compliantkubernetes icon indicating copy to clipboard operation
compliantkubernetes copied to clipboard

Published 20 hours ago verified publisher icon elastisys

Document how Compliant Kubernetes maps towards MDR

Open simonekman opened this issue 3 years ago • 2 comments

It would be great if we had a section under "compliance" that describes how Compliant Kubernetes maps towards relevant parts of MDR. Does Compliant Kubernetes help with MDR compliance and how? Some EU companies have specifically asked for this.

https://www.medical-device-regulation.eu/download-mdr/

simonekman avatar Oct 21 '21 14:10 simonekman

Issue #201 should be done before this issue.

simonekman avatar Oct 22 '21 07:10 simonekman

Input from a company within Medtech.

MDR Rörande MDR så finns det i dagsläget inga harmoniserade* standarder utpekade för cybersecurity området. Dock finns en guideline MMDCG 2019-16 ”Guidance on Cybersecurity for medical devices”. Spaningen är att denna kommer över tid att ersättas av två standarder för produktkrav som spås bli harmoniserade:

60601-4-5 som hänvisar friskt till 62443-4-2.

Dessa definierar en rad security capabilities varav vi i alla fall har lyckats mappa upp en hel del som ligger på ”infrastruktur nivå” och därmed blir krav på compliant kubernetes. Det är förmodligen inga nya grejor utan sånt som jag kan tänka mig redan finns i annex A i 27001 (utan att ha gjort en fullständig kartläggning). Dock om ni som leverantör kan visa en sån mappning så skulle det ge ett seriöst intryck och va till stor hjälp då vi i än större grad då kan ”lämna infrastrukturen därhän”. Sen är de ju klart att en stor del av security capabilities fortfarande faller på applikationen att uppfylla.

  • om man följer en harmoniserad standard så anses man följa MDR regelverket.

Notera dock att MDR är för att uppfylla regelverktet och därmed få marknadsföra och sälja produkten. Tyvärr är det inte samma sak som att slutanvändare godtar det rakt av utan de kan komma med en uppsättning egna regler/krav som tyvärr verkar variera från region till region i alla fall i Sverige. I UK verkar MDS jobba mer på nationell nivå med lite riktlinjer kring molntjänster. Verkar finnas lite initivti på EU nivå också bla men som sagt det görs ju ändå lokala tolkningar i Sverige kring tex CloudAct etc som då trumfar allt annat.

simonekman avatar Nov 02 '21 10:11 simonekman

Done: https://elastisys.io/compliantkubernetes/ciso-guide/controls/mdr/

cristiklein avatar Oct 18 '23 14:10 cristiklein