Cybersecurity nell’uso dei dispositivi medici: nuova guida del Medical Device Coordination Group

La recente pubblicazione della “Guidance on Cybersecurity for medical devices”, redatta dal Medical Device Coordination Group dell’UE creato con l’emanazione del Regolamento UE 745/2017 (il “Regolamento Dispositivi Medici”), fa luce sulla crescente preoccupazione che interessa la vulnerabilità dei dispositivi medici che consistono in software o incorporano sistemi elettronici programmabili.

La Guida si rivolge principalmente ai produttori, con l’obiettivo di offrire indicazioni pratiche per il soddisfacimento dei requisiti essenziali in tema di sicurezza informatica tale da garantire che l’utilizzo di dispositivi medici non possa minacciare né compromettere le condizioni cliniche dei pazienti, né la sicurezza degli utilizzatori, oltre una normale soglia di rischio “accettabile” rispetto ai benefici che derivano al paziente.

La normativa europea dispone infatti che debbano essere stabiliti requisiti minimi di sicurezza by design, così che i dispositivi medici vengano progettati e fabbricati in modo tale da garantire quanto più possibile la protezione contro accessi non autorizzati, danneggiamento o qualsiasi cyber threat che potrebbe impedirne il corretto funzionamento. Grava inoltre sul produttore l’obbligo di darne corretta informazione nelle istruzioni per l’uso.

Raggiungere l’equilibrio tra rischi e benefici nell’uso di un medical device è quantomai delicato: infatti, se misure deboli potrebbero dimostrarsi insufficienti a prevenire una violazione, anche misure troppo restrittive potrebbero impedire il buon funzionamento di un dispositivo (si pensi, ad esempio, a quei casi di emergenza, in cui il personale medico dovrà poter avere accesso ad un dispositivo cardiaco “senza restrizioni”). Tale equilibrio va cercato operando la c.d. “Benefit-Risks Analysis”.

La Guida chiarisce inoltre anche gli obblighi di sicurezza da adottare nella fase post-sale del dispositivo medico: al verificarsi di un incidente, i produttori sono tenuti a svolgere apposita indagine e ad effettuare una notifica alle autorità competenti che informi sulla natura del cybersecurity breach e dei possibili effetti negativi sulla salute degli interessati.

L’obiettivo della Guida è quindi suggerire una oculata gestione del rischio, in cui il modello da adottare si basa sul già noto risk-based approach, già sancito con l’entrata in vigore del GDPR, da coniugarsi con una valutazione case by case che tenga conto anche del “uso improprio ragionevolmente prevedibile”.