Κανονισμός για την κυβερνοανθεκτικότητα και λογισμικό ιατροτεχνολογικού προϊόντος (MDR): Εφαρμόζεται;

Αν μια εταιρεία αναπτύσσει λογισμικό ιατροτεχνολογικού προϊόντος που εμπίπτει στον κανονισμό (ΕΕ) 2017/745, εφαρμόζεται ο κανονισμός (ΕΕ) 2024/2847 (Cyber Resilience Act), και θα πρέπει να εφαρμοστεί στο συγκεκριμένο λογισμικό ιατροτεχνολογικού προϊόντος;

Η σύντομη απάντηση είναι: όχι.

Τι είναι ο κανονισμός (ΕΕ) 2024/2847;

Ο κανονισμός (ΕΕ) 2024/2847 θεσπίζει απαιτήσεις κυβερνοασφάλειας για προϊόντα με ψηφιακά στοιχεία που διατίθενται στην αγορά της ΕΕ.

Με απλά λόγια, ζητά από τους κατασκευαστές να ενσωματώνουν την κυβερνοασφάλεια από τον σχεδιασμό και να τη διατηρούν σε όλο τον κύκλο ζωής του προϊόντος.

Για τα προϊόντα που εμπίπτουν στο πεδίο εφαρμογής του, απαιτείται μεταξύ άλλων:

ανάπτυξη με αρχές secure-by-design και secure-by-default
αξιολόγηση κινδύνων κυβερνοασφάλειας και κατάλληλα μέτρα ελέγχου
διαδικασία διαχείρισης ευπαθειών
ενημερώσεις ασφάλειας για καθορισμένο χρονικό διάστημα υποστήριξης
τεχνική τεκμηρίωση και τεκμηρίωση συμμόρφωσης
υποχρεώσεις αναφοράς για ενεργά εκμεταλλευόμενες ευπάθειες και σοβαρά περιστατικά

Εφαρμόζεται σε κατασκευαστές λογισμικού ιατροτεχνολογικού προϊόντος υπό MDR;

Στο άρθρο 2 «Πεδίο εφαρμογής» του κανονισμού (ΕΕ) 2024/2847 αναφέρεται ρητά:

«Ο παρών κανονισμός δεν εφαρμόζεται σε προϊόντα με ψηφιακά στοιχεία στα οποία εφαρμόζονται οι ακόλουθες νομικές πράξεις της Ένωσης: α) κανονισμός (ΕΕ) 2017/745·»

Άρα, όταν το προϊόν σας εμπίπτει στον κανονισμό (ΕΕ) 2017/745, ο κανονισμός (ΕΕ) 2024/2847 δεν εφαρμόζεται στο συγκεκριμένο προϊόν.

Πρακτική επισήμανση

Το ότι δεν εφαρμόζεται ο κανονισμός (ΕΕ) 2024/2847 δεν σημαίνει ότι δεν υπάρχουν υποχρεώσεις κυβερνοασφάλειας. Οι υποχρεώσεις παραμένουν μέσα στο πλαίσιο του MDR και της σχετικής τεκμηρίωσης/καθοδήγησης.

Αν θέλετε, μπορούμε να σας βοηθήσουμε να χαρτογραφήσετε με σαφήνεια τις απαιτήσεις που ισχύουν για το δικό σας λογισμικό.