התפתחות חקיקה עדכנית בנושא אבטחת סייבר רלוונטית לתעשיית הטכנולוגיה הרפואית. זהו העדכון להוראה (EU) 2022/2555 בנושא אבטחת רשתות ומערכות מידע (" הוראת NIS 2 "). הנחיית NIS 2  מהווה חלק מאסטרטגיית אבטחת הסייבר של האיחוד האירופי וקובעת אמצעים לניהול סיכוני סייבר ודרישות דיווח למגזרים קריטיים ביותר. זה כולל את תעשיית המכשור הרפואי.

דרישות אבטחת סייבר ליצרני מכשור רפואי ו-IVD בהוראת NIS 2

הוראת NIS 2  , בנוסף לאמצעי אבטחת טכנולוגיית המידע שנקבעו בתקנה (EU) 2017/745 על מכשירים רפואיים ("MDR") ותקנה (EU) 2017/746 2017 על מכשירים רפואיים לאבחון חוץ גופי ("IVDR"). ("התקנות"), מטיל על יצרני המכשור הרפואי וה-IVD דרישות נוספות של אבטחת סייבר שנקבעו בהוראת NIS 2. הוראת ה-NIS קבעה אמצעים לרמה גבוהה משותפת של אבטחת סייבר עבור תשתיות קריטיות ברחבי האיחוד האירופי. בהתחשב במספר ההולך וגובר של איומי סייבר ומתקפות סייבר והיישום המפוצל של הוראת NIS במדינות החברות באיחוד האירופי, הפרלמנט האירופי והמועצה אימצו את ה-NIS 2  בנובמבר 2022.

בין העדכונים המרכזיים:

• הרחבת היקף היישום: ההיקף המהותי של הוראת NIS 2  הורחב לכיסוי יצרני מכשור רפואי ו-IVD. יצרנים אלה מסווגים כ"ישויות חשובות". יתרה מכך, יצרנים של תת-קבוצה של מכשירים הנחשבים "קריטיים בזמן חירום בבריאות הציבור" זכאים ל"ישויות חיוניות". ההבדל בין הקטגוריות הוא שגופים חשובים כפופים לפיקוח בדיעבד לגבי עמידה בדרישות שנקבעו בהוראת NIS 2, בעוד שגופים חיוניים יכולים להיות כפופים  לאמצעי פיקוח מקדימים וגם לאחר מכן.
• אמצעי ניהול סיכונים מפורטים: גם גופים חיוניים וחשובים חייבים לאמץ את אמצעי ניהול סיכוני הסייבר המפורטים בסעיף 21 להנחיה . זה כולל ביחס למפעילים כלכליים בכל שרשרת האספקה, קרי, ספקים ישירים ונותני שירותים, כגון ספקי שירותי אחסון ועיבוד נתונים וספקי שירותי אבטחה מנוהלים.
• חובות להנהלה הבכירה: "גופי ניהול" של גורמים חשובים וחיוניים נדרשים לפקח על יישום אמצעים לניהול סיכוני אבטחת סייבר ויכולים לשאת באחריות לאי ציות. הוראת NIS 2 לא מגדירה את המונח "גופי ניהול", ומותירה לחקיקה הלאומית של מדינות חברות באיחוד האירופי לספק הגדרה ולקבוע את ההיקף הטריטוריאלי של המונח. עם זאת, רמז 76 מציע שהמונח מתייחס להנהלה בכירה ולנציגים משפטיים.
• מסגרת זמן מדורגת לדיווח על אירועי אבטחת סייבר: בהתאם לחובות הדיווח המתוקנות הקבועות בהוראת NIS 2, גורמים חיוניים וחשובים נדרשים:

1. להודיע ​​לרשויות המוסמכות בשלבים, תחילה באמצעות הגשת "אזהרה מוקדמת" תוך 24 שעות מרגע שנודע להם על אירועי אבטחת סייבר משמעותיים, ולאחר מכן הודעת תקרית תוך 72 שעות;
2. להכין דוח ביניים לפי בקשה של הרשות המוסמכת או צוותי תגובה לאירועי אבטחת מחשבים ("CRISTs"); ו
3. להגיש דוח סופי תוך חודש אחד מההודעה על האירוע. לשם השוואה, על תקריות היה צורך להודיע ​​"ללא דיחוי מיותר" לפי הוראת הNIS .
4. יצירת מסד נתונים אירופאי של פגיעות: סוכנות האיחוד האירופי לאבטחת סייבר ("ENISA") מוטלת על הקמה ותחזוקה של מסד נתונים שיכלול מידע הנוגע לפרצות ידועות בציבור של מוצרים ושירותים. חשיפת המידע במאגר המידע היא וולונטרית.

• קנסות מינהליים: סעיף 34 להוראת NIS 2  מציג קנסות מינהליים לגופים חיוניים וחשובים שלא יישמו אמצעים לניהול סיכונים. קנסות שווים ניתנים בגין אי עמידה בחובות הדיווח. אם תימצא הפרה של דרישות אלה, הרשויות הלאומיות עשויות להטיל קנסות בסך:

1. עד 7 מיליון אירו או 1.4% מסך המחזור השנתי העולמי על ישויות חשובות; ו
2. עד 10 מיליון אירו או 2% מסך המחזור השנתי העולמי על גופים חיוניים.

הצעדים הבאים

• הוראת NIS 2  פורסמה בכתב העת הרשמי ב-27 בדצמבר ותיכנס לתוקף 20 יום מיום פרסומו. לאחר מכן יהיו למדינות החברות באיחוד האירופי 21 חודשים להמיר את ההנחיה לחוק הלאומי.
• יצרני מכשור רפואי צריכים להתחיל לשקול את האמצעים הארגוניים, הפיננסיים והטכניים שיידרשו כדי לעמוד בדרישות הקבועות בהוראת NIS 2.