שנת 2026 מסמנת נקודת התייצבות חדשה בתחום הסייבר למכשור רפואי.
ה-FDA, הרגולציה האירופית והסטנדרטים התומכים כבר לא מחפשים הצהרות כוונות או מסמכים כלליים, אלא הוכחה לתהליכים עובדים, עקביים ומתועדים.
סקרנו עבורכם את 6 הפעולות החשובות ביותר, בתחום הסייבר, שחברות מכשור רפואי צריכות להשלים במהלך 2026 כדי להיות מיושרות לציפיות הרגולטוריות.
1. הפרדה ברורה בין Safety Risk Management לCybersecurity Risk Assessment (עם חיבור מבוקר ביניהם):
אחת הטעויות הנפוצות היא “לערבב” סיכוני סייבר בתוך ISO 14971. בפועל, הציפייה הרגולטורית, בעיקר מצד ה-FDA היא הפוכה.
מה נדרש בפועל?
• לקיים שני תהליכים נפרדים:
– Safety Risk Management לפי ISO 14971
– Security Risk Assessment ייעודי, מבוסס איומים (threat-based)
• לבצע ניתוח איומי סייבר לפי לוגיקה של:
– attack vectors
– exploitability
– exposure
ולא לפי הסתברות סטטיסטית של failure.
• להגדיר נקודות חיבור מבוקרות בין התהליכים:
– כאשר איום סייבר עלול להוביל לפגיעה קלינית, הוא משתקף גם בניתוח הבטיחות.
– לא כל איום סייבר חייב להסתיים ב-harm קליני כדי להצדיק טיפול.
• לוודא שהתיעוד מראה שהערכת הסייבר לא “נמחצה” לתוך לוגיקת safety בלבד.
תוצר נדרש ל-2026: תיק סייבר ייעודי ומתועד, עם קישור ברור אך לא ממוזג ל-ISO 14971.
2. SBOM חי + תהליך סדור לניהול פגיעויות
SBOM הוא כבר לא מסמך סטטי “בשביל ההגשה”. הרגולטור מצפה לראות תהליך מתמשך.
מה נדרש בפועל?
• לבחור כלי או תהליך ליצירה אוטומטית של SBOM בכל build משמעותי.
• להגדיר מנגנון קבוע לזיהוי פגיעויות (CVEs), ככל האפשר באוטומציה.
• להגדיר אחריות ברורה:
– מי מתחזק את ה-SBOM
– מי עוקב אחרי CVEs
– מי מקבל החלטות טיפול
• לקבוע מדיניות טיפול:
– מתי נדרש patch
– מתי ניתן לבצע risk acceptance מתועד
• להיערך לשיתוף SBOM עם לקוחות בפורמטים מקובלים (כגון SPDX או CycloneDX)
תוצר נדרש ל-2026: SBOM עדכני לכל גרסה קלינית, כולל היסטוריית פגיעויות, החלטות ועדכונים.
3. Threat Modeling שיטתי כחלק מתהליך הפיתוח
Threat modeling כבר לא נתפס כתרגיל חד פעמי או כתוספת מאוחרת.
מה נדרש בפועל?
• להגדיר מתודולוגיה ברורה (STRIDE, attack trees וכדומה).
• לבצע threat modeling לפי ארכיטקטורה, interfaces ו-data flows.
• לשלב את התהליך בנקודות קבועות בפיתוח (design reviews, שינויים מהותיים).
• לוודא שממצאים מתורגמים ל- security requirements ו-לcontrols.
תוצר נדרש ל-2026: Threat model מתועד ועדכני למוצרי הליבה, עם traceability לפתרונות אבטחה.
4. בדיקות סייבר כחלק מתהליך ה-V&V (לא “בדיקה נקודתית")
בדיקות סייבר נדרשות להיות חלק מתהליך מאורגן, לא פעילות חד פעמית לקראת הגשה.
מה נדרש בפועל?
• להגדיר scope ברור לבדיקות סייבר (אפליקציה, תקשורת, backend, ממשקים).
• לשלב בדיקות סייבר כחלק מתוכנית ה-V&V.
• לתעד ממצאים, החלטות טיפול ו-residual risk.
• להציג תוצאות ברמת high-level, בהתאם לציפיות הרגולטוריות.
תוצר נדרש ל-2026: דוחות בדיקות סייבר עקביים, מתועדים ומקושרים לניהול הסיכונים.
5. מבנה ארגוני ברור לטיפול בפגיעויות ואירועי סייבר במוצר
לא נדרש מבנה “Big Tech” אבל כן נדרשת אחריות ארגונית ברורה.
מה נדרש בפועל?
• להגדיר מי אחראי:
– לקליטת דיווחי פגיעות
– להערכת ההשפעה
– לתיאום טיפול ועדכונים
• להגדיר תהליך מוסכם להתמודדות עם פגיעות במוצר.
• לתעד את התהליך ב-QMS בצורה פרופורציונלית לגודל החברה.
תוצר נדרש ל-2026: תהליך מתועד וברור לניהול פגיעויות ואירועי סייבר במוצר, גם אם רזה.
6. מדידה ושיפור מתמשך - לפי מדדי ה-FDA
כדי להראות שהסייבר מנוהל לאורך זמן, הרגולטור מצפה למדידה.
מומלץ להתמקד במדדים שה-FDA עצמו מציע:
• אחוז הפגיעויות שזוהו וטופלו (patched / updated)
• משך הזמן מזיהוי פגיעות ועד זמינות תיקון
• משך הזמן מזמינות תיקון ועד הטמעה בשטח (ככל שידוע)
תוצר נדרש ל-2026: מעקב מדיד ומתועד אחר ביצועי הסייבר של המוצר, כחלק מניהול שוטף.
לסיכום
ב-2026 חברות מכשור רפואי לא ייבחנו רק על השאלה האם יש להן סייבר, אלא על איך הן מנהלות אותו בפועל – לאורך כל חיי המוצר. חברות שיסגרו כבר עכשיו את פערי התהליכים, התיעוד והמדידה, יגיעו להגשות, לביקורות רגולטוריות ולשיחות עם לקוחות ממקום בטוח וחזק יותר.
Meddev מלווה חברות מכשור רפואי בדיוק בנקודה הזו – לקחת את הדרישות של ה-FDA, אירופה והסטנדרטים הרלוונטיים ולתרגם אותן לסט של תהליכים ומסמכים ריאליים, מותאמים לגודל החברה ולמוצרים שלה, בלי נפח יתר ובלי פרויקטים גרנדיוזיים מיותרים.
