Hands-On Training Cybersecurity-Risikomanagement für Medizinprodukte

Am Modell-Produkt lernen, wie es wirklich geht!
Hands-On-Training am 21. September 2022 in Frankfurt am Main

> Jetzt registrieren

Sie wissen bereits: Risikomanagement ist der Schlüssel zu erfolgreichen Medizinprodukten. Es erstreckt sich von der Produktidee, über die Produktentwicklung und den Produkt-Launch bis zum Ende des Produktlebens.

Sie haben die Anforderungen an das Risikomanagement von Medizinprodukten aus der Verordnung (EU) 2017/745 (MDR) (“Medizinprodukteverordnung”) und der einschlägigen Norm ISO 14971 bereits kennengelernt und vielleicht sogar schon erfolgreich umgesetzt?

Und Sie wissen, dass gemäß MDR allein die Betrachtung der Betriebssicherheit („Safety“) nicht mehr ausreicht – auch der Diebstahl bzw. die Offenlegung von Daten (wie Patienten- oder Behandlungsdaten) ist ein Risiko, genauso wie der Ausfall von Diagnostik oder Behandlung aufgrund von Cyber-Angriffen!

Sie möchten Schritt-für-Schritt erläutert bekommen, wie das gesetzlich geforderte Cybersecurity-Risikomanagement in Ihr bestehendes Risikomanagement integriert werden kann?

Dann ist dieses Training genau richtig für Sie!

Zur Durchführung des Trainings wird das reale Beispiel-Produkt “BO-Score” verwendet:
„BO-Score“ dient zur Bewertung tiefer emotionaler, körperlicher und geistiger Erschöpfung, bekannt als „Burnout“, von erwachsenen Patient:innen ab 18 Jahren. „BO-Score“ wird in der Hand gehalten und misst die Mikro-Bewegungen („Zittern“). Daraus lassen sich Rückschlüsse auf den Burnout-Level ziehen.

© VDE

Wichtig: “BO-Score” dient zur Veranschaulichung und ist kein “echtes” Medizinprodukt. Es stützt sich nicht auf klinische Daten und wird nicht von uns als Medizinprodukt in Verkehr gebracht.

Anhand des Beispiel-Produktes führen wir Sie Schritt für Schritt durch unsere Systematik für Cybersecurity-Risikoanalysen (ARGOS). Mit unseren Vorlagen erarbeiten wir gemeinsam Lösungen, welche Sie dann später auf Ihr Produkt übertragen können.

Hinweis: Es gibt eine Mindestteilnehmendenzahl für diese Veranstaltung. Wird die Mindestteilnehmendenzahl eine Woche vor Veranstaltungsbeginn nicht erreicht, behalten wir uns das Recht vor, diese abzusagen. Grundsätzlich ist eine Anmeldung bis ca. 48 Stunden vor Veranstaltungsbeginn möglich. Unter Vorbehalt der noch immer anhaltenden Corona-Pandemie kann es zu Änderungen, wie einem angepassten Hygienekonzept oder eine Umplanung auf eine Online-Veranstaltung kommen. Vielen Dank für Ihr Verständnis.

Programm

10:00Registrierung, Begrüßung und Moderation
Dipl.-Ing. Hans Wenner, VDE
10:15Informationssicherheit im Life-Cycle von Medizinprodukten – Was muss ich beachten?
Informationssicherheit in den Verordnungen (EU) 2017/745 (MDR) (“Medizinprodukteverordnung”) und (EU) 2017/746 (IVDR)
Risikomanagement: Safety (Betriebssicherheit) und Security (Informationssicherheit)
Regulatorische Vorgaben / Normen / Technical Reports
* Leitlinie MDCG 2019-16 (Guidance on Cybersecurity for medical devices)
* Fragenkatalog “IT-Sicherheit bei Medizinprodukten” der IG-NB
* IEC 81001-5-1 und IEC/TR 60601-4-5
* Manufacturer Disclosure Statement for Medical Device Security — MDS2
Bestandteile des Risikomanagements
Unsere Vorgehensweise „ARGOS“: Advancing Risk-Management and Governance On the basis of Security
Zweckbestimmung und Systemarchitektur als Basis
11:00Hands-on: Wir lernen unser Modell-Produkt kennen! (Teil 1)
Unser Produkt „BO-Score“
Wie wird BO-Score verwendet?
Zweckbestimmung
11:30Kaffeepause
11:45Hands-on: Wir lernen unser Modell-Produkt kennen! (Teil 2)
Welche Schnittstellen hat BO-Score?
In welcher Umgebung wird es verwendet?
Systemarchitektur
12:15Hands-on: Wir erstellen den Risikomanagement-Plan!
Was beinhaltet der Risikomanagement-Plan?
Wie sind Schweregrad, Auftretenswahrscheinlichkeit und Risikoakzeptanz definiert?
Zusammenhang Safety (Betriebssicherheit) und Security (Informationssicherheit)

Gruppenarbeit: Erstellen des Risikomanagement-Plans
13:00Mittagspause
14:00Hands-on: Wir führen das CYBERSECURITY-RM durch
Welche Assets hat BO-Score?
Welche Schnittstellen lassen sich identifizieren?
In welcher Umgebung wird das Produkt betrieben?

Gruppenarbeit: Erstellen der Gefährdungsanalyse
14:25Hands-on: Wir führen das CYBERSECURITY-RM durch
Wie erkenne ich mögliche Bedrohungen?
Modellierung der Angriff-Szenarien mittels „Threat Modeling”
Typischer Ablauf eines CYBER-Angriffs
* Informationsbeschaffung
* Erkennen von Schwachstellen
* Ausnutzen von erkannten Schwachstellen
Der Ansatz „STRIDE“

Gruppenarbeit: Weiterarbeit an der Gefährdungsanalyse
15:15Erfrischungspause
15:30Hands-on: Wir führen das CYBERSECURITY-RM durch
Wie können die erkannten Risiken beherrscht werden?
Security Capabilities als Schutzmaßnahmen
Zusammenhang Safety (Betriebssicherheit) und Security (Informationssicherheit)
Ist das Gesamt-Restrisiko akzeptabel?

Gruppenarbeit: Maßnahmen finden, formulieren und bewerten
16:00Hands-on: Wir fertigen den Risikomanagement-Report an!
Wie sollte der Risikomanagement-Report aussehen?

Gruppenarbeit: Erstellen des Risikomanagement-Reports
16:30Zusammenfassung und Verabschiedung
16:45Ende des Trainings
> Jetzt registrieren

Veranstaltungsort

Campus Westend der Goethe Universität Frankfurt am Main
Im Seminarhaus, Seminarraum SH 2.106
Max-Horkheimer-Straße 4
60323 Frankfurt am Main
Hier finden Sie Hinweise zur Anfahrt


Veranstaltungshinweis:

VDE Symposium: Cybersecurity im Lebenszyklus von Medizinprodukten am Dienstag, den 20.09.2022 

Das VDE Symposium: Cybersecurity im Lebenszyklus von Medizinprodukten als Präsenzveranstaltung in Frankfurt bietet Ihnen neben Beiträgen mit Erfahrungsberichten und Lösungen für konkrete Probleme aus technischer, rechtlicher oder organisatorischer Sicht endlich auch wieder eine Plattform für Erfahrungsaustausch und Networking! ​​​​​​​​​​​Für das VDE Symposium ist eine separate Registrierung notwendig.

> Mehr erfahren

Kontakt

Veranstalter

VDE
Merianstr. 28
63069 Offenbach am Main

Kontakt:
Charlotte Fleißig
+49 69 6308 478
meso(at)vde.com
meso.vde.com