Nye cybersikkerhedskrav i USA

Cybersikkerhed er en nøgleovervejelse i dagens marked for producenter af medicinsk udstyr og andre industrier. Jeg har tidligere skrevet om FDAs forventninger til cybersikkerhedsdokumentation for indsendelser af medicinsk udstyr og talt om dette emne på Medical Device Playbook Toronto.

For nylig blev vi opmærksomme på nye cybersikkerhedskrav, der træder i kraft i USA for medicinsk udstyr, der betragtes som "cyberenheder". Den amerikanske regering definerer en cyberenhed, en enhed, der:

• omfatter software valideret, installeret eller godkendt af sponsoren som en enhed eller i en enhed;
• har mulighed for at oprette forbindelse til internettet;
• indeholder sådanne teknologiske egenskaber, der er valideret, installeret eller godkendt af sponsoren, og som kan være sårbare over for cybersikkerhedstrusler.

Dette er så meget desto mere interessant, da disse nye krav endnu ikke er blevet kommunikeret direkte fra FDA eller bredt diskuteret i branchenyhederne. Jeg ønskede at dele denne information med vores læsere, så du også kan være opmærksom på den og proaktivt forberede dig på denne ændring.

For dem i industrien, der i øjeblikket forbereder indlæg, er dette et varmt emne. Du vil gerne sikre dig, at den rigtige dokumentation genereres og leveres som en del af indsendelsen for at undgå anmodninger om yderligere oplysninger og forsinkelser i indsendelsesprocessen.

Nye krav

Den 21. december 2022 godkendte den amerikanske regering et omnibuslovforslag¹ ("Lov om konsoliderede bevillinger, 2023”), som overvejende handlede om at sikre finansiering til statslige aktiviteter frem til september 2023, men som også omfatter et underafsnit, der omhandler FDA’s kontrol med medicinsk udstyrs cybersikkerhed.

Dette lovforslag omfatter svimlende 4,155 sider, og skjult blandt dem, på side 3,537, er sektionen af ​​nøgleinteresse, som identificerer et sæt cybersikkerhedskrav, som regeringen forventer at modtage fra enhver, der indsender en ansøgning eller indsendelse i henhold til afsnit 510(k) , 513, 515(c), 515(f) eller 520(m) i forhold til Food, Drugs and Cosmetics Act. Det betyder, at enhver, der indsender et medicinsk udstyr til godkendelse eller godkendelse i henhold til IDE-, 510(k), De Novo- eller PMA-vejene, nu skal angive følgende:

• (b) CYBERSIKKERHEDSKRAV—Sponsoren af ​​en ansøgning eller indsendelse beskrevet i underafsnit 3
  • (a) skal—
    • (1) forelægge sekretæren en plan for at overvåge, identificere og adressere, hvor det er relevant, inden for en rimelig tid, postmarket cybersikkerhedssårbarheder og udnyttelser, herunder koordineret afsløring af sårbarheder og relaterede procedurer;
    • (2) designe, udvikle og vedligeholde processer og procedurer for at give en rimelig sikkerhed for, at enheden og de relaterede systemer er cybersikre, og stille opdateringer og programrettelser til enheden og relaterede systemer til rådighed efter markedet for at adressere—
      • (A) på en rimeligt begrundet regelmæssig cyklus, kendte uacceptable sårbarheder; og
      • (B) så hurtigt som muligt ud af cyklus, kritiske sårbarheder, der kan forårsage ukontrollerede risici;
    • (3) forsyne sekretæren med en softwareliste, herunder kommercielle, open source- og hyldevarekomponenter; og
    • (4) overholde sådanne andre krav, som sekretæren måtte kræve gennem regulering for at demonstrere rimelig sikkerhed for, at enheden og relaterede systemer er cybersikre.

Det står også, at disse yderligere krav vil træde i kraft 90 dage fra datoen for vedtagelsen af ​​denne lov, som sætter overholdelsesdatoen til den 21. marts 2023.

