הוראת NIS 2 קובעת דרישות אבטחת סייבר חדשות ליצרני מכשור רפואי

התפתחות חקיקה עדכנית בנושא אבטחת סייבר רלוונטית לתעשיית הטכנולוגיה הרפואית. זהו העדכון להוראה (EU) 2022/2555 בנושא אבטחת רשתות ומערכות מידע (" הוראת NIS 2 "). הנחיית NIS 2  מהווה חלק מאסטרטגיית אבטחת הסייבר של האיחוד האירופי וקובעת אמצעים לניהול סיכוני סייבר ודרישות דיווח למגזרים קריטיים ביותר. זה כולל את תעשיית המכשור הרפואי.

דרישות אבטחת סייבר ליצרני מכשור רפואי ו-IVD בהוראת NIS 2

הוראת NIS 2  , בנוסף לאמצעי אבטחת טכנולוגיית המידע שנקבעו בתקנה (EU) 2017/745 על מכשירים רפואיים ("MDR") ותקנה (EU) 2017/746 2017 על מכשירים רפואיים לאבחון חוץ גופי ("IVDR"). ("התקנות"), מטיל על יצרני המכשור הרפואי וה-IVD דרישות נוספות של אבטחת סייבר שנקבעו בהוראת NIS 2. הוראת ה-NIS קבעה אמצעים לרמה גבוהה משותפת של אבטחת סייבר עבור תשתיות קריטיות ברחבי האיחוד האירופי. בהתחשב במספר ההולך וגובר של איומי סייבר ומתקפות סייבר והיישום המפוצל של הוראת NIS במדינות החברות באיחוד האירופי, הפרלמנט האירופי והמועצה אימצו את ה-NIS 2  בנובמבר 2022.

 

בין העדכונים המרכזיים:

  • הרחבת היקף היישום: ההיקף המהותי של הוראת NIS 2  הורחב לכיסוי יצרני מכשור רפואי ו-IVD. יצרנים אלה מסווגים כ"ישויות חשובות". יתרה מכך, יצרנים של תת-קבוצה של מכשירים הנחשבים "קריטיים בזמן חירום בבריאות הציבור" זכאים ל"ישויות חיוניות". ההבדל בין הקטגוריות הוא שגופים חשובים כפופים לפיקוח בדיעבד לגבי עמידה בדרישות שנקבעו בהוראת NIS 2, בעוד שגופים חיוניים יכולים להיות כפופים  לאמצעי פיקוח מקדימים וגם לאחר מכן.
  • אמצעי ניהול סיכונים מפורטים: גם גופים חיוניים וחשובים חייבים לאמץ את אמצעי ניהול סיכוני הסייבר המפורטים בסעיף 21 להנחיה . זה כולל ביחס למפעילים כלכליים בכל שרשרת האספקה, קרי, ספקים ישירים ונותני שירותים, כגון ספקי שירותי אחסון ועיבוד נתונים וספקי שירותי אבטחה מנוהלים.
  • חובות להנהלה הבכירה: "גופי ניהול" של גורמים חשובים וחיוניים נדרשים לפקח על יישום אמצעים לניהול סיכוני אבטחת סייבר ויכולים לשאת באחריות לאי ציות. הוראת NIS 2 לא מגדירה את המונח "גופי ניהול", ומותירה לחקיקה הלאומית של מדינות חברות באיחוד האירופי לספק הגדרה ולקבוע את ההיקף הטריטוריאלי של המונח. עם זאת, רמז 76 מציע שהמונח מתייחס להנהלה בכירה ולנציגים משפטיים.
  • מסגרת זמן מדורגת לדיווח על אירועי אבטחת סייבר: בהתאם לחובות הדיווח המתוקנות הקבועות בהוראת NIS 2, גורמים חיוניים וחשובים נדרשים:
  1. להודיע ​​לרשויות המוסמכות בשלבים, תחילה באמצעות הגשת "אזהרה מוקדמת" תוך 24 שעות מרגע שנודע להם על אירועי אבטחת סייבר משמעותיים, ולאחר מכן הודעת תקרית תוך 72 שעות;
  2. להכין דוח ביניים לפי בקשה של הרשות המוסמכת או צוותי תגובה לאירועי אבטחת מחשבים ("CRISTs"); ו
  3. להגיש דוח סופי תוך חודש אחד מההודעה על האירוע. לשם השוואה, על תקריות היה צורך להודיע ​​"ללא דיחוי מיותר" לפי הוראת הNIS .
  4. יצירת מסד נתונים אירופאי של פגיעות: סוכנות האיחוד האירופי לאבטחת סייבר ("ENISA") מוטלת על הקמה ותחזוקה של מסד נתונים שיכלול מידע הנוגע לפרצות ידועות בציבור של מוצרים ושירותים. חשיפת המידע במאגר המידע היא וולונטרית.
  • קנסות מינהליים: סעיף 34 להוראת NIS 2  מציג קנסות מינהליים לגופים חיוניים וחשובים שלא יישמו אמצעים לניהול סיכונים. קנסות שווים ניתנים בגין אי עמידה בחובות הדיווח. אם תימצא הפרה של דרישות אלה, הרשויות הלאומיות עשויות להטיל קנסות בסך:
  1. עד 7 מיליון אירו או 1.4% מסך המחזור השנתי העולמי על ישויות חשובות; ו
  2. עד 10 מיליון אירו או 2% מסך המחזור השנתי העולמי על גופים חיוניים.

