הוראת NIS 2 קובעת דרישות אבטחת סייבר חדשות ליצרני מכשור רפואי

התפתחות חקיקה עדכנית בנושא אבטחת סייבר רלוונטית לתעשיית הטכנולוגיה הרפואית. זהו העדכון להוראה (EU) 2022/2555 בנושא אבטחת רשתות ומערכות מידע (" הוראת NIS 2 "). הנחיית NIS 2  מהווה חלק מאסטרטגיית אבטחת הסייבר של האיחוד האירופי וקובעת אמצעים לניהול סיכוני סייבר ודרישות דיווח למגזרים קריטיים ביותר. זה כולל את תעשיית המכשור הרפואי.

דרישות אבטחת סייבר ליצרני מכשור רפואי ו-IVD בהוראת NIS 2

הוראת NIS 2  , בנוסף לאמצעי אבטחת טכנולוגיית המידע שנקבעו בתקנה (EU) 2017/745 על מכשירים רפואיים ("MDR") ותקנה (EU) 2017/746 2017 על מכשירים רפואיים לאבחון חוץ גופי ("IVDR"). ("התקנות"), מטיל על יצרני המכשור הרפואי וה-IVD דרישות נוספות של אבטחת סייבר שנקבעו בהוראת NIS 2. הוראת ה-NIS קבעה אמצעים לרמה גבוהה משותפת של אבטחת סייבר עבור תשתיות קריטיות ברחבי האיחוד האירופי. בהתחשב במספר ההולך וגובר של איומי סייבר ומתקפות סייבר והיישום המפוצל של הוראת NIS במדינות החברות באיחוד האירופי, הפרלמנט האירופי והמועצה אימצו את ה-NIS 2  בנובמבר 2022.

 

בין העדכונים המרכזיים:

  • הרחבת היקף היישום: ההיקף המהותי של הוראת NIS 2  הורחב לכיסוי יצרני מכשור רפואי ו-IVD. יצרנים אלה מסווגים כ"ישויות חשובות". יתרה מכך, יצרנים של תת-קבוצה של מכשירים הנחשבים "קריטיים בזמן חירום בבריאות הציבור" זכאים ל"ישויות חיוניות". ההבדל בין הקטגוריות הוא שגופים חשובים כפופים לפיקוח בדיעבד לגבי עמידה בדרישות שנקבעו בהוראת NIS 2, בעוד שגופים חיוניים יכולים להיות כפופים  לאמצעי פיקוח מקדימים וגם לאחר מכן.
  • אמצעי ניהול סיכונים מפורטים: גם גופים חיוניים וחשובים חייבים לאמץ את אמצעי ניהול סיכוני הסייבר המפורטים בסעיף 21 להנחיה . זה כולל ביחס למפעילים כלכליים בכל שרשרת האספקה, קרי, ספקים ישירים ונותני שירותים, כגון ספקי שירותי אחסון ועיבוד נתונים וספקי שירותי אבטחה מנוהלים.
  • חובות להנהלה הבכירה: "גופי ניהול" של גורמים חשובים וחיוניים נדרשים לפקח על יישום אמצעים לניהול סיכוני אבטחת סייבר ויכולים לשאת באחריות לאי ציות. הוראת NIS 2 לא מגדירה את המונח "גופי ניהול", ומותירה לחקיקה הלאומית של מדינות חברות באיחוד האירופי לספק הגדרה ולקבוע את ההיקף הטריטוריאלי של המונח. עם זאת, רמז 76 מציע שהמונח מתייחס להנהלה בכירה ולנציגים משפטיים.
  • מסגרת זמן מדורגת לדיווח על אירועי אבטחת סייבר: בהתאם לחובות הדיווח המתוקנות הקבועות בהוראת NIS 2, גורמים חיוניים וחשובים נדרשים:
  1. להודיע ​​לרשויות המוסמכות בשלבים, תחילה באמצעות הגשת "אזהרה מוקדמת" תוך 24 שעות מרגע שנודע להם על אירועי אבטחת סייבר משמעותיים, ולאחר מכן הודעת תקרית תוך 72 שעות;
  2. להכין דוח ביניים לפי בקשה של הרשות המוסמכת או צוותי תגובה לאירועי אבטחת מחשבים ("CRISTs"); ו
  3. להגיש דוח סופי תוך חודש אחד מההודעה על האירוע. לשם השוואה, על תקריות היה צורך להודיע ​​"ללא דיחוי מיותר" לפי הוראת הNIS .
  4. יצירת מסד נתונים אירופאי של פגיעות: סוכנות האיחוד האירופי לאבטחת סייבר ("ENISA") מוטלת על הקמה ותחזוקה של מסד נתונים שיכלול מידע הנוגע לפרצות ידועות בציבור של מוצרים ושירותים. חשיפת המידע במאגר המידע היא וולונטרית.
  • קנסות מינהליים: סעיף 34 להוראת NIS 2  מציג קנסות מינהליים לגופים חיוניים וחשובים שלא יישמו אמצעים לניהול סיכונים. קנסות שווים ניתנים בגין אי עמידה בחובות הדיווח. אם תימצא הפרה של דרישות אלה, הרשויות הלאומיות עשויות להטיל קנסות בסך:
  1. עד 7 מיליון אירו או 1.4% מסך המחזור השנתי העולמי על ישויות חשובות; ו
  2. עד 10 מיליון אירו או 2% מסך המחזור השנתי העולמי על גופים חיוניים.

