FDA om cybersikkerhedsrelateret indhold af præmarket-indsendelser

Indholdsfortegnelse

Den seneste version af dokumentet blev udgivet i oktober 2014. På grund af dens juridiske karakter indfører FDA-vejledningen ikke selv nogen krav, men giver yderligere præciseringer og anbefalinger, der skal overvejes af de involverede parter. Derudover oplyser agenturet, at en alternativ tilgang kan anvendes, forudsat at en sådan tilgang er i overensstemmelse med de respektive myndighedskrav og er godkendt af myndigheden på forhånd. FDA forbeholder sig også ret til at foretage ændringer i anbefalingerne deri, hvis det anses for rimeligt nødvendigt for at afspejle ændringer i den gældende lovgivning.

Lovgivningsmæssig baggrund 

Agenturet anerkender den stigende betydning af cybersikkerhedsspørgsmål i forbindelse med medicinsk udstyr, der markedsføres på det amerikanske marked. I dag kræver mere og mere medicinsk udstyr tilslutning til lokale og/eller globale netværk for at sikre deres normale drift. Talrige medicinske anordninger er også involveret i udvekslinger med patientrelaterede oplysninger, som er følsomme i sin natur. Det er derfor vigtigt at sikre, at brugen af ​​sådanne anordninger ikke resulterer i uberettigede risici for patienterne. For at hjælpe producenter af medicinsk udstyr og andre parter med at identificere potentielle risici forbundet med cybersikkerhedsproblemer, har FDA udsendt denne vejledning, der fremhæver de vigtigste aspekter, der skal tages i betragtning i alle faser af produktets livscyklus fra udvikling til post-marketing. vedligeholdelse. Dokumentet giver også yderligere præciseringer vedrørende de lovgivningsmæssige krav til de oplysninger, som producenterne af medicinsk udstyr skal give, når de ansøger om markedsføringsgodkendelse af deres produkter. 

Omfanget af denne FDA-vejledning dækker de oplysninger, der skal inkluderes i præmarket-indsendelser med hensyn til cybersikkerhedsrelaterede spørgsmål. Ifølge dokumentet Effektiv cybersikkerhedsstyring har til formål at reducere risikoen for patienter ved at mindske sandsynligheden for, at enhedens funktionalitet bevidst eller utilsigtet kompromitteres af utilstrækkelig cybersikkerhed. 

Anbefalingerne i vejledningen kan anvendes til sådanne typer af præmarket-indsendelser som:

For det første giver FDA definitionerne af de vigtigste termer og begreber, der bruges i forbindelse med cybersikkerhedsrelaterede spørgsmål, herunder følgende:

• Godkendelse - handlingen med at verificere identiteten af ​​en bruger, proces eller enhed som en forudsætning for at tillade adgang til enheden, dens data, information eller systemer.
• Cybersikkerhed - processen med at forhindre uautoriseret adgang, ændring, misbrug eller nægtelse af brug eller uautoriseret brug af information, der er lagret, tilgået eller overført fra et medicinsk udstyr til en ekstern modtager. 
• Kryptering – den kryptografiske transformation af data til en form, der skjuler dataens oprindelige betydning for at forhindre, at de bliver kendt eller brugt. 

Grundlæggende principper 

Vejledningen beskriver yderligere de generelle principper, som den nuværende reguleringstilgang er baseret på. Ifølge dokumentet bør fabrikanten af ​​medicinsk udstyr være ansvarlig for de foranstaltninger og kontroller, der er nødvendige for at sikre, at det medicinske udstyr opfylder de gældende lovkrav med hensyn til cybersikkerhed og fungerer på en sikker og effektiv måde. 

Myndigheden anerkender dog, at cybersikkerhed for medicinsk udstyr generelt bør være et fælles ansvar for alle involverede parter. Potentielle cybersikkerhedsproblemer kan påvirke den normale drift af en medicinsk enhed og resultere i tab af data eller endda skade forårsaget af patientens helbred. 

På grund af vigtigheden af ​​cybersikkerhedsspørgsmål bør de tages i betragtning af producenterne af medicinsk udstyr lige fra begyndelsen – startende fra den indledende udviklingsfase, da dette vil afbøde en sådan risiko mest effektivt. Styrelsen oplyser især, at fabrikanter bør etablere designinput til deres enhed relateret til cybersikkerhed og etablere en cybersikkerhedssårbarhed og -styringstilgang som en del af softwarevalideringen og risikoanalysen, der kræves i henhold til 21 CFR 820.30(g). 

