Wie man strenge Compliance-Vorschriften in der pharmazeutischen Produktion einhält

Die Regulierung im Pharmabereich stützt sich auf drei Grundpfeiler: maximale Systemverfügbarkeit, vertrauenswürdige Daten und schnelle Wiederherstellbarkeit. Mit der richtigen Strategie können Pharmahersteller alle diese Ziele erreichen.

OT-Systeme (Operational Technology) wie SCADA, Leitsysteme für die Fertigung, Reinraumsteuerungen, Umgebungsüberwachungssysteme und Automatisierungslösungen für Labore sind für die Aufrechterhaltung einer validierten, konformen und unterbrechungsfreien Produktion unerlässlich. Sollten diese Systeme einmal versagen, können die damit verbundenen Ausfallzeiten enorme finanzielle Kosten verursachen. Solche Ausfälle können zudem zu erheblichen Compliance-Strafen führen – und in schweren Fällen sogar Haftungsansprüche bedingen.

Um die geforderte Geschäftskontinuität und Einhaltung geltender Vorschriften zu gewährleisten, müssen Pharmahersteller heutzutage zahlreiche regulatorische Frameworks (wie GxP, FDA 21 CFR Part 11 oder die NIS-2-Richtlinie der EU) einhalten. Diese Vorschriften mögen sich in ihrem Geltungsbereich unterscheiden, doch sie teilen gemeinsame Anforderungen, wenn es darum geht, kritische Systeme zu schützen, die Datenintegrität zu gewährleisten und die Wiederherstellbarkeit sicherzustellen.

Für Pharmahersteller ist Compliance untrennbar mit der Aufrechterhaltung eines kontinuierlichen, validierten Betriebs verbunden.

Die Regulierungsbehörden haben erkannt, dass Produktionsunterbrechungen Ursachen haben, die über Geräteausfälle oder menschliches Versagen hinausgehen. Cyber-Angriffe, Ransomware, Kompromittierung der Lieferkette und Naturkatastrophen gefährden die Produktionskontinuität und damit die Produktqualität sowie letztendlich auch die Patientensicherheit.

Pharmazeutische OT-Umgebungen stellen besondere Herausforderungen dar, weil viele Systeme:

• Mit älteren Betriebssystemen laufen, die die Hersteller nicht ohne erneute Validierung einfach aktualisieren können.
• Aufgrund von Herstellerbeschränkungen oder veralteten Architekturen nur schwer oder gar nicht mit modernen EDR-Tools (Endpoint Detection & Response) abgesichert werden können.
• In entfernten, per „Air Gap“ isolierten oder stark segmentierten Netzwerken betrieben werden, oft ohne speziellen IT-Support vor Ort.
• Von hochspezialisierten, zertifizierten Applikationen abhängig sind, die keine Ausfallzeiten, Neuinstallationen oder unerwartete Konfigurationsänderungen vertragen.

Diese Faktoren machen die Wiederherstellungsbereitschaft zu einer entscheidenden regulatorischen und operativen Kontrollmaßnahme. Ältere OT-Systeme werden irgendwann nicht mehr vom Hersteller unterstützt, was die entsprechenden IT-Teams dazu zwingt, auf manuelle, fehleranfällige Backup-Prozesse zurückzugreifen, die manchmal sogar Stillstandzeiten erfordern und zusätzliche Risiken mit sich bringen können.

Mit einer soliden Cyber-Resilienz-Strategie können Hersteller einen Ausgleich zwischen betrieblicher Verfügbarkeit und der Einhaltung gesetzlicher Compliance-Vorgaben finden. Um dieses Ziel zu erreichen, sollten sie sich jedoch mit den wichtigsten Compliance-Anforderungen bestens auskennen.

Diese Frameworks stammen zwar aus verschiedenen Ländern bzw. von verschiedenen Aufsichtsbehörden, teilen aber einige zentrale Compliance-Grundsätze:

• GxP legt den Schwerpunkt darauf, dass regulierte Daten während ihres gesamten Lebenszyklus korrekt, vollständig und geschützt sein müssen.
• FDA 21 CFR Part 11 sorgt insbesondere dafür, dass elektronische Aufzeichnungen und Signaturen vertrauenswürdig und gleichwertig zu Papierdokumenten sind sowie auf validierten Systemen basieren.
• NIS 2 verpflichtet Unternehmen dazu, Cyber Security-Risiken zu kontrollieren und kritische Informationssysteme angemessen zu schützen.

