FDA zu Cybersicherheitsbezogenen Inhalten von Premarket-Einreichungen

Inhaltsverzeichnis

Die neueste Version des Dokuments wurde im Oktober 2014 herausgegeben. Aufgrund ihres rechtlichen Charakters stellt die FDA-Leitlinie selbst keine Anforderungen vor, sondern bietet zusätzliche Klarstellungen und Empfehlungen, die von den beteiligten Parteien berücksichtigt werden müssen. Darüber hinaus gibt die Agentur an, dass ein alternativer Ansatz angewendet werden könnte, sofern ein solcher Ansatz den jeweiligen regulatorischen Anforderungen entspricht und vorab von der Behörde genehmigt wurde. Die FDA behält sich außerdem das Recht vor, Änderungen an den darin enthaltenen Empfehlungen vorzunehmen, wenn dies als angemessen erachtet wird, um Änderungen der geltenden Gesetzgebung widerzuspiegeln.

Regulatorischer Hintergrund 

Die Agentur erkennt die zunehmende Bedeutung von Cybersicherheitsfragen im Zusammenhang mit Medizinprodukten an, die auf den US-Markt gebracht werden. Heutzutage benötigen immer mehr medizinische Geräte eine Verbindung zu lokalen und/oder globalen Netzwerken, um ihren normalen Betrieb sicherzustellen. Zahlreiche medizinische Geräte sind auch am Austausch mit patientenbezogenen Informationen beteiligt, die ihrer Natur nach vertraulich sind. Daher ist es wichtig sicherzustellen, dass die Verwendung solcher Geräte keine ungerechtfertigten Risiken für Patienten mit sich bringt. Um Hersteller medizinischer Geräte und andere Parteien bei der Identifizierung potenzieller Risiken im Zusammenhang mit Cybersicherheitsproblemen zu unterstützen, hat die FDA die vorliegenden Leitlinien herausgegeben, in denen die wichtigsten Aspekte hervorgehoben werden, die in allen Phasen des Produktlebenszyklus von der Entwicklung bis zur Markteinführung berücksichtigt werden müssen Wartung. Darüber hinaus enthält das Dokument zusätzliche Erläuterungen zu den regulatorischen Anforderungen an die Informationen, die Hersteller von Medizinprodukten bei der Beantragung der Marktzulassung ihrer Produkte bereitstellen müssen. 

Der Geltungsbereich der vorliegenden FDA-Leitlinie umfasst die Informationen, die in Anträgen vor der Markteinführung im Hinblick auf Fragen der Cybersicherheit enthalten sein müssen. Dem Dokument zufolge Ein wirksames Cybersicherheitsmanagement soll das Risiko für Patienten verringern, indem es die Wahrscheinlichkeit verringert, dass die Gerätefunktionalität absichtlich oder unabsichtlich durch unzureichende Cybersicherheit beeinträchtigt wird. 

Die in den Leitlinien enthaltenen Empfehlungen könnten auf folgende Arten von Einreichungen vor dem Inverkehrbringen angewendet werden:

Zunächst stellt die FDA die Definitionen der wichtigsten Begriffe und Konzepte bereit, die im Zusammenhang mit Fragen der Cybersicherheit verwendet werden, darunter die folgenden:

• Authentifizierung - Der Vorgang der Überprüfung der Identität eines Benutzers, Prozesses oder Geräts als Voraussetzung für die Gewährung des Zugriffs auf das Gerät, seine Daten, Informationen oder Systeme.
• Onlinesicherheit - Der Prozess zur Verhinderung des unbefugten Zugriffs, der Änderung, des Missbrauchs oder der Verweigerung der Nutzung oder der unbefugten Nutzung von Informationen, die gespeichert, abgerufen oder von einem medizinischen Gerät an einen externen Empfänger übertragen werden. 
• Verschlüsselung - die kryptografische Umwandlung von Daten in eine Form, die die ursprüngliche Bedeutung der Daten verbirgt, um zu verhindern, dass sie bekannt oder verwendet werden. 

Grundlagen 

Die Leitlinien beschreiben weiter die allgemeinen Grundsätze, auf denen der aktuelle Regulierungsansatz basiert. Dem Dokument zufolge sollte der Hersteller von Medizinprodukten für die Maßnahmen und Kontrollen verantwortlich sein, die erforderlich sind, um sicherzustellen, dass das Medizinprodukt die geltenden regulatorischen Anforderungen in Bezug auf Cybersicherheit erfüllt und sicher und effizient funktioniert. 

Die Behörde erkennt jedoch an, dass die Cybersicherheit für medizinische Geräte im Allgemeinen in der gemeinsamen Verantwortung aller Beteiligten liegen sollte. Potenzielle Cybersicherheitsprobleme könnten den normalen Betrieb eines medizinischen Geräts beeinträchtigen und zu Datenverlust oder sogar zu gesundheitlichen Schäden des Patienten führen. 

