মার্কিন যুক্তরাষ্ট্রে নতুন সাইবার নিরাপত্তা প্রয়োজনীয়তা

মেডিকেল ডিভাইস নির্মাতা এবং অন্যান্য শিল্পের জন্য আজকের বাজারে সাইবার নিরাপত্তা একটি মূল বিবেচ্য বিষয়। আমি পূর্বে সম্পর্কে লিখেছি সাইবার সিকিউরিটি ডকুমেন্টেশনের জন্য এফডিএর প্রত্যাশা মেডিকেল ডিভাইস জমা দেওয়ার জন্য, এবং মেডিকেল ডিভাইস প্লেবুক টরন্টোতে এই বিষয়ে কথা বলা হয়েছে।

সম্প্রতি, আমরা নতুন সাইবার নিরাপত্তা প্রয়োজনীয়তা সম্পর্কে সচেতন হয়েছি যা মার্কিন যুক্তরাষ্ট্রে "সাইবার ডিভাইস" হিসাবে বিবেচিত মেডিকেল ডিভাইসগুলির জন্য কার্যকর হচ্ছে৷ মার্কিন সরকার একটি সাইবার ডিভাইস সংজ্ঞায়িত করে, একটি ডিভাইস যা:

• একটি ডিভাইস হিসাবে বা একটি ডিভাইসে স্পনসর দ্বারা যাচাইকৃত, ইনস্টল করা বা অনুমোদিত সফ্টওয়্যার অন্তর্ভুক্ত;
• ইন্টারনেটের সাথে সংযোগ করার ক্ষমতা আছে;
• সাইবার নিরাপত্তা হুমকির জন্য ঝুঁকিপূর্ণ হতে পারে এমন কোনো প্রযুক্তিগত বৈশিষ্ট্য রয়েছে যা স্পনসর দ্বারা বৈধ, ইনস্টল করা বা অনুমোদিত।

এটি আরও আকর্ষণীয় কারণ এই নতুন প্রয়োজনীয়তাগুলি এখনও এফডিএ থেকে সরাসরি যোগাযোগ করা হয়নি বা শিল্প সংবাদের মধ্যে ব্যাপকভাবে আলোচনা করা হয়নি। আমি আমাদের পাঠকদের সাথে এই তথ্যটি শেয়ার করতে চেয়েছিলাম যাতে আপনিও এটি সম্পর্কে সচেতন হতে পারেন এবং এই পরিবর্তনের জন্য সক্রিয়ভাবে প্রস্তুত হতে পারেন।

শিল্পে যারা বর্তমানে জমা দেওয়ার প্রস্তুতি নিচ্ছেন, এটি একটি আলোচিত বিষয়। আপনি নিশ্চিত করতে চাইবেন যে সঠিক ডকুমেন্টেশন তৈরি হয়েছে এবং জমা দেওয়ার অংশ হিসাবে অতিরিক্ত তথ্যের অনুরোধ এবং জমা প্রক্রিয়ায় বিলম্ব এড়াতে সরবরাহ করা হয়েছে।

নতুন প্রয়োজনীয়তা

21 ডিসেম্বর, 2022-এ, মার্কিন সরকার একটি সর্বজনীন বিল অনুমোদন করে¹ ("একীভূত বরাদ্দ আইন, ২০২১”), যা মূলত সেপ্টেম্বর 2023 পর্যন্ত সরকারি কার্যক্রমের জন্য তহবিল নিশ্চিত করার বিষয়ে ছিল, তবে এতে FDA-এর মেডিকেল ডিভাইস সাইবার সিকিউরিটি নিয়ন্ত্রণের বিষয়ে একটি উপধারাও অন্তর্ভুক্ত রয়েছে।

এই বিলটি একটি বিস্ময়কর 4,155 পৃষ্ঠা নিয়ে গঠিত, এবং তাদের মধ্যে লুকিয়ে আছে, 3,537 পৃষ্ঠায়, মূল আগ্রহের বিভাগ, যা সাইবার নিরাপত্তা প্রয়োজনীয়তার একটি সেট চিহ্নিত করে, সরকার 510(k) ধারার অধীনে একটি আবেদন বা জমা দেওয়া যে কেউ তার কাছ থেকে পাওয়ার আশা করে। , 513, 515(c), 515(f), বা 520(m) খাদ্য, ওষুধ ও প্রসাধনী আইনের সাথে সম্পর্কিত। এর মানে হল যে যে কেউ IDE, 510(k), De Novo বা PMA পাথওয়ের অধীনে অনুমোদন বা ক্লিয়ারেন্সের জন্য একটি মেডিকেল ডিভাইস জমা দিচ্ছেন তাদের এখন নিম্নলিখিতগুলি প্রদান করতে হবে:

