Hands-on-Training CYBERSECURITY-Risikomanagement

Beschreibung:

Sie wissen bereits: Risikomanagement ist der Schlüssel zu erfolgreichen Medizinprodukten. Es erstreckt sich von der Produktidee, über die Produktentwicklung und den Produkt-Launch bis zum Ende des Produktlebens.

Sie haben die Anforderungen an das Risikomanagement von Medizinprodukten aus der Verordnung (EU) 2017/745 (MDR) (“Medizinprodukteverordnung”) und der einschlägigen Norm ISO 14971 bereits kennengelernt und vielleicht sogar schon erfolgreich umgesetzt?

Und Sie wissen, dass gemäß MDR allein die Betrachtung der Betriebssicherheit („Safety“) nicht mehr ausreicht – auch der Diebstahl bzw. die Offenlegung von Daten (wie Patienten- oder Behandlungsdaten) ist ein Risiko, genauso wie der Ausfall von Diagnostik oder Behandlung aufgrund von Cyber-Angriffen!

Sie möchten Schritt-für-Schritt erläutert bekommen, wie das gesetzlich geforderte Cybersecurity-Risikomanagement in Ihr bestehendes Risikomanagement integriert werden kann?

Dann ist dieses Training genau richtig für Sie!

Zur Durchführung des Trainings wird das reale Beispiel-Produkt “BO-Score” verwendet:

„BO-Score“ dient zur Bewertung tiefer emotionaler, körperlicher und geistiger Erschöpfung, bekannt als „Burnout“, von erwachsenen Patient:innen ab 18 Jahren. „BO-Score“ wird in der Hand gehalten und misst die Mikro-Bewegungen („Zittern“). Daraus lassen sich Rückschlüsse auf den Burnout-Level ziehen.

Anhand des Beispiel-Produktes führen wir Sie Schritt für Schritt durch unsere Systematik für Cybersecurity-Risikoanalysen (ARGOS). Mit unseren Vorlagen erarbeiten wir gemeinsam Lösungen, welche Sie dann später auf Ihr Produkt übertragen können.

Vorläufiges Programm – Änderungen / Anpassungen vorbehalten!

10:00 Begrüßung und Vorstellung

10:15 Informationssicherheit im Life-Cycle von (Medizin-) Produkten – Was muss ich beachten?

• Überblick und Begriffe
• „Cybersecurity“ und „Informationssicherheit“
• Risikomanagement und Zusammenhang zwischen Safety (Betriebssicherheit) und Security (Informationssicherheit)
• Unsere Vorgehensweise „ARGOS“: Advancing Risk-Management and Governance On the basis of Security
• Wie “Cybersecurity” bewerten?
• Das Common Vulnerability Scoring System (CVSS)
• Zweckbestimmung und Systemarchitektur als Basis
• Cybersecurity-Aspekte in der Medizintechnik

11:30 Erfrischungspause

12:00 Hands-on: Wir lernen das Beispiel-System kennen

• Unser Produkt „BO-Score“
• Wie wird BO-Score verwendet?
• Welche Schnittstellen hat das System?
• In welcher Umgebung wird es verwendet?
• Zweckbestimmung / Bestimmungsgemäße Verwendung
• Systemarchitektur

12:15 Hands-on: Wir ergänzen den Risikomanagement-Plan!

• Was beinhaltet der Risikomanagement-Plan?
• Wie müssen Schweregrad, Auftretenswahrscheinlichkeit und
• Risikoakzeptanz erweitert werden?
• Zusammenhang Safety (Betriebssicherheit) und Security (Informationssicherheit)
• Gruppenarbeit: Erweitern des Risikomanagement-Plans um SECURITY

12:30 Hands-on: Wir führen das CYBERSECURITY-RM durch

• (geführte Gruppenarbeit Teil 1)
• Welche Assets hat das System?
• Welche Schnittstellen lassen sich identifizieren?
• In welcher Umgebung wird das Produkt betrieben?
• Gruppenarbeit: Erstellen der Gefährdungsanalyse

13:15 Mittagspause

14:15 Hands-on: Wir führen das CYBERSECURITY-RM durch

• (geführte Gruppenarbeit Teil 2)
• Wie erkenne ich mögliche Bedrohungen?
• Modellierung der Angriff-Szenarien mittels „Threat Modeling“
• Der Ansatz „STRIDE“
• Gruppenarbeit: Weiterarbeit an der Gefährdungsanalyse

15:00 Erfrischungspause

15:15 Hands-on: Wir führen das CYBERSECURITY-RM durch

• (geführte Gruppenarbeit Teil 3)
• Wie können die erkannten Risiken beherrscht werden?
• Security Capabilities als Schutzmaßnahmen
• Zusammenhang Safety (Betriebssicherheit) und Security (Informationssicherheit)
• Ist das Gesamt-Restrisiko akzeptabel?
• Gruppenarbeit: Maßnahmen finden, formulieren und bewerten

16:00 Hands-on: Wir fertigen den Risikomanagement-Report an!

• (geführte Gruppenarbeit Teil 4)
• Wie sollte der Risikomanagement-Report aussehen?
• Gruppenarbeit: Erstellen des Risikomanagement-Reports

16:30 Zusammenfassung und Verabschiedung

16:45 Ende

Vorläufiges Programm. Änderungen / Anpassungen vorbehalten

Teilnahmegebühr

VDE Mitglied*: 620 EUR
Nichtmitglied:  690 EUR

*Ermäßigung nur unter Angabe einer aktuellen VDE-Mitgliedsnummer.