Den tilgang til forvaltning af cybersikkerhed, der skal anvendes af fabrikanten af ​​medicinsk udstyr, skal omfatte følgende aspekter: 

• Identifikation af eksisterende og potentielle cybersikkerhedsproblemer og sårbarheder;
• Analyse af den indvirkning, som de førnævnte sårbarheder potentielt kan forårsage på selve enhedens drift, såvel som på patienternes sundhed og sikkerhed;
• Vurdering af den forventede sandsynlighed for problemer forbundet med sådanne sårbarheder;
• Identifikation af risikoniveauer, fastlæggelse af de strategier og tilgange, der kan anvendes for at mindske sådanne risici;
• Vurdering af resterende risici forbundet med cybersikkerhed, samt risikoacceptkriterier. 

Vigtige cybersikkerhedsfunktioner 

For at hjælpe producenter af medicinsk udstyr med at implementere principperne beskrevet ovenfor giver vejledningen anbefalinger vedrørende de særlige funktioner relateret til cybersikkerhed, nemlig:

• Identificere, 
• Beskytte,
• Opdage,
• Svar, og
• Gendanne.  

Dokumentet beskriver yderligere hver af disse funktioner i detaljer, og hvordan de skal implementeres af producenten af ​​medicinsk udstyr. 

1. Identificer og beskyt. Agenturet oplyser, at medicinsk udstyr, der kan tilsluttes andre enheder, lokale eller globale netværk eller endda medier, kræver mest opmærksomhed med hensyn til cybersikkerhed i modsætning til dem, der ikke er forbundet på nogen måde. De særlige cybersikkerhedsforanstaltninger og -kontroller, der skal anvendes, afhænger af adskillige faktorer, herunder den påtænkte brug af det pågældende medicinske udstyr, det miljø, det vil blive brugt i, og identificerede sårbarheder. Sandsynligheden for, at disse sårbarheder vil blive udnyttet, og de risici, der er forbundet hermed, herunder at forårsage potentiel skade på patienter, bør også overvejes. Samtidig skal producenten etablere en optimal balance mellem at sikre enhedens sikkerhed i forhold til cybersikkerhedsrelaterede forhold og produktets generelle anvendelighed. I denne sammenhæng opfordres producenter af medicinsk udstyr til at give en begrundelse for de sikkerhedsfunktioner, der er implementeret i deres produkter. 

2. Opdag, svar, gendan. Producenterne skal udvikle og indføre funktioner, der registrerer sikkerhedsproblemer, der finder sted, og giver alle nødvendige oplysninger til potentielle anvendelser. Sådanne oplysninger bør beskrive handlingerne i tilfælde af, at forskellige cybersikkerhedsproblemer opstår. Agenturet understreger desuden, at de funktioner, som producenten implementerer, bør være tilstrækkelige til at sikre normal drift af et medicinsk udstyr, selvom der opstår et cybersikkerhedsproblem. Bortset fra dette bør der være en teknisk mulighed for en godkendt privilegeret bruger til at gendanne enhedens konfiguration. 

Sammenfattende beskriver denne FDA-vejledning i detaljer de vigtigste aspekter, der skal tages i betragtning af producenter af medicinsk udstyr i forbindelse med cybersikkerhedsspørgsmål. Dokumentet skitserer producentens hovedansvar og giver nogle anbefalinger, der skal tages i betragtning i de forskellige stadier af en udviklingsproces for medicinsk udstyr. 

kilder:

https://www.fda.gov/media/86174/download 

Hvordan kan RegDesk hjælpe?

RegDesk er en næste generation af webbaseret software til virksomheder inden for medicinsk udstyr og IVD. Vores banebrydende platform bruger maskinlæring til at levere regulatorisk intelligens, applikationsforberedelse, indsendelse og godkendelsesstyring globalt. Vores kunder har også adgang til vores netværk af over 4000 overholdelseseksperter verden over for at få bekræftelse på kritiske spørgsmål. Ansøgninger, der normalt tager 6 måneder at forberede, kan nu forberedes inden for 6 dage ved hjælp af RegDesk Dash(TM). Global ekspansion har aldrig været så enkel.,