Ez az oldal azoknak az orvosi eszközgyártóknak szól, akik az SZTFH-hoz tartozó fontos entitások és egyszerre az MDR és NIS2 szabályozás alá esnek. Megismeri a konkrét szoftverbiztonság, szállítási lánc és incident-kezelési kötelezettségeket.
Azok az orvosi eszközgyártók tartoznak ide, amelyek az EU MDR szerinti B, C vagy D osztályú eszközöket gyártanak, és Magyarországon vagy az EGT-ben működnek, valamint az SZTFH által fontos entitásként azonosított szervezetek. A 2026. október 24. után a teljes alkalmazottszámra vagy éves forgalomra meghatározott küszöbértékek is alkalmazandók.
Minden orvosi eszközbe beépített szoftver komponensét dokumentálni kell egy teljes, SZTFH által elfogadott formátumban (pl. SPDX, CycloneDX). Ez magában foglalja a nyílt forráskódú könyvtárakat, harmadik felek által szállított komponenseket és belső fejlesztéseket. A SBOM-ot a gyártónak meg kell tartania az eszköz teljes élettartamára, beleértve a lezárást követő támogatási periódust.
A gyártónak folyamatosan figyelnie kell az eszközökben lévő szoftverkomponensekben felfedezett sebezhetőségeket. Felépített rendszert kell létrehozni a biztonsági javítások gyors szállításához az aktív felhasználásnál lévő eszközökre. Az SZTFH számára dokumentálni kell a felügyeleti eljárásokat és a kibocsátott javítások teljesítési idejét.
A kiberbiztonsági sérülékenységeket, amelyek a beteg egészségét vagy biztonságát veszélyeztethetik, az SZTFH-nak és szükség esetén a Nemzeti Média- és Infokommunikációs Hatóságnak be kell jelenti. A bejelentési határidő az incidens felfedezésétől számított 72 óra, hacsak az azonnali közlés nem lehetetlen. Az MDR szerinti Rapid Alert System értesítést is ki kell adni.
Minden harmadik féltől érkező szoftverkomponent, firmware vagy hardverkomponens beszerzésekor biztonsági szerződéseket kell kötni. A beszállítóknak igazolniuk kell, hogy SBOM-ot nyújtanak, biztonsági teszteket végeznek és támogatják a szoftver-frissítéseket. Az SZTFH rendszeres auditokat végezhet a szállítói lánc biztonsági kontrolljainak ellenőrzésére.
Az MDR 5(5) cikk előírja, hogy az orvosi eszközök megfelelően védejenek a kiberbiztonsági támadásokkal szemben. Az NIS2 szabályozás ezt konkretizálja az eszközagyártók számára: szoftverfrissítési mechanizmus, titkosítás, hitelesítés és az eszközben tárolt személyes adatok védelme szükséges. A gyártónak alá kell vetnie a szoftvert az SZTFH-nak jóváhagyott biztonsági felülvizsgálatnak.
Minden, az eszközbe beépített szoftverre szükséges — az operációs rendszertől kezdve az alkalmazásig, az összes nyílt forráskódú könyvtár, harmadik féltől származó modul és belső fejlesztés. Az SZTFH szerint a SBOM-nak legalább az azonosítót, verziót, licencet és ismert sebezhetőségeket kell tartalmaznia. A legacy eszközöknél az SZTFH ésszerű megoldást, például részleges SBOM vagy kompenzáló biztonsági intézkedéseket fogadhat el.
Az SZTFH-hoz tartozó fontos entitások számára az alapvető biztonsági intézkedéseket 2026. október 24. napjáig kell megvalósítani. Az orvosi eszközgyártók számára azonban az MDR szerinti folyamatba integrált biztonsági intézkedéseket már a 2023. március 26. utáni új eszközökre alkalmazni kell. A meglévő eszközökhöz vonatkozóan az SZTFH fokozatos átmenetet engedélyezhet.
Az SZTFH az 50 millió EUR vagy az éves globális forgalom 10%-a közül a nagyobb összegig terjedő bírságot szabhat ki. Az orvosi eszközgyártók számára az MDR szerinti szankciók is alkalmazandók (200 millió EUR vagy forgalom 4%-a). Az ismételt vagy súlyos szabálysértések esetén az eszköz piacról történő visszavonását is elrendelheti az SZTFH.