Modstridende oplysninger:

I øjeblikket, som beskrevet i vores hvidbog FDA Cybersecurity Draft Guidance, er den gældende endelige vejledning fra FDA skitseret i Indhold af præmarket-indsendelser til styring af cybersikkerhed i medicinsk udstyr dateret 2014. Men i 2022 offentliggjorde FDA et opdateret udkast til vejledning, Cybersikkerhed i medicinsk udstyr: Kvalitetssystemovervejelser og indhold af præmarket-indsendelser, som markant udvider forventningen til cybersikkerhedsaktiviteter og dokumentation. 2022-versionen forstås som den nuværende tankegang om dette emne fra FDA, mens den endelige vejledning fra 2014 er den, der i øjeblikket er i kraft og er under håndhævelse.

FDA bekræftede, at de har til hensigt at færdiggøre 2022-udkastet til retningslinjer i år, da de kommunikerede deres målvejledninger til prioritering i 2023 (CDRH foreslåede retningslinjer for regnskabsåret 2023 (FY2023) | FDA), men vi har endnu ikke set nogen specifikke udgivelsesdatoer eller detaljer om omfanget af redigeringerne, eller hvordan den endelige vejledning vil blive revideret i forhold til 2022-udkastet.

Forpligtelserne skitseret i omnibus-lovforslaget falder halvvejs mellem 2014- og 2022-versionerne af vejledningen, hvor forpligtelserne udvides fra dem, der i øjeblikket er under håndhævelse, men ikke så omfattende som dem, der er skitseret i 2022-udkastet.

Post-marketing-planen og processerne og procedureaspekterne er delvist dækket af den nuværende endelige vejledning, men ikke eksplicit ord for ord. Tilføjelsen af ​​en softwareliste (sBOM'er) er ny i den nuværende endelige vejledning, men er dækket af 2022-udkastet til vejledning. Det sidste krav ser ud til at være en samlet erklæring, der giver FDA og relevante statslige organer mulighed for at tilpasse sig bedste praksis efter behov.

FDA anbefaler brug af eSTAR-pakken til indsendelser for at sikre, at det korrekte indhold leveres. Den nuværende skabelon, version 2-2, anmoder kun om følgende dokumenter i relation til cybersikkerhed: risikostyringsfil(er), cybersikkerhedsstyringsplan eller -plan for fortsat support og en henvisning til cybersikkerhedsindhold i mærkningen. Vi bør forvente, at denne skabelon bliver opdateret, så den afspejler eventuelle yderligere krav.

Lovforslaget nævner udtrykkeligt vejledningen med titlen ''Indhold af præmarket-indsendelser til styring af cybersikkerhed i medicinsk udstyr'' (eller et efterfølgerdokument) og FDA's forpligtelser til at gennemgå det og holde det opdateret med feedback fra "enhedsproducenter, sundhed plejeudbydere, tredjeparts-enhedsserviceudbydere, patientadvokater og andre relevante interessenter." Men fristen på dette aspekt af lovforslaget er senest to år, hvilket er i modstrid med 90 dages forventningen.

Resterende spørgsmål:

Det er her, vi kommer til problemets kerne, hvordan reagerer industrien på disse modstridende krav?

Lovforslaget fastslår, at FDA skal stille ressourcer til rådighed senest 180 dage efter lovens ikrafttræden, herunder opdatering af FDAs hjemmeside om cybersikkerhed. Men igen, dette kommer efter deadline for industrien.

Vi bliver nødt til at vente på, hvornår dette bliver officielt kommunikeret til industrien enten ved en opdatering af vejledningen eller på anden måde. Forhåbentlig sker dette snart for at skabe klarhed omkring disse forventninger.

¹ An omnibusregning er et foreslået lov der dækker en række forskellige eller ikke-relaterede emner Omnibus-regning – Wikipedia

Billede: CanStock Foto

Helen Simons er en Kvalitetssikring Manager hos StarFish Medical. Helens uddannelse er i maskinteknik med en baggrund for produktudvikling og QMS-udvikling på tværs af flere industrier med forbruger- og industriprodukter til medicinsk udstyr, IVD og kombinationsudstyr.



---

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
• Kilde: https://starfishmedical.com/blog/new-cybersecurity-requirements-in-the-us/