דלג לתוכן ראשי

Health-ISAC Hacking Healthcare 1-26-2026

השבוע, Health-ISAC®'s Hacking Healthcare® בוחן את תקופת המשוב הפתוחה של הנציבות האירופית עבור יוזמה שמטרתה לפשט את כללי האיחוד האירופי עבור מכשור רפואי ואבחון חוץ גופי.[אני] בתקנה המוצעת שפורסמה לאחרונה נכללים שינויים ראויים לציון בהוראות אבטחת הסייבר. הצטרפו אלינו לסיכום היוזמה ולהדגשת מרכיבי אבטחת הסייבר המוצעים.

כזכור, זוהי הגרסה הציבורית של הבלוג Hacking Healthcare. לניתוח מעמיק נוסף וחוות דעת, הפוך לחבר ב-H-ISAC וקבל את גרסת TLP Amber של בלוג זה (זמינה בפורטל החברים).

 

גרסת PDF:

 

גרסת טקסט:

ברוכים הבאים חזרה ל-Hacking Healthcare® !

תיקון מוצע של האיחוד האירופי לתקנות המכשור הרפואי כולל עדכונים בדרישות אבטחת הסייבר

בתחילת ספטמבר של השנה שעברה פרסמה הנציבות האירופית קול קורא להגשת ראיות כדי לקבל משוב על "עדכון ממוקד של כללי האיחוד האירופי למכשירים רפואיים ואבחון חוץ גופי".[אני] [Ii]מטרת ההצעה היא "לייעל ולהבטיח את עתיד המסגרת הרגולטורית על ידי הפחתת הנטל המנהלי ושיפור יכולת החיזוי והיעילות הכלכלית, תוך שמירה על רמה גבוהה של בריאות הציבור ובטיחות המטופל".[Iii]

לאחר שקיבלה כמעט 450 תגובות, פרסמה הנציבות האירופית את הצעתה המלאה, כולל שינויים בהוראות אבטחת הסייבר, ופתחה סבב משוב חדש כדי ליידע את הדיונים החקיקתיים הקרובים בין הנציבות האירופית, הפרלמנט האירופי והמועצה האירופית. בואו ננתח את ההצעה, תוך התמקדות באלמנטים של אבטחת הסייבר, ונעריך מה חברי Health-ISAC צריכים לקחת מיוזמה זו.

אילו תקנות מכוונות?

ההצעה מכוונת לשתי תקנות קיימות, תקנה (EU) 2017/745 בנושא מכשור רפואי ותקנה (EU) 2017/746 בנושא מכשור רפואי לאבחון חוץ גופי (in vitro), המסייעות לכסות את יותר מ-2 מיליון הטכנולוגיות הרפואיות באירופה.[Iv] כפי שמדגישה הערכת הנציבות האירופית, למוצרים המכוסים בתקנות אלה "יש תפקיד מהותי בהצלת חיים על ידי מתן פתרונות בריאות חדשניים לאבחון, מניעה, ניטור, חיזוי, פרוגנוזה, טיפול או הקלה של מחלות."[V] שתי התקנות פורסמו ב-5 באפריל 2017 ונכנסו לתוקף במאי של אותה שנה, אך בעוד שהן בתוקף מאז מאי 2021 ומאי 2022 בהתאמה, תקופת המעבר ליישום מלא הוארכה במידה ניכרת עקב מגוון אתגרים.

מבחינת כיסוים, תקנה (EU) 2017/745 בנושא מכשירים רפואיים קובעת את "הכללים הנוגעים להצבה בשוק, להנגשה בשוק או להכנסה לשירות של מכשירים רפואיים לשימוש אנושי ואביזרים למכשירים כאלה באיחוד [האירופי]. התקנה חלה גם על ניסויים קליניים הנוגעים למכשירים רפואיים ואביזרים כאלה הנערכים באיחוד."[Vi] בעוד שצו (EU) 2017/746 בנושא מכשירים רפואיים לאבחון חוץ גופי (in vitro) עוסק באותו נושא אך עבור מכשירים חוץ גופיים.[Vii]

זרז להצעה

בשנת 2024, הנציבות האירופית החלה בהערכה ממוקדת של תקנה (EU) 2017/745 בנושא מכשור רפואי (MDR) ותקנה (EU) 2017/746 בנושא מכשור רפואי לאבחון חוץ גופי (IVDR) במטרה להעריך את יעילות הכללים, את העלויות המנהליות והכספיות של הכללים ואת התועלת למטופלים ולמשתמשים.[Viii] ההערכה נדחתה מראש (מבחינה טכנית לא נדרשה חוקית לפני מאי 2027) ולפני ששתי התקנות יושמו במלואן עקב מגוון אתגרי יישום.

