{"id":3685,"date":"2022-12-21T19:34:22","date_gmt":"2022-12-21T17:34:22","guid":{"rendered":"https:\/\/security.sauer.ninja\/?p=3685"},"modified":"2022-12-21T19:37:30","modified_gmt":"2022-12-21T17:37:30","slug":"penetrationstest-nach-mdr-medizinprodukteverordnung","status":"publish","type":"post","link":"https:\/\/security.sauer.ninja\/de\/regulatorik\/penetrationstest-nach-mdr-medizinprodukteverordnung\/","title":{"rendered":"Penetrationstest nach MDR (Medizinprodukteverordnung)"},"content":{"rendered":"\n<p>Die MDR verlangt im Anhang I bei &#8222;Produkte, zu deren Bestandteilen programmierbare Elektroniksysteme geh\u00f6ren, und Produkte in Form einer Software&#8220; unter Punkt 17.2 die Verifzierung und Validierung, dass das Produkt bzw die Software nach dem Stand der Technik entwickelt wurde &#8211; aus der Perspektive der IT-Sicherheit:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-style-default is-layout-flow wp-block-quote-is-layout-flow\">\n<p>17.2 Bei Produkten, zu deren Bestandteilen Software geh\u00f6rt, oder bei Produkten in Form einer Software wird die Software entsprechend dem Stand der Technik entwickelt und hergestellt, wobei die Grunds\u00e4tze des Software-Lebenszyklus, des Risikomanagements einschlie\u00dflich der Informationssicherheit, der Verifizierung und der Validierung zu ber\u00fccksichtigen sind.<\/p>\n<cite>MDR, Anhang I &#8211; Verordnung (EU) 2017\/745 des Europ\u00e4ischen Parlaments und des Rates vom 5. April 2017 \u00fcber Medizinprodukte, zur \u00c4nderung der Richtlinie 2001\/83\/EG, der Verordnung (EG) Nr. 178\/2002 und der Verordnung (EG) Nr. 1223\/2009 und zur Aufhebung der Richtlinien 90\/385\/EWG und 93\/42\/EWG des Rates (Text von Bedeutung f\u00fcr den EWR. )<\/cite><\/blockquote>\n\n\n\n<p>Im Medical Device Coordination Group Document &#8222;MDCG 2019-16 Guidance on Cybersecurity for medical devices&#8220; findet sich nun als Konkretisierung der vorherigen Verifzierung- und Validierungsbestimmung Penetration Testing als eine M\u00f6glichkeit:<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>MDR Annex I Section 17.2 and IVDR Annex I Section 16.2 require for devices that incorporate software or for software that are devices in themselves, that the software shall be developed and manufactured in accordance with the state of the art taking into account the principles of the development life cycle, risk management, including information security, verification and validation. The primary means of security verification and validation is testing. Methods can include security feature testing, fuzz testing, vulnerability scanning and penetration testing. Additional security testing can be one by using tools for secure code analysis and tools that scan for open source code and libraries used in the product, to identify components with known issues.<\/p>\n<cite>Medical Device Coordination Group Document, MDCG 2019-16<\/cite><\/blockquote>\n","protected":false},"excerpt":{"rendered":"<p>Die MDR verlangt im Anhang I bei &#8222;Produkte, zu deren Bestandteilen programmierbare Elektroniksysteme geh\u00f6ren, und Produkte in Form einer Software&#8220; unter Punkt 17.2 die Verifzierung und Validierung, dass das Produkt bzw die Software nach dem Stand der Technik entwickelt wurde &#8211; aus der Perspektive der IT-Sicherheit: 17.2 Bei Produkten, zu deren Bestandteilen Software geh\u00f6rt, oder &#8230; <span class=\"more\"><a class=\"more-link\" href=\"https:\/\/security.sauer.ninja\/de\/regulatorik\/penetrationstest-nach-mdr-medizinprodukteverordnung\/\">[Read more&#8230;]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[250],"tags":[],"class_list":{"0":"entry","1":"post","2":"publish","3":"author-psauer","4":"post-3685","6":"format-standard","7":"category-regulatorik"},"_links":{"self":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/3685","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/comments?post=3685"}],"version-history":[{"count":6,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/3685\/revisions"}],"predecessor-version":[{"id":3692,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/3685\/revisions\/3692"}],"wp:attachment":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/media?parent=3685"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/categories?post=3685"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/tags?post=3685"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}