הצעדים הבאים

  • הוראת NIS 2  פורסמה בכתב העת הרשמי ב-27 בדצמבר ותיכנס לתוקף 20 יום מיום פרסומו. לאחר מכן יהיו למדינות החברות באיחוד האירופי 21 חודשים להמיר את ההנחיה לחוק הלאומי.
  • יצרני מכשור רפואי צריכים להתחיל לשקול את האמצעים הארגוניים, הפיננסיים והטכניים שיידרשו כדי לעמוד בדרישות הקבועות בהוראת NIS 2.

 



ISO 13485 מול QMSR: טבלת השוואת הפערים המלאה לשנת 2026

ISO 13485 מול QMSR: טבלת השוואת הפערים המלאה לשנת 2026

By Ronit Sade April 9, 2026
: ISO 13485 מול QMSR — מדריך השוואה מקצועי לכל הפערים בין התקן הבינלאומי לרגולציית ה-FDA החדשה שנכנסה לתוקף בפברואר 2026. עם דוגמאות ופתרונות יישום. תשובה קצרה: QMSR של ה-FDA, שנכנס לתוקף ב-2 בפברואר 2026, מאמץ את ISO 13485:2016 בהפניה (by reference) אך מוסיף מעליו דרישות אמריקאיות ייחודיות. לכן תאימות מלאה ל-ISO 1348
clean geometric shapes, with a subtle abstract seder plate silhouette integrated as a circular frame

ארבע השאלות שכל מנהל איכות חייב לשאול את עצמו לפני חזרה לעבודה אחרי פסח

By Ronit Sade April 3, 2026
ניהול איכות תעשייתי מחייב עצירה לחשיבה אחת בשנה. ארבע שאלות מעשיות שמנהל איכות חייב לשאול את עצמו לפני חזרה לעבודה — ולמה פסח הוא הזמן הנכון לעשות זאת.
Two interconnected shield icons — one larger (BCP) containing a smaller one (DR) — surrounded by abs

BCP, DR ו-ISO 22301 — מה ההבדל ולמה רוב הארגונים בישראל עדיין לא מוכנים?

By Ronit Sade March 26, 2026
תוכנית רציפות עסקית BCP היא לא אותו דבר כמו DR. הגדרה מדויקת, הבדלים מעשיים, ומה ISO 22301:2019 דורש — המדריך המלא.
נראה זכוכית מגדלת ענקית שבוחנת טיפה של חומר.