על פי הנציבות האירופית, ההערכה מצאה כי "בעוד שמסגרת הרגולציה של האיחוד האירופי נהנית מתשתית איתנה יותר עבור מכשירים רפואיים בטוחים ויעילים, היא לא תמיד יעילה בהשגת יעדיה".[Ix] זה כלל עלויות ציות לא פרופורציונליות ומחולקות באופן לא אחיד ופוטנציאל לדרישות סותרות או חופפות או עם כללים ותקנות אחרים של האיחוד האירופי (כגון חוק הבינה המלאכותית ו-NIS2).

עדכוני אבטחת סייבר מוצעים

נושא: הנציבות האירופית קבעה כי המצב הנוכחי של מכשור רפואי ומכשירים רפואיים לאבחון חוץ גופי שאינם חלים על תקנה (EU) 2024/2847 (חוק חוסן הסייבר) יצר פער אבטחת סייבר שיש לטפל בו. דרישות הדיווח הנוכחיות בסעיף 87 של ה-MDR ו-82 ב-IVDR (כללי ערנות) אינן מחייבות דיווח על אירועים הקשורים לאבטחת סייבר שאינם נוגעים לבריאות הציבור או לבטיחות המטופל.

הצעה: MDR: סעיף 87א' חדש, נספח I ו-IVDR: סעיף 82א' חדש, נספח I.

"אירועים חמורים שדווחו בהתאם למערכת הערנות שנקבעה במסגרת ה-MDR או ה-IVDR, אשר גם נחשבים לפגיעויות שמנוצלות באופן פעיל ולאירועים חמורים כמפורט בתקנה (EU) 2024/2847 בנושא חוסן קיברנטי, יהיו זמינים לצוותי התגובה לאירועי אבטחת מחשבים לאומיים הרלוונטיים ("CSIRTs") ולסוכנות האיחוד האירופי לאבטחת סייבר (ENISA). בנוסף, יצרנים יצטרכו לדווח על פגיעויות שמנוצלות באופן פעיל ועל אירועי חמורים שאינם נחשבים לפגיעויות חמורות כמשמעותן ב-MDR או ב-IVDR ל-CSIRTs ול-ENISA דרך Eudamed."[X] בנוסף, "בנספח I ל-MDR/IVDR, אבטחת סייבר תוזכר במפורש בדרישות הבטיחות והביצועים הכלליות."[Xi]

ההצעה תחייב יצרן מכוסה להגיש דוח נדרש לא יאוחר מ-30 יום לאחר שנודע לו על הפגיעות שמנוצלת באופן פעיל או על האירוע החמור.

 

פעולה וניתוח
**כלול בחברות Health-ISAC**

 

[אני] https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14808-Medical-devices-and-in-vitro-diagnostics-targeted-revision-of-EU-rules_en

[Ii] באופן ספציפי, תקנה (EU) 2017/745 בנושא מכשירים רפואיים (MDR), ותקנה (EU) 2017/746 בנושא מכשירים רפואיים לאבחון חוץ גופי (IVDR).

[Iii] https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14808-Medical-devices-and-in-vitro-diagnostics-targeted-revision-of-EU-rules_en

[Iv] https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14808-Medical-devices-and-in-vitro-diagnostics-targeted-revision-of-EU-rules_en

[V] הערכה – SWD(2025) https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14808-Medical-devices-and-in-vitro-diagnostics-targeted-revision-of-EU-rules_en

[Vi] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A02017R0745-20260101

[Vii] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A02017R0746-20250110

[Viii] https://ec.europa.eu/newsroom/sante/items/861619/

[Ix] סיכום מנהלים של ההערכה. https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14808-Medical-devices-and-in-vitro-diagnostics-targeted-revision-of-EU-rules_en

[X] https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14808-Medical-devices-and-in-vitro-diagnostics-targeted-revision-of-EU-rules_en

[Xi] https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14808-Medical-devices-and-in-vitro-diagnostics-targeted-revision-of-EU-rules_e

  • משאבים וחדשות קשורים
ניוזלטר חודשי - פברואר 2026
דוח איומים שנתי - מגזר הבריאות 2026