Tato stránka vás seznámí se specifickými povinnostmi NIS2 pro výrobce zdravotnických prostředků zařazené jako důležitý subjekt podle Přílohy II. Připraví vás na implementaci kybernetické bezpečnosti v souladu s nařízením MDR a zákona č. 181/2014 Sb. do selhání 30. listopadu 2026.
Výrobcům zdravotnických prostředků, kteří podléhají nařízení MDR (EU) 2017/745 a zároveň splňují kritéria důležitého subjektu podle NIS2 (obvykle s více než 250 zaměstnanci nebo ročním obratem přesahujícím 50 milionů EUR). Patří sem zejména výrobci softwaru zabudovaného do zdravotnických prostředků, výrobci monitorovacích zařízení a systémů pro správu údajů pacientů.
Musíte vypracovat podrobný SBOM (Software Bill of Materials) pro všechny zdravotnické prostředky obsahující software, včetně legacy produktů stále v oběhu. SBOM musí zahrnovat všechny komponenty třetích stran, open-source knihovny a jejich verze. Tento seznam slouží jako základ pro identifikaci zranitelností a řízení oprav.
Implementujte systematický program pro identifikaci kybernetických hrozeb ovlivňujících vaše zdravotnické prostředky na trhu. Musíte mít dokumentovaný postup pro testování, ověřování a bezpečné zavádění aktualizací firmwaru a softwaru. Tento program musí být spojen s vašim systémem farmakovigilance podle MDR.
Kybernetické incidenty, které mohou ovlivnit bezpečnost pacienta nebo integritu zdravotnického prostředku, musíte hlásit příslušným orgánům podle nařízení MDR. Hlášení se řídí zákonem č. 181/2014 Sb. a musí obsahovat popis zranitelnosti, postižené produkty a přijatá nápravná opatření.
Vyžadujte od dodavatelů komponentů a výrobců čipů certifikáty bezpečnosti a informace o jejich kybernetických opatřeních. Proveďte hodnocení rizik dodavatelů zaměřené na kybernetickou bezpečnost a zajistěte smluvní závazky týkající se informování vás o zjištěných zranitelnostech.
Zahrňte do technické dokumentace vašich zdravotnických prostředků podrobný popis kybernetických bezpečnostních opatření. Musíte dokumentovat design zaměřený na bezpečnost, identifikované hrozby, bezpečnostní funkce, proces správy aktualizací a plán řešení známých zranitelností.
SBOM je vyžadován pro všechny zdravotnické prostředky obsahující software, včetně embedded software v zařízeních pro monitoring, diagnostiku a léčbu. To zahrnuje legacy produkty stále na trhu, i když byly schváleny dříve než vstupem v platnost MDR. Pokud software tvoří součást zařízení nebo je integrován do jeho provozu, SBOM je povinný.
Podle MDR hlašujete bezpečnostní incidenty jako nežádoucí příhody nebo funkční poruchy postihující pacienty. Podle NIS2 hlašujete kybernetické incidenty ovlivňující dostupnost, integritu nebo důvěrnost vašeho zdravotnického prostředku. Incident může splňovat kritéria pro oba režimy – v tom případě hlaste podle obou.
Zákon č. 181/2014 Sb. stanoví pokuty až do 50 milionů Kč pro důležité subjekty, které nesplní povinnosti NIS2. NÚKIB je oprávněna provádět inspekce a vynucovat nápravná opatření. Zpoždění v implementaci kybernetických kontrol a hlášení incidentů jsou považovány za vážné porušení.