Cybersecurity dei dispositivi medici: sfide normative di un contesto in costante evoluzione

24 Febbraio 2021 - da admin

di Vanessa Cocca –  Associate CRCLEX, Milano

Tratto da “Il Quotidiano Giuridico”, il quotidiano di informazione giuridica del gruppo Wolters Kluwer Italia e curato da Cedam, Utet Giuridica, Leggi d’Italia e Ipsoa.

 

Il settore dei dispositivi medici è stato oggetto, negli ultimi anni, di un continuo processo di sviluppo e innovazione al fine di supportare e facilitare le attività legate alla cura e al benessere dei pazienti. In questo ambito, la protezione dei dati personali e la cybersecurity assumono un ruolo di rilevanza primaria poiché hanno dei risvolti diretti sul buon andamento delle cure del paziente. Oggetto del presente articolo sarà l’analisi degli standard in materia di cybersecurity alla luce del nuovo Regolamento 2017/745/UE e delle indicazioni del Medical Device Coordination Group.

 

Negli ultimi anni si è assistito ad una crescita esponenziale dell’utilizzo di software e tecnologie innovative nel settore sanitario, finalizzate a sostenere e supportare le attività legate alla cura e al benessere dei pazienti. Tali tecnologie, che rientrano nella categoria dei dispositivi medici, permettono di portare avanti le attività più disparate: dallo scambio di informazioni tra esperti al monitoraggio a distanza del paziente, fino alla conduzione di attività di refertazione e diagnostica.
È pertanto di importanza primaria nel settore sanitario, più che altrove, la protezione dei dati personali in quanto un breach nella sicurezza informatica dei dispositivi medici potrebbe avere conseguenze dirette sulla salute dei pazienti e sul buon andamento delle cure.

I dispositivi medici, come definiti dal nuovo Regolamento sui dispositivi medici (2017/745/UE), sono “qualunque strumento, apparecchio, apparecchiatura, software, impianto, reagente, materiale o altro articolo, destinato dal fabbricante a essere impiegato sull’uomo, da solo o in combinazione, per una o più delle seguenti destinazioni d’uso mediche specifiche: diagnosi, prevenzione, monitoraggio, previsione, prognosi, trattamento o attenuazione di malattie – diagnosi, monitoraggio, trattamento, attenuazione o compensazione di una lesione o di una disabilità – studio, sostituzione o modifica dell’anatomia oppure di un processo o
stato fisiologico o patologico – fornire informazioni attraverso l’esame in vitro di campioni provenienti dal corpo umano, inclusi sangue e tessuti donati, e che non esercita nel o sul corpo umano l’azione principale cui è destinato mediante mezzi farmacologici, immunologici o metabolici, ma la cui funzione può essere coadiuvata da tali mezzi.”

Mentre la commercializzazione dei dispositivi medici è dettagliatamente regolamentata dal punto di vista normativo, la cultura della sicurezza informatica è ancora frammentaria e spesso insufficiente a garantire standard di sicurezza adeguati. Tra i fattori che portano a tale complessità, vi è innanzitutto una generale mancanza di conoscenza dei requisiti di sicurezza informatica e una non adeguata considerazione dei requisiti di cybersecurity nel processo di progettazione e sviluppo dei dispositivi medici. A ciò si aggiunge una carenza di indicazioni normative uniformi in materia di cybersecurity dei dispositivi medici.
In parallelo al descritto contesto normativo e regolatorio, si assiste ad un costante processo evolutivo dei dispositivi medici che costituiscono la rete alla base della nuova concezione di smart hospitals.
Diventa dunque essenziale che i produttori di dispositivi medici siano in grado di incorporare, fin dalla fase di progettazione dei loro prodotti, requisiti di base affinché sia garantito uno standard di sicurezza idoneo a prevenire possibili attacchi informatici.

L’articolo integrale è pubblicato ne Il Quotidiano Giuridico”.

 

 

, , , ,

Lascia un commento