מדריך 2026: עדכון גיליונות בטיחות (SDS) – האם אתם עומדים ברגולציה האירופית החדשה?

By Ronit Sade March 19, 2026
אם העסק שלכם עובד עם השוק האירופי או מייבא חומרים מאירופה, כנראה ששמתם לב לשינוי בפורמט ה-SDS. תקנה 2020/878 של האיחוד האירופי נכנסה לתוקף מלא, והיא מחייבת עדכון משמעותי של כל גיליונות הבטיחות.
ה-FDA ואת ה-ISO כשני חלקי פאזל ענקיים שמתחברים בדיוק מושלם, ויוצרים גשר יציב מעל אוקיינוס.

המדריך המלא ל-QMSR: איך יצרני מכשור רפואי בישראל צריכים להתכונן למהפכת ה-FDA?

By Ronit Sade March 13, 2026
עידן חדש ברגולציית המכשור הרפואי: ה-FDA פרסם את חוק ה-QMSR (Quality System Regulation Amendment), הממזג רשמית את דרישות 21 CFR Part 820 עם תקן ISO 13485:2016 הבינלאומי. עבור חברות ישראליות המייצאות לשוק האמריקאי, מדובר בשינוי דרמטי בניהול סיכונים ובקרת איכות.
Colorful cartoon illustration of a food safety inspection scene with a quality inspector examining a

אוגוסט 2026 מתקרב: האם העסק שלך מוכן לדרישות HACCP בישראל?

By Ronit Sade February 19, 2026
אוגוסט 2026 מסמן שינוי משמעותי בדרישות HACCP ומערכת בטיחות מזון עצמית לעסקים קטנים ובינוניים. מה משתנה, מי חייב להיערך, ואיך להימנע מאכיפה מנהלית? מדריך מעשי ליצרני מזון.
Business Continuity Plan document on a clipboard inside an industrial facility, with safety helmet,

BCP לארגונים תעשייתיים: איך לבנות תוכנית המשכיות עסקית שבאמת עומדת בביקורת

By Ronit Sade February 13, 2026
מה זה BCP ואיך בונים תוכנית המשכיות עסקית שבאמת עומדת בביקורת? מדריך פרקטי לארגונים תעשייתיים כולל חיבור ל ISO 9001 ו ISO 13485, טעויות נפוצות וטיפים ליישום אפקטיבי.
שעון חול דרמטי שבו מסמכי ISO 13485:2016 נוזלים כלפי מטה וקוברים בניין של ה-FDA, לצד שעון מעורר שמציג

2 בפברואר 2026: היום שבו ה-FDA מפסיק “להחליק פינות”

By Ronit Sade February 5, 2026
Starting February 2, 2026, the FDA will enforce QMSR aligned with ISO 13485:2016. What this means for medical device manufacturers—and why waiting is no longer an option.
תרשים שילוב מדדי קיימות במדדי איכות – Green QA ו‑ESG

איכות ירוקה (Green QA & ESG): מדד חדש בעידן של קיימות

By Ronit Sade January 29, 2026
למד כיצד עקרונות Green QA ו‑ESG משנים את עולם הבטחת האיכות – מדידת פליטות פחמן, אנרגיה ופסולת כחלק אינטגרלי בדוחות איכות.
גרף שמציג תהליך עמידה ב‑21 CFR Part 11 לרשומות וחתימות אלקטרוניות

Electronic Records & Electronic Signatures – מדריך מקצועי ל‑21 CFR Part 11

By Ronit Sade January 22, 2026
מדריך מקצועי ל‑21 CFR Part 11 של ה‑FDA לניהול רשומות וחתימות אלקטרוניות — דרישות, טעויות נפוצות, וולידציה, אבטחה ודוגמאות יישום מהשטח.