Äntligen en livscykelstandard för medicinteknisk programvara!

Månadens standard mars 2022.

Ingen har väl missat hur samhället är utsatt för cyberattacker. Dessa möjliggörs av sårbarheter i mjukvara. Några exempel från senare tid är sårbarheter i programpaket som används av väldigt många olika system, inklusive medicinteknik.

Nu finns det en livscykelstandard för utveckling av programvara för hälso- och sjukvård, IEC 81001-5-1:2021, Health software and health IT systems safety, effectiveness and security – Part 5-1: Security – Activities in the product life cycle. Den är framtagen i en arbetsgrupp JWG 7, gemensam mellan de båda internationella standardiseringsorganisationerna IEC och ISO. Den har även antagits som europeisk standard och fastställts som svensk standard SS-EN IEC 81001-5-1 av SEK Svensk Elstandard.

Mikael Dahlke på QAadvis, som är med i den tekniska kommittén SEK TK 62 och arbetat aktivt i arbetsgruppen JWG 7, sammanfattar den nya standarden:
- Den handlar om att undvika att införa sårbarheter, ha detaljerade krav på testning, riskanalys för cybersäkerhet och inte bara för patientsäkerhet, vikten av att i eftermarknadsfasen aktivt övervaka nyupptäckta sårbarheter i de ingående mjukvarukomponenterna och ha rutiner för att hantera och ibland publicera incidenter.

En intressant nyhet, tillägger han, är att befintlig mjukvara hanteras i ett eget annex kallat ”Transitional health software”. Där behandlas hur man går tillväga för att bedöma och förhoppningsvis höja säkerheten på befintlig mjukvara.

Eftersom cybersäkerhet till stora delar handlar om mjukvara, säger Mikael Dahlke, är den nya standarden avsedd att användas ihop med processtandarden för medicinteknisk programvara, IEC 62304 (svensk standard SS-EN 62304). Projektgruppen fick i uppdrag att göra den nya standarden så enkel att använda som möjligt. Därför, säger han, har IEC 81001-5-1 en kapitelstruktur som direkt matchar strukturen i IEC 62304. Då blir det enkelt att utöka befintliga interna utvecklingsrutiner med det som är nytt för cybersäkerhet. IEC 81001-5-1 är i princip en omformulering av kraven i IEC 62443-4-1, den internationella cybersäkerhetsstandarden för industriell automation och processtyrning (svensk standard SS-EN IEC 62443-4-1), men översatt till ett språk som är bekant för utvecklare av medicinteknik.

- En annan intressant aspekt, är att det finns krav på samordning av riskhanteringen för patientsäkerhet och för cybersäkerhet. En ytterligare ny aspekt, tillägger han, är att ansvaret för cybersäkerhet måste delas mellan tillverkaren och användaren, vilket medför många krav på dokumentation.

Han avslutar med att påpeka att är värt att notera är att en livscykelstandard som denna inte har konkreta krav på produkten. En teknisk rapport publicerades i januari 2021, IEC TR 60601-4-5:2021 Medical electrical equipment – Part 4-5: Guidance and interpretation – Safety-related technical security specifications. Denna tekniska rapport har konkreta tekniska krav, som hämtats från IEC 62443-4-2 (i Sverige SS-EN IEC 62443-4-2).

En annan mjukvarustandard från den medicintekniska kommittén IEC TC 62 är produktsäkerhetsstandarden för programvara för hälsoapplikationen, IEC 82304-1 (svensk standard SS-EN 82304-1) som förra året kompletterats med en teknisk specifikation SIS-CEN ISO/TS 82304-2 om kvalitet och tillförlitlighet. För medicinteknisk programvara med AI och maskininlärning har IEC TC 62 startat ett nytt projekt. I IEC TC 62 deltar svenska företag och regioner i arbetet med standarder genom SEK TK 62 inom SEK Svensk Elstandard, ett av regeringen utsett nationellt standardiseringsorgan.

Standarder ger en plattform för framgångsrika forsknings- och innovationsprojekt och för nya produkter och tjänster. Exempel på andra standarder från IEC TC 62 (SEK TK 62) är SS-EN IEC 80601‑2‑77 för operationsrobotar och SS-EN IEC 80601-2-78 för medicinska robotar för rehabilitering, bedömning, kompensation och lindring. Den som inte deltar i arbetet, utan bara läser och använder standarderna, enkelt ha sitt standardbibliotek uppdaterat och lätt tillgängligt på nätet, läs mer om SEK e Standard.