kostet eine Datenschutzverletzung in Deutschland durchschnittlich 3,87 Millionen Euro. Dabei entstehen die Schäden nicht nur durch IT-Ausfälle, sondern auch durch Produktionsstillstand, Wiederherstellung, Rufschädigung und regulatorische Konsequenzen.

Regulatorische Anforderungen – das Pflichtprogramm für Unternehmen

Die Zeiten, in denen Cybersicherheit als freiwillige Kür galt, sind vorbei. Behörden weltweit setzen klare Standards, die Cybersicherheit zum festen Bestandteil des Compliance-Rahmens und Qualitätsmanagementsystems machen. Im Fokus stehen:

• Cyber Resilience Act (CRA): Gilt für alle Produkte mit digitalen Komponenten – Medizinprodukte, Apps, Softwaretools und vernetzte Geräte. Ziel ist es, Cybersicherheit von Anfang an („Security by Design“) und über den gesamten Lebenszyklus hinweg zu gewährleisten.
• MDCG 2019-16: Leitfaden für die Umsetzung von Cybersicherheitsanforderungen in Medizinprodukten – Brücke zwischen regulatorischem Anspruch und praktischer Umsetzung.
• AAMI TIR57:2016 & TIR97: Normen und Reports, die Prozesse für Security-Risiken und Post-Market-Monitoring definieren – Cybersicherheit endet nicht mit der Marktzulassung, sondern beginnt dort erst richtig.
• ANSI/AAMI SW96:2023 & IEC 81001 5 1:2021: Verbindliche Standards für das Cybersecurity-Risikomanagement und sichere Software-Lebenszyklusprozesse.
• FDA-Guidance: Klare Erwartungen an Sicherheitsanforderungen im Qualitätsmanagement und im Post-Market-Management.

Der Konsens: Cybersicherheit ist keine optionale Zusatzleistung – sie gehört zum Fundament jedes modernen Unternehmens.

Cybersicherheit in allen Unternehmensprozessen

Viele Unternehmen sehen Cybersicherheit immer noch als reine IT- oder Software-Aufgabe. Doch moderne Bedrohungen und regulatorische Anforderungen verlangen einen ganzheitlichen Ansatz. Cybersicherheit betrifft jede Abteilung, jeden Prozess und jede Phase des Produktlebenszyklus:

• Entwicklung: Bereits bei Produktidee und Architektur entscheidet sich, wie sicher das Endprodukt wird. Die Lieferantenkette muss systematisch auditiert und zur Security-Compliance verpflichtet werden.
• Produktion: Vernetzte Fertigungsstraßen und Prüfstände sind potenzielle Einfallstore. Cybersicherheit muss in Produktions- und Qualitätssicherungsprozesse integriert werden, um Manipulationen zu verhindern.
• Auslieferung & Deployment: Unsichere Installationspakete oder Update-Mechanismen sind beliebte Ziele für Angreifer. „Secure Deployment“ umfasst technische und organisatorische Maßnahmen.
• Post-Market-Surveillance & Change Management: Nach Markteinführung müssen Angriffe, Schwachstellen und Vorfälle überwacht und behandelt werden. Jede Änderung – vom Softwareupdate bis zur Prozessanpassung – wird unter Sicherheitsaspekten geprüft.
• Außerbetriebnahme: Selbst das Ende eines Produktlebenszyklus birgt Risiken. Ein kontrollierter Decommissioning-Prozess schützt vor Datenabflüssen und Missbrauch.

Cybersicherheit ist der rote Faden, der sich durch das gesamte Unternehmen zieht – sie erfordert Sicherheitsbewusstsein, klare Verantwortlichkeiten und integrierte Prozesse.

Praxisbeispiele – Sicherheit zum Anfassen

• Change Management: Ein scheinbar harmloser Kundenhinweis kann auf einen Sicherheitsvorfall hinweisen. Ein sensibilisiertes Serviceteam, eine systematische Ursachenanalyse (CAPA-Prozess) und transparente Kundenkommunikation sind essenziell, um Risiken schnell zu erkennen und zu adressieren.
• Firmware-Update in der Produktion: Ein Produktionsstillstand durch kompromittierte Firmware zeigt: Unsichere Arbeitsmittel (z. B. USB-Stick), fehlende Zugriffskontrollen und mangelhafte Input-Validierung machen die Produktion zum Risiko. Technische Kontrollen und organisatorische Maßnahmen müssen Hand in Hand gehen.

Cybersicherheit als strategischer Erfolgsfaktor

Cybersicherheit ist heute kein Projekt, sondern ein kontinuierlicher Prozess – und zwar abteilungsübergreifend. Regulatorische Vorgaben wie CRA, MDR und FDA verlangen nicht nur technische Lösungen, sondern auch nachvollziehbare und dokumentierte Prozesse. Unternehmen, die Cybersicherheit systematisch und proaktiv im Qualitätsmanagement verankern, profitieren doppelt: Sie reduzieren regulatorische Risiken und stärken nachhaltig das Vertrauen von Anwendern, Behörden und Partnern.
 Mit einem ganzheitlich verstandenen und gelebten Ansatz zur Cybersicherheit sichern Sie die Zukunft Ihres Unternehmens – technologisch, organisatorisch und regulatorisch. Wer sich heute auf den Weg macht, bleibt morgen souverän und widerstandsfähig – ganz nach dem Motto: Sicherheit ist Chefsache!