Cybersicherheit ist eine Schlüsselüberlegung auf