In jedem Fall müssen Hersteller nachweisen, dass die entsprechenden Datensätze bei Vorfällen vor Verlust, Veränderung oder Vernichtung geschützt sind.

Die Verfügbarkeit der Produktionsanlagen ist also eng mit der Patientensicherheit, der Produktqualität und der Einhaltung gesetzlicher Vorschriften verbunden. Ausfallzeiten können dazu führen, dass Aufträge nicht abgewickelt werden, der Ruf des Unternehmens beschädigt wird und Strafen wegen nicht erfüllter Resilienzanforderungen verhängt werden. Zuverlässige Backups und schnelle Wiederherstellungsfähigkeiten sind daher grundlegende Maßnahmen, um die Geschäftskontinuität zu gewährleisten.

Jede Vorschrift verlangt von Unternehmen den Nachweis folgender Punkte:

• Dokumentierte Prozesse.
• Zugriffskontrollen für die Systeme.
• Zuverlässige Wiederherstellungprozeduren.
• Nachweis der Compliance bei Inspektionen oder Audits.

Lösungen zur Cyber-Resilienz müssen diese Audit-Anforderungen mit automatisierbaren Prozessen, ausführlicher Protokollierung und zuverlässigen, überprüfbaren Wiederherstellungen unterstützen.

Je besser Hersteller die Unterschiede zwischen den Compliance-Anforderungen verstehen, desto besser können sie die passenden Kontrollmaßnahmen auf die jeweiligen regulatorischen Vorgaben abstimmen.

GxP ist ein breit gefasstes Regelwerk, das gute Herstellungspraxis, gute Laborpraxis und andere Konzepte umfasst. Es gilt weltweit für alle regulierten Life-Sciences-Branchen. Im Mittelpunkt stehen dabei die Produktqualität, die Patientensicherheit, validierte Prozesse sowie die Datenintegrität bei Herstellungs-, Labor- und Vertriebssystemen.

Part 11 ist eine US-amerikanische Vorschrift, die den Einsatz elektronischer Systeme für regulierte Dokumentationen regelt. Dazu sind folgende Kontrollmaßnahmen erforderlich:

• Sichere Aufbewahrung von Unterlagen
• Audit-Trails
• Zugriffsverwaltung

Dass die Backups von elektronischen Systemen und deren Wiederherstellung zuverlässig validiert werden können, ist entscheidend dafür, dass die entsprechende Datensätze verfügbar und manipulationssicher bleiben.

NIS 2 ist eine europäische Richtlinie, die darauf ausgerichtet ist, die Cybersicherheit für systemrelevante und wichtige Einrichtungen (wie das Gesundheitswesen und pharmazeutische Lieferketten) zu verbessern.

Die Verordnung legt besonderen Wert auf:

• Vorfallreaktionen
• Geschäftskontinuität
• Governance von Cyber-Risiken
• Berichtspflichten

NIS 2 weitet die Verantwortung für die Cyber-Resilienz auf die Führungsebene aus, indem es klare Verantwortlichkeiten auf der Führungsebene vorschreibt.

Acronis Cyber Protect für OT-Umgebungen ist darauf ausgelegt, pharmazeutische Produktionseinrichtungen zu schützen, in denen Faktoren wie Ausfallsicherheit, Kompatibilität mit älteren Betriebssystemen und zuverlässige Wiederherstellungen von zentraler Bedeutung sind. Hersteller können die sogennanten drei Säulen der pharmazeutischen Regulierung umsetzen und die geltenden Compliance-Vorschriften einhalten, indem sie die speziell für hochregulierte Branchen entwickelten Lösungen von Acronis einsetzen.

Backups ohne Unterbrechung des Produktionsbetriebs: Über die lokale Management-Konsole von Acronis können Backup-Agenten so ausgeführt werden, dass die OT-Systeme ohne Offline-Zeiten gesichert werden können. Dadurch wird ein kontinuierlicher Betrieb gewährleistet, ohne dass bei der Sicherheit Abstriche gemacht werden müssen.