• (b) সাইবার নিরাপত্তার প্রয়োজনীয়তা - উপধারা 3 এ বর্ণিত একটি আবেদন বা জমা দেওয়ার স্পনসর
  • (ক) হবে-
    • (1) সমন্বিত দুর্বলতা প্রকাশ এবং সম্পর্কিত পদ্ধতি সহ, একটি যুক্তিসঙ্গত সময়ে, পোস্টমার্কেট সাইবারসিকিউরিটি দুর্বলতা এবং শোষণগুলি নিরীক্ষণ, সনাক্তকরণ এবং যথাযথভাবে মোকাবেলার জন্য সচিবের কাছে একটি পরিকল্পনা জমা দিন;
    • (2) ডিভাইস এবং সম্পর্কিত সিস্টেমগুলি সাইবারসিকিউর যে যুক্তিসঙ্গত নিশ্চয়তা প্রদানের জন্য প্রক্রিয়া এবং পদ্ধতিগুলি ডিজাইন, বিকাশ এবং বজায় রাখা, এবং ডিভাইস এবং সংশ্লিষ্ট সিস্টেমগুলিতে পোস্টমার্কেট আপডেট এবং প্যাচগুলি উপলব্ধ করা
      • (ক) যুক্তিসঙ্গতভাবে ন্যায্য নিয়মিত চক্রে, পরিচিত অগ্রহণযোগ্য দুর্বলতা; এবং
      • (খ) যত তাড়াতাড়ি সম্ভব চক্রের বাইরে, গুরুতর দুর্বলতা যা অনিয়ন্ত্রিত ঝুঁকির কারণ হতে পারে;
    • (3) সচিবকে বাণিজ্যিক, ওপেন সোর্স এবং অফ-দ্য-শেল্ফ সফ্টওয়্যার উপাদান সহ সামগ্রীর একটি সফ্টওয়্যার বিল সরবরাহ করুন; এবং
    • (4) ডিভাইস এবং সম্পর্কিত সিস্টেমগুলি সাইবারসিকিউর যে যুক্তিসঙ্গত নিশ্চয়তা প্রদর্শনের জন্য প্রবিধানের মাধ্যমে সচিবের প্রয়োজন হতে পারে এমন অন্যান্য প্রয়োজনীয়তাগুলি মেনে চলুন।

এটি আরও বলে যে এই অতিরিক্ত প্রয়োজনীয়তাগুলি কার্যকর হবে৷ 90 দিন এই আইন কার্যকর হওয়ার তারিখ থেকে, যা 21 মার্চ, 2023-এ সম্মতির তারিখ রাখে।

পরস্পরবিরোধী তথ্য:

বর্তমানে, আমাদের শ্বেতপত্রে বিশদ হিসাবে এফডিএ সাইবার নিরাপত্তা খসড়া নির্দেশিকা, FDA থেকে প্রযোজ্য চূড়ান্ত নির্দেশিকা এর রূপরেখা দেওয়া হয়েছে মেডিকেল ডিভাইসে সাইবার সিকিউরিটি পরিচালনার জন্য প্রিমার্কেট জমা দেওয়ার বিষয়বস্তু তারিখ 2014। যাইহোক, 2022 সালে, FDA একটি আপডেট করা খসড়া নির্দেশিকা প্রকাশ করেছে, মেডিকেল ডিভাইসে সাইবারসিকিউরিটি: প্রিমার্কেট জমা দেওয়ার মান ব্যবস্থার বিবেচনা এবং বিষয়বস্তু, যা সাইবার নিরাপত্তা ক্রিয়াকলাপ এবং ডকুমেন্টেশনের প্রত্যাশাকে উল্লেখযোগ্যভাবে প্রসারিত করে। 2022 সংস্করণটি এফডিএ থেকে এই বিষয়ে বর্তমান চিন্তাভাবনা বলে বোঝা যায়, যখন 2014 সালের চূড়ান্ত নির্দেশিকাটি বর্তমানে কার্যকর এবং প্রয়োগের অধীনে রয়েছে।

এফডিএ নিশ্চিত করেছে যে তারা এই বছর 2022 খসড়া নির্দেশিকা চূড়ান্ত করতে চাইছে যখন তারা তাদের লক্ষ্য নির্দেশিকাগুলিকে 2023 সালে অগ্রাধিকার দেওয়ার জন্য যোগাযোগ করেছিল (CDRH অর্থবছর 2023 (FY2023) এর জন্য প্রস্তাবিত নির্দেশিকা | এফডিএ), তবে আমরা এখনও কোনো নির্দিষ্ট প্রকাশনার তারিখ বা সম্পাদনার পরিমাণ বা 2022 খসড়ার তুলনায় চূড়ান্ত নির্দেশিকা কীভাবে সংশোধন করা হবে সে সম্পর্কে বিশদ দেখতে পাইনি।

সর্বজনীন বিলে বর্ণিত বাধ্যবাধকতাগুলি নির্দেশিকাটির 2014 এবং 2022 সংস্করণগুলির মধ্যে অর্ধেক পথ পড়ে, বাধ্যবাধকতাগুলি বর্তমানে প্রয়োগের অধীনে থাকা ব্যক্তিদের থেকে প্রসারিত করা হয়েছে তবে 2022 খসড়ায় বর্ণিত হিসাবে বিস্তৃতভাবে নয়৷

