Přiznejme si to na rovinu. Většina vývojářů raději stráví víkend debugováním legacy kódu v assembleru, než aby psala dokumentaci pro auditory.
Je rok 2026. Cyber Resilience Act (CRA) je v platnosti, NIS2 jakbysmet. Tlak na bezpečnost a kvalitu kódu ve zdravotnictví je enormní. Pokud ale vaše strategie „compliance“ stále spoléhá na to, že seniorní vývojář týden před auditem přestane programovat a začne zběsile kopírovat texty do Wordu a vyplňovat Excelové tabulky, máte problém.
Nejenže je to drahé a demotivující. Ono je to hlavně nebezpečné. Dokumentace, která vzniká ex-post, neodráží realitu softwaru, je to jen divadlo pro auditora.
Náš lektor, Václav Vlček, který stojí rozkročený mezi světem medicíny a IT, prosazuje radikálně jiný přístup: Lean Compliance.
Konec „Traceability Matrix“ v Excelu
Norma IEC 62304 (životní cyklus softwaru zdravotnického prostředku) vyžaduje sledovatelnost (traceability). Musíte prokázat vazbu:
- Požadavek → Architektura → Kód → Test → Riziko
Dělat tohle ručně v Excelu je v době CI/CD pipelines šílenství. Jakmile změníte řádek kódu, váš Excel je zastaralý.
Řešení? Váš projektový nástroj (Jira) musí být zdrojem pravdy. V našem pojetí digitalizace vypadá workflow takto:
- Requirement je ticket v Jiře.
- Architektonický návrh je stránka v Confluence, přímo linkovaná na ticket.
- Kód (commit/pull request) je automaticky spárovaný s ticketem v Jiře (díky integraci s Bitbucket/GitLab).
- Testy běží v rámci CI/CD a výsledky se propisují zpět do Jiry jako důkaz verifikace.
Když přijde auditor, nehledáte šanony. Kliknete na tlačítko „Export“. Dokumentace se vygeneruje sama z živých dat. Vývojář píše kód, systém píše papíry.
SOUP: Strašák, který se dá zkrotit
Velkým tématem pro rok 2026 je Software of Unknown Provenance (SOUP) – tedy všechny knihovny a frameworky třetích stran. CRA nově přísně trestá zranitelnosti v dodavatelském řetězci.
Nemůžete ručně hlídat tisíce závislostí. Potřebujete automatizované skenování (SCA), které je napojené na váš Risk Management. V kurzech ukazujeme, jak nastavit Jiru tak, aby vás sama upozornila: „Pozor, v knihovně XY je nová CVE, automaticky zakládám ticket na posouzení rizika.“
Vývojář má tvořit, ne úřadovat
Zavedení automatizované compliance podle IEC 62304 není o byrokracii navíc. Je to o DevOps kultuře.
- Snižuje to „bus factor“ (když odejde klíčový člověk, know-how zůstává v systému).
- Zrychluje to onboarding nováčků.
- A hlavně: Umožňuje to vydávat bezpečný software rychleji, aniž byste se báli, že vás NÚKIB nebo auditor SUKLu zastaví.
Přestaňte se bát norem. Udělejte z nich součást svého CI/CD a nechte Jiru, ať dělá tu nudnou práci za vás.
Chcete vidět, jak to nastavit v praxi?
Neučte se teorii, podívejte se pod ruce expertům.
- Kurz: Vývoj SW pro zdravotnické prostředky v digitální éře – Kompletní návod, jak nastavit Jiru a Confluence pro soulad s IEC 62304. Žádné zbytečné papírování.
- Kurz: Workshop analýzy rizik (ISO 14971) – Jak propojit řízení rizik přímo s vývojem a nenechat se zahltit tabulkami.