Aufgrund der Bedeutung von Cybersicherheitsaspekten sollten diese von den Herstellern medizinischer Geräte von Anfang an berücksichtigt werden – bereits in der ersten Entwicklungsphase, da dies das Risiko am effizientesten mindert. Insbesondere stellt die Agentur fest, dass die Hersteller sollten Designvorgaben für ihr Gerät in Bezug auf Cybersicherheit festlegen und im Rahmen der Softwarevalidierung und Risikoanalyse, die gemäß 21 CFR 820.30(g) erforderlich ist, einen Ansatz für Cybersicherheitsschwachstellen und -management festlegen. 

Der vom Hersteller medizinischer Geräte anzuwendende Cybersicherheitsmanagementansatz muss die folgenden Aspekte abdecken: 

• Identifizierung bestehender und potenzieller Cybersicherheitsprobleme und Schwachstellen;
• Analyse der Auswirkungen, die die oben genannten Schwachstellen möglicherweise auf den Betrieb des Geräts selbst sowie auf die Gesundheit und Sicherheit der Patienten haben könnten;
• Einschätzung der erwarteten Wahrscheinlichkeit der mit solchen Schwachstellen verbundenen Probleme;
• Ermittlung des Risikoniveaus, Festlegung der Strategien und Ansätze, die zur Minderung dieser Risiken angewendet werden könnten;
• Bewertung der mit der Cybersicherheit verbundenen Restrisiken sowie Risikoakzeptanzkriterien. 

Wichtige Cybersicherheitsfunktionen 

Um Hersteller von Medizinprodukten bei der Umsetzung der oben beschriebenen Grundsätze zu unterstützen, enthält der Leitfaden Empfehlungen zu den besonderen Funktionen im Zusammenhang mit der Cybersicherheit, nämlich:

• Identifizieren, 
• Schützen,
• Erkennen,
• Antworten und
• Genesen.  

Das Dokument beschreibt detailliert jede dieser Funktionen und wie sie vom Hersteller medizinischer Geräte implementiert werden sollten. 

1. Identifizieren und schützen. Die Agentur gibt an, dass medizinische Geräte, die mit anderen Geräten, lokalen oder globalen Netzwerken oder sogar Medien verbunden werden können, im Hinblick auf die Cybersicherheit die größte Aufmerksamkeit erfordern, im Gegensatz zu solchen, die in keiner Weise verbunden sind. Die jeweils anzuwendenden Cybersicherheitsmaßnahmen und -kontrollen hängen von zahlreichen Faktoren ab, darunter dem Verwendungszweck des betreffenden Medizinprodukts, der Umgebung, in der es verwendet wird, und identifizierten Schwachstellen. Auch die Wahrscheinlichkeit, dass diese Schwachstellen ausgenutzt werden, und die damit verbundenen Risiken, einschließlich der möglichen Schädigung von Patienten, sollten berücksichtigt werden. Gleichzeitig stellt der Hersteller ein optimales Gleichgewicht zwischen der Gewährleistung der Sicherheit des Geräts im Hinblick auf Cybersicherheitsaspekte und der allgemeinen Benutzerfreundlichkeit des Produkts her. In diesem Zusammenhang werden Hersteller medizinischer Geräte aufgefordert, die in ihren Produkten implementierten Sicherheitsfunktionen zu begründen. 

2. Erkennen, reagieren, wiederherstellen. Die Hersteller müssen Funktionen entwickeln und einführen, die auftretende Sicherheitsprobleme erkennen und alle notwendigen Informationen für die potenziellen Verwendungszwecke bereitstellen. Diese Informationen sollten die Maßnahmen im Falle verschiedener auftretender Cybersicherheitsprobleme beschreiben. Darüber hinaus betont die Agentur, dass die vom Hersteller implementierten Funktionen ausreichen sollten, um den normalen Betrieb eines Medizinprodukts auch bei Auftreten eines Cybersicherheitsproblems sicherzustellen. Darüber hinaus sollte es für einen authentifizierten privilegierten Benutzer eine technische Möglichkeit geben, die Konfiguration des Geräts wiederherzustellen. 

Zusammenfassend beschreibt die vorliegende FDA-Leitlinie detailliert die wichtigsten Aspekte, die von Medizingeräteherstellern im Zusammenhang mit Cybersicherheitsthemen zu berücksichtigen sind. Das Dokument beschreibt die Hauptverantwortung des Herstellers und gibt einige Empfehlungen, die in den verschiedenen Phasen des Entwicklungsprozesses eines Medizinprodukts zu berücksichtigen sind. 

Quellen:

https://www.fda.gov/media/86174/download 

Wie kann RegDesk helfen?

RegDesk ist eine webbasierte Software der nächsten Generation für Medizinprodukte- und IVD-Unternehmen. Unsere hochmoderne Plattform nutzt maschinelles Lernen, um regulatorische Informationen, die Vorbereitung von Anträgen, die Einreichung und das Genehmigungsmanagement weltweit bereitzustellen. Unsere Kunden haben außerdem Zugriff auf unser Netzwerk von über 4000 Compliance-Experten weltweit, um sich bei kritischen Fragen verifizieren zu lassen. Anwendungen, deren Vorbereitung normalerweise 6 Monate dauert, können jetzt mit RegDesk Dash (TM) innerhalb von 6 Tagen vorbereitet werden. Die globale Expansion war noch nie so einfach..