বাজার-পরবর্তী পরিকল্পনা এবং প্রক্রিয়া এবং পদ্ধতির দিকগুলি আংশিকভাবে বর্তমান চূড়ান্ত নির্দেশিকা দ্বারা আচ্ছাদিত কিন্তু স্পষ্টভাবে শব্দের জন্য শব্দ নয়। একটি সফ্টওয়্যার বিল অফ ম্যাটেরিয়াল (sBOMs) যুক্ত করা বর্তমান চূড়ান্ত নির্দেশিকাতে নতুন তবে 2022 খসড়া নির্দেশিকাতে অন্তর্ভুক্ত রয়েছে। শেষ প্রয়োজনীয়তাটি এফডিএ এবং প্রাসঙ্গিক সরকারী সংস্থাগুলিকে প্রয়োজন অনুসারে সর্বোত্তম অনুশীলনের সাথে খাপ খাইয়ে নেওয়ার অনুমতি দেয় এমন একটি ক্যাচ-অল স্টেটমেন্ট বলে মনে হচ্ছে।

FDA সঠিক বিষয়বস্তু প্রদান করা হয়েছে তা নিশ্চিত করতে জমা দেওয়ার জন্য eSTAR প্যাকেজ ব্যবহার করার সুপারিশ করে। বর্তমান টেমপ্লেট, সংস্করণ 2-2, শুধুমাত্র সাইবার নিরাপত্তা সম্পর্কিত নিম্নলিখিত নথিগুলির অনুরোধ করে: ঝুঁকি ব্যবস্থাপনা ফাইল(গুলি), সাইবার নিরাপত্তা ব্যবস্থাপনা পরিকল্পনা বা অব্যাহত সমর্থনের জন্য পরিকল্পনা, এবং লেবেলিংয়ের মধ্যে সাইবার নিরাপত্তা বিষয়বস্তুর একটি রেফারেন্স৷ আমাদের আশা করা উচিত যে এই টেমপ্লেটটি কোনো অতিরিক্ত প্রয়োজনীয়তা প্রতিফলিত করার জন্য আপডেট করা হবে।

বিলে স্পষ্টভাবে "চিকিৎসা ডিভাইসে সাইবারসিকিউরিটি ম্যানেজমেন্টের জন্য প্রিমার্কেট জমা দেওয়ার বিষয়বস্তু" (বা একটি উত্তরসূরি নথি) শিরোনামের নির্দেশিকা এবং এটি পর্যালোচনা করার এবং "ডিভাইস নির্মাতাদের, স্বাস্থ্যের কাছ থেকে প্রতিক্রিয়া সহ এটিকে আপ টু ডেট রাখার জন্য এফডিএর বাধ্যবাধকতা" উল্লেখ করা হয়েছে। যত্ন প্রদানকারী, থার্ড-পার্টি-ডিভাইস সার্ভিসার, রোগীর উকিল এবং অন্যান্য উপযুক্ত স্টেকহোল্ডাররা।" কিন্তু বিলের এই দিকটির সময়সীমা দুই বছরের বেশি নয় যা 90 দিনের প্রত্যাশার সাথে সাংঘর্ষিক।

অবশিষ্ট প্রশ্ন:

এখানেই আমরা সমস্যার মূলে আসি, শিল্প কীভাবে এই বিরোধপূর্ণ প্রয়োজনীয়তার প্রতি সাড়া দেয়?

বিলে বলা হয়েছে যে আইনটি কার্যকর হওয়ার 180 দিনের মধ্যে FDA-কে সংস্থান সরবরাহ করা উচিত, যার মধ্যে সাইবার নিরাপত্তা সংক্রান্ত FDA-এর ওয়েবসাইট আপডেট করা সহ। কিন্তু আবার, এটি শিল্পের জন্য সময়সীমার পরে আসে।

নির্দেশিকা বা অন্যান্য উপায়ে আপডেটের মাধ্যমে কখন এটি আনুষ্ঠানিকভাবে শিল্পের সাথে যোগাযোগ করা হবে তা দেখার জন্য আমাদের অপেক্ষা করতে হবে। আশা করি এই প্রত্যাশাগুলি সম্পর্কে স্পষ্টতা আনতে শীঘ্রই এটি ঘটবে।

¹ An সর্বজনীন বিল একটি প্রস্তাবিত আইন যেটি বিভিন্ন বা অসংলগ্ন বিষয় কভার করে অমনিবাস বিল – উইকিপিডিয়া

চিত্র: ছবি স্টক করতে পারেন

হেলেন সিমন্স ইহা একটি গুণগত মান স্টারফিশ মেডিকেলের ব্যবস্থাপক। হেলেনের শিক্ষা মেকানিক্যাল ইঞ্জিনিয়ারিং-এ রয়েছে, যেখানে পণ্যের বিকাশ এবং কিউএমএস বিকাশের পটভূমি রয়েছে একাধিক শিল্পে ভোক্তা এবং শিল্প পণ্য থেকে চিকিৎসা ডিভাইস, আইভিডি এবং সংমিশ্রণ ডিভাইসে।



---

• এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
• প্লেটোব্লকচেন। Web3 মেটাভার্স ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
• উত্স: https://starfishmedical.com/blog/new-cybersecurity-requirements-in-the-us/