Schutz für Altsysteme, die in pharmazeutischen OT-Umgebungen noch weit verbreitet sind: Viele pharmazeutische OT-Systeme laufen nach wie vor mit älteren Betriebssystemen. Acronis kann Betriebssysteme von der Windows XP-Ära bis hin zu modernen Plattformen schützen. Dadurch wird sichergestellt, dass OT-Systeme selbst dann noch wiederherstellbar bleiben, wenn andere Anbieter diese Systeme längst nicht mehr unterstützen. Die Bare-Metal-Recovery-Funktionalität sorgt dafür, dass Systeme auch auf neuerer Hardware wiederhergestellt werden können, weil dabei alle erforderlichen Treiber automatisch installiert werden. Dadurch wird die Betriebskontinuität von Systemen und Applikationen zusätzlich gewährleistet.

Für alle Betriebsanlagen: Pharmazeutische Produktionsstätten sind häufig per Air-Gap-Isolierung abgesichert und verfügen über keinen eigenen lokalen IT-Support. Dank der One-Click Recovery-Funktionalität von Acronis können auch normale Mitarbeiter:innen vor Ort, die über keine besonderen IT-Kenntnisse verfügen, ein ausgefallenes OT-System innerhalb weniger Minuten aus einem Backup wiederherstellen (egal, ob dieses lokal oder in der Acronis Cloud gespeichert ist). Diese Fähigkeit unterstützt die NIS 2-Vorgaben zur Geschäftskontinuität und hilft dabei, die Verfügbarkeit von regulierten Produktionsumgebungen zu gewährleisten.

Schnelle, automatisierte Wiederherstellungen in OT-Umgebungen: Die automatisierte Ausführung von Backups verringert den Overhead auf den OT-Systemen und hilft dabei, Schutzpläne standortübergreifend zu standardisieren. Dies ist entscheidend, um die Resilienz-Anforderungen gemäß NIS 2 zu erfüllen und validierte Wiederherstellungen gemäß GxP, FDA 21 CFR Part 11 und NIS 2 sicherzustellen.

Integrierte Cyber Security zur Stärkung der Resilienz: Dank dem singulären, ressourcenschonenden Acronis Agenten können die Hersteller auch vom integrierten Malware- und Ransomware-Schutz profitieren, um ihre OT-Systeme gegen moderne Bedrohungen abzusichern. Was die Compliance-Bereitschaft zusätzlich erhöht.

Cyber-Resilienz erfordert nicht nur starke Wiederherstellungsfähigkeiten, sondern auch ein hohes Vertrauen in die Sicherheit der Software-Lieferkette. Acronis verfügt eine Zertifizierung nach IEC 62443-4-1, da das Unternehmen sichere Software-Entwicklungsverfahren einsetzt, die die branchenüblichen Cyber Security-Standards erfüllen.

Für Pharmahersteller mit kritischen OT-Umgebungen bietet diese Zertifizierung die Gewissheit, dass die Resilienz-Steuerungen von Acronis auf der Grundlage sicherer Ingenieurpraktiken entwickelt wurden.

GxP, FDA 21 CFR Part 11 und NIS 2 verlangen von Pharmaherstellern, dass sie Folgendes gewährleisten:

• Datenintegrität.
• Kontinuierliche Betriebsbereitschaft.
• Schnelle Wiederherstellbarkeit.
• Dokumentierbare Kontrollmaßnahmen und Audit-Fähigkeit.

Mit Acronis Cyber Protect für OT-Umgebungen können Hersteller diese Anforderungen erfüllen – dank speziell entwickelter Backup & Recovery-Funktionalitäten für OT-Systeme (auch mit älteren Betriebssystemen), Air-Gap-Umgebungen und Produktionsumgebungen mit hohen Verfügbarkeitsanforderungen.

Die Einhaltung von Compliance-Vorschriften in der Herstellung von Arzneimitteln und Medizinprodukten ist mittlerweile untrennbar mit dem Thema Cyber-Resilienz verbunden. Erfahren Sie, wie Acronis Ihnen dabei helfen kann, kritische OT-Systeme zu schützen und globale Compliance-Anforderungen zu erfüllen. Entdecken Sie Acronis Cyber Protect für OT-Umgebungen als optimale Backup-Lösung für die Pharma- und Life-Science-Branche.