Driftsmiljøet for medisinsk utstyr er definert som ethvert IT/nettverksmiddel som samhandler med det medisinske utstyret som ikke leveres av produsenten av medisinsk utstyr.
Eventuelle minimumskrav til maskinvare, IT-nettverksegenskaper og IT-sikkerhetstiltak for driftsmiljøet bør defineres på grunnlag av risikovurdering for det medisinske utstyret, at det medisinske utstyret skal være så autonomt som mulig når det gjelder IT-sikkerhet, samt at produsentens forutsetninger for IT-sikkerhet i driftsmiljøet skal være dokumentert og referere til sikkerhetsstandarder for beste praksis.
Virksomheten må være i tråd med nasjonale og EU-regler (f.eks. GDPR).
Lagdelt sikkerhet bør normalt ikke kompensere for sårbarheter i medisinsk utstyr. Dersom medisinsk utstyr er avhengig av driftsmiljøet for viktige IT-sikkerhetskontroller, bør dette fremgå av den medfølgende tekniske dokumentasjonen.
Medisinsk utstyr bør brukes slik som produsenten har tiltenkt, i henhold til bruksanvisningen som følger med enhetene. Virksomheten bør følge produsentens publiserte krav og retningslinjer angående sikkerhet for igangkjøring, drift og demontering av medisinsk utstyr, f.eks. isolere et medisinsk utstyr fra internett hvis det ikke er nødvendig for bruken, bruke programvareoppdateringer i henhold til produsentens instruksjoner (når dette er virksomhetens ansvar) eller sørge for at programvare til beskyttelse mot skadelig kode er oppdatert, hvis det er aktuelt for utstyret.
Virksomheten må kontakte produsenten hvis passende sikkerhetsinformasjon ikke er tilgjengelig f.eks. i bruksanvisning, produsentens erklæring om medisinsk utstyrssikkerhet (MDS2) eller installasjonsveiledning.
Virksomheten er ansvarlig for anskaffelsen og bør sørge for at sikkerheten opprettholdes under drift og bruk av systemet (medisinsk utstyr), og spesielt at det ikke blir kompromittert av endringer i IKT-driftsmiljøet eller av brukerinteraksjon. Noen viktige momenter er:
- Forsikre deg om at det er et nødvendig sikkerhetsnivå for driftsmiljøet (nettverk, fysisk).
- Tilrettelegg nødvendig infrastruktur (nettverk, fysisk).
- Sørg for at brukerne er gitt nødvendig opplæring og er tilgjengelige i tilfelle sikkerhetsproblemer.
- Forsikre deg om at systemet brukes som beskrevet i produsentens retningslinjer (f.eks. ikke fysisk tilgang av uautoriserte brukere, passordpolicyer overholdes, tiltak for nettverkssikkerhet).
- Forsikre deg om at foreskrevet vedlikehold utføres etter behov, inkludert installasjon av sikkerhetsoppdateringer.
Informer produsenten omgående ved mistanke om sikkerhetshendelser.
(Momentene er hentet fra dokumentet "MDCG 2019-16 - Guidance on Cybersecurity for medical devices (ec.europa.eu)", utgitt desember 2019 av Medical Device Coordination Group)
