www.gamp-dach.de

GAMP® Konferenz Cyber Security

Programm - Donnerstag, 5. Dezember 2010 - 09.00-17.00 h

Hintergrund

Angriffsversuche auf produktionsnahe IT-Systeme sind tägliche Realität – mit einer eindeutigen Tendenz: steigend! Somit wächst die Bedeutung der IT-Sicherheit ständig. Definiert man die IT-Sicherheit für den pharmazeutischen Bereich als die Kombination aus Systemverfügbarkeit, Daten-Integrität und -Vertraulichkeit so ist eine Komponente – die Daten-Integrität – besonders fest im klassischen GMP-Regelwerk verankert. Dementsprechend hoch ist auch der etablierte Schutzaufwand in der pharmazeutischen Industrie. Der größte Teil der Qualifizierungs- und Validierungsideen, den auch GAMP beisteuert, dient schlussendlich der Datenintegrität.

Fehlende Systemverfügbarkeit oder eine Verletzung der Vertraulichkeit führen in der ganz überwiegenden Zahl der Fälle „nur “ zu einem wirtschaftlichen Risiko. Hier lässt der Gesetzgeber den meisten Unternehmen einen hohen Entscheidungsspielraum zwischen Risikoakzeptanz und Aufwand für mitigierende Maßnahmen. Für pharmazeutische Unternehmen, die zur kritischen Infrastruktur der Bundesrepublik Deutschland gehören, ist dieser Entscheidungsspielraum durch die Kritische- Infrastruktur-Verordnung jedoch seit dem 1. Juli 2017 deutlich eingeschränkt. Will ein Unternehmen sich den Themen Verfügbarkeit und Vertraulichkeit systematisch nähern, bieten sich klassische GMP-Werkzeuge an. Definiert man die Anforderungen an Verfügbarkeit und Vertraulichkeit in der URS, so ist das Risikomanagement das richtige Werkzeug um Risiken, Akzeptanzbereitschaft oder mitigierende Maßnahmen zu definieren und deren Abarbeitung zu verfolgen.

Härtung von Applikationen und Betriebssystemen sind dabei typische und wirkungsvolle Maßnahmen. Diese liegen aber zumeist nicht in den Händen der pharmazeutischen Unternehmen selbst. Hier sind sie auf Unterstützung der Zulieferer angewiesen. Daher widmet sich die Tagesveranstaltung auch diesem Spannungsfeld.

Zielgruppe

Verantwortliche aus der pharmazeutischen Industrie für ITSysteme, deren GMP-Compliance und Security. Entwickler und Entscheider der Gerätezulieferer für Produktion und Qualitätskontrolle.

Begrüßung/Einführung
Dr. Dirk Spingat, Bayer AG

2,5 Jahre Kritis-Verordnung Pharma- Was hat's gebracht und wie geht's weiter?

Spannungsfeld zwischen IT Sicherheit und GMP
Ulrike Reuter, Sanofi-Aventis Deutschland GmbH (SADG)

  • Umsetzung des B3S (Branchenspezifischer Sicherheitsstandard)
  • Umgang mit der ISO/IEC 27001
  • Umsetzung in der Praxis (Automatisierungssysteme und -netze)

2 Jahre BSI-KritisV in der Pharmabranche - Erste Erkenntnisse
Benjamin Honisch, Bundesamt für Sicherheit in der Informationstechnik (BSI)

  • Erfahrungen aus der Registrierung
  • Meldungen und Vorfälle
  • Nachweise: Eine erste Übersicht
  • Wie geht es mit der KRITIS-Regulierung weiter?

Sind KritiS und Cyber Security GMP-Themen?
Sicht der Überwachungsbehörde

Dr. Arno Terhechte, Bezirksregierung Münster

  • Rückblick und Hintergründe (MPG)
  • Digitalisierung im Pharmaumfeld
    • Anbindung von Ausrüstung aus Herstellung und Qualitätskontrolle an Netze
    • Nutzung von Cloud Lösungen
    • Personalisierte Medizin und Industrie 4.0
  • IT-Security als Themenkomplex im GMP Umfeld und bei Inspektionen
    • Infrastrukturqualifizierung
    • Change Management
    • Outsourcing
  • Beispiele und Erfahrungen aus der Praxis

Podiumsdiskussion

Cyber-Security - Wie schnell können sich die Kernapplikationen mitentwickeln?

Die Produktionsautomatisierung – Herausforderungen im Zeitalter von Digitalisierung, IoT & Co.
Jens Mehrfeld, Bundesamt für Sicherheit in der Informationstechnik (BSI)

  • Chancen und Risiken der Vernetzung
  • Abhängigkeiten und Gefahren in Wertschöpfungsnetzwerken
  • Lösungswege

MES - IT Security by Design; Erfahrungen aus der Entwicklung
André Kutzick, Werum IT Solutions GmbH

  • Aufbau eines IT Security Managements und einer sicheren Entwicklungspipeline
  • Angriffsziele und -vektoren
  • Definition von Security Controls und Schutzzielen
  • Training und Überwachung von Security Controls
  • Penetrationstests
  • Sichere Lieferprozesse
  • Anforderungen und Absicherung der Produktionsinfrastruktur

Sichere Laborgeräte - ein Traum?
Dr. Markus Dathe, F. Hoffmann-La Roche AG

  • Stand-Alone Laborsysteme - was tun?
  • Die Rolle des Lieferanten und Laborgeräte-Service
  • Betreiber und IT - wer macht was - darf er das?
  • Data Security und Data Integrity und Data Ownership

Podiumsdiskussion

Fazit und Verabschiedung
Dr. Dirk Spingat, Bayer AG