Start date | 2022-09-21 | 10:00 |
End date | 2022-09-21 | 16:45 |
Campus Westend der Goethe Universität Frankfurt am Main
Seminarhaus, Seminarraum SH 2.106
Max-Horkheimer-Straße 4
60323 Frankfurt am Main
Sie wissen bereits: Risikomanagement ist der Schlüssel zu erfolgreichen Medizinprodukten. Es erstreckt sich von der Produktidee, über die Produktentwicklung und den Produkt-Launch bis zum Ende des Produktlebens.
Sie haben die Anforderungen an das Risikomanagement von Medizinprodukten aus der Verordnung (EU) 2017/745 (MDR) (“Medizinprodukteverordnung”) und der einschlägigen Norm ISO 14971 bereits kennengelernt und vielleicht sogar schon erfolgreich umgesetzt?
Und Sie wissen, dass gemäß MDR allein die Betrachtung der Betriebssicherheit („Safety“) nicht mehr ausreicht – auch der Diebstahl bzw. die Offenlegung von Daten (wie Patienten- oder Behandlungsdaten) ist ein Risiko, genauso wie der Ausfall von Diagnostik oder Behandlung aufgrund von Cyber-Angriffen!
Sie möchten Schritt-für-Schritt erläutert bekommen, wie das gesetzlich geforderte Cybersecurity-Risikomanagement in Ihr bestehendes Risikomanagement integriert werden kann?
Dann ist dieses Training genau richtig für Sie!
Zur Durchführung des Trainings wird das reale Beispiel-Produkt “BO-Score” verwendet:
„BO-Score“ dient zur Bewertung tiefer emotionaler, körperlicher und geistiger Erschöpfung, bekannt als „Burnout“, von erwachsenen Patient:innen ab 18 Jahren. „BO-Score“ wird in der Hand gehalten und misst die Mikro-Bewegungen („Zittern“). Daraus lassen sich Rückschlüsse auf den Burnout-Level ziehen.
Anhand des Beispiel-Produktes führen wir Sie Schritt für Schritt durch unsere Systematik für Cybersecurity-Risikoanalysen (ARGOS). Mit unseren Vorlagen erarbeiten wir gemeinsam Lösungen, welche Sie dann später auf Ihr Produkt übertragen können.
Programm
10:00 Registrierung, Begrüßung und Moderation
10:15 Informationssicherheit im Life-Cycle von Medizinprodukten – Was muss ich beachten?
Informationssicherheit in den Verordnungen (EU) 2017/745 (MDR) (“Medizinprodukteverordnung”) und (EU) 2017/746 (IVDR)
Risikomanagement: Safety (Betriebssicherheit) und Security (Informationssicherheit)
Regulatorische Vorgaben / Normen / Technical Reports
* Leitlinie MDCG 2019-16 (Guidance on Cybersecurity for medical devices)
* Fragenkatalog “IT-Sicherheit bei Medizinprodukten” der IG-NB
* IEC 81001-5-1 und IEC/TR 60601-4-5
* Manufacturer Disclosure Statement for Medical Device Security — MDS2
Bestandteile des Risikomanagements
Unsere Vorgehensweise „ARGOS“: Advancing Risk-Management and Governance On the basis of Security
Zweckbestimmung und Systemarchitektur als Basis
11:00 Hands-on: Wir lernen unser Modell-Produkt kennen! (Teil 1)
Unser Produkt „BO-Score“
Wie wird BO-Score verwendet?
Zweckbestimmung
11:30 Kaffeepause
11:45 Hands-on: Wir lernen unser Modell-Produkt kennen! (Teil 2)
Welche Schnittstellen hat BO-Score?
In welcher Umgebung wird es verwendet?
Systemarchitektur
12:15 Hands-on: Wir erstellen den Risikomanagement-Plan!
Was beinhaltet der Risikomanagement-Plan?
Wie sind Schweregrad, Auftretenswahrscheinlichkeit und Risikoakzeptanz definiert?
Zusammenhang Safety (Betriebssicherheit) und Security (Informationssicherheit)
Gruppenarbeit: Erstellen des Risikomanagement-Plans
13:00 Mittagspause
14:00 Hands-on: Wir führen das CYBERSECURITY-RM durch
Welche Assets hat BO-Score?
Welche Schnittstellen lassen sich identifizieren?
In welcher Umgebung wird das Produkt betrieben?
Gruppenarbeit: Erstellen der Gefährdungsanalyse
14:25 Hands-on: Wir führen das CYBERSECURITY-RM durch
Wie erkenne ich mögliche Bedrohungen?
Modellierung der Angriff-Szenarien mittels „Threat Modeling”
Typischer Ablauf eines CYBER-Angriffs
* Informationsbeschaffung
* Erkennen von Schwachstellen
* Ausnutzen von erkannten Schwachstellen
Der Ansatz „STRIDE“
Gruppenarbeit: Weiterarbeit an der Gefährdungsanalyse
15:15 Erfrischungspause
15:30 Hands-on: Wir führen das CYBERSECURITY-RM durch
Wie können die erkannten Risiken beherrscht werden?
Security Capabilities als Schutzmaßnahmen
Zusammenhang Safety (Betriebssicherheit) und Security (Informationssicherheit)
Ist das Gesamt-Restrisiko akzeptabel?
Gruppenarbeit: Maßnahmen finden, formulieren und bewerten
16:00 Hands-on: Wir fertigen den Risikomanagement-Report an!
Wie sollte der Risikomanagement-Report aussehen?
Gruppenarbeit: Erstellen des Risikomanagement-Reports
16:30 Zusammenfassung und Verabschiedung
16:45 Ende des Trainings
Persönliches VDE-Mitglied | 530,00 € |
Nichtmitglied | 590,00 € |
Digitale Transformation und Plattformen
Dipl.-Ing. Hans Wenner, VDE
Bitte beachten Sie die Teilnahmebedingungen auf der Buchungsseite.