הצעדים הבאים

  • הוראת NIS 2  פורסמה בכתב העת הרשמי ב-27 בדצמבר ותיכנס לתוקף 20 יום מיום פרסומו. לאחר מכן יהיו למדינות החברות באיחוד האירופי 21 חודשים להמיר את ההנחיה לחוק הלאומי.
  • יצרני מכשור רפואי צריכים להתחיל לשקול את האמצעים הארגוניים, הפיננסיים והטכניים שיידרשו כדי לעמוד בדרישות הקבועות בהוראת NIS 2.

 



יור מינימליסטי בסגנון שטוח על רקע קרם בהיר. במרכז מופיעים שני מגנים המשתלבים זה בזה:
By Ronit Sade July 3, 2026
אינטגרציה של ISO 27001 ו-ISO 42001 — המדריך המעשי לשילוב אבטחת מידע עם ממשל AI בארגון ישראלי. מה ניתן לאחד, מה חייב להישאר נפרד, וכיצד לחסוך 30% ממשאבי ההטמעה. רונית שדה יועצים בע"מ מסבירה.
Professional minimalist illustration for a blog post about the EUDAMED European medical device datab
By Ronit Sade June 25, 2026
מ-28 במאי 2026 EUDAMED הוא חובה ליצרני מכשור רפואי בשוק האירופי. צ'קליסט רישום מלא, הדדליין הקריטי הבא ב-28 בנובמבר, ומה קורה אם איחרתם.
Professional minimalist illustration for a blog post about ISO 42001 AI governance certification as
By Ronit Sade June 23, 2026
הסמכת ISO 42001 כבר מופיעה בדרישות RFP של 40% מהמכרזים לספקי AI באירופה. כך הופכים את תקן ממשל ה-AI מהוצאה רגולטורית למנוף מכירות שמנצח עסקאות.
גז רפואי תחת רגולציה GMP ו-GDP — מדריך ליצרנים, ממלאים ומפיצים
By Ronit Sade June 11, 2026
גז רפואי הוא תרופה לכל דבר. מה דורשים GMP ו-GDP מיצרנים, ממלאים ומפיצים בישראל — ואיך נערכים למבדק בלי הפתעות.
כמה עולה הסמכת ISO 13485 — מדריך עלויות ליצרני מכשור רפואי
By Ronit Sade June 6, 2026
כמה עולה הסמכת ISO 13485 בישראל? מה משפיע על העלות, איך לחסוך, ומתי שווה להביא יועץ. מדריך מעשי ליצרני מכשור רפואי.
רקע קרם בהיר בצבע המותג, במרכז סביבת עבודה רפואית-דיגיטלית עם מכשור רפואי מודרני ומסך בקרה. מעליהם ש
By Ronit Sade April 30, 2026
QMSR כבר בתוקף, ה-FDA עדכן את הנחיות הסייבר, וה-AI Act מתקרב. מה זה אומר ליצרנים, ליבואנים ולחברות דיגיטל הלת' שכבר עכשיו רוצות להיות מוכנות?
Professional minimalist illustration for a blog post about FDA QMSR inspections 2026.
Color palette:
By Ronit Sade April 23, 2026
ביום העצמאות 2026 שואלים: האם חברות מדטק ישראליות עצמאיות רגולטורית? QMSR שינה את הכללים — תעודת ISO 13485 כבר לא מספיקה. מדריך מעשי.
Professional minimalist illustration for a blog post about digital independence and information secu
By Ronit Sade April 18, 2026
תיקון 13 לחוק הגנת הפרטיות, תפוגת ISO 27001:2013, ואיומי סייבר מוגברים — 3 שינויים שמחייבים פעולה מיידית. מדריך מעשי מרונית שדה יועצים בע"מ.
ISO 13485 מול QMSR: טבלת השוואת הפערים המלאה לשנת 2026
By Ronit Sade April 9, 2026
: ISO 13485 מול QMSR — מדריך השוואה מקצועי לכל הפערים בין התקן הבינלאומי לרגולציית ה-FDA החדשה שנכנסה לתוקף בפברואר 2026. עם דוגמאות ופתרונות יישום. תשובה קצרה: QMSR של ה-FDA, שנכנס לתוקף ב-2 בפברואר 2026, מאמץ את ISO 13485:2016 בהפניה (by reference) אך מוסיף מעליו דרישות אמריקאיות ייחודיות. לכן תאימות מלאה ל-ISO 1348
clean geometric shapes, with a subtle abstract seder plate silhouette integrated as a circular frame
By Ronit Sade April 3, 2026
ניהול איכות תעשייתי מחייב עצירה לחשיבה אחת בשנה. ארבע שאלות מעשיות שמנהל איכות חייב לשאול את עצמו לפני חזרה לעבודה — ולמה פסח הוא הזמן הנכון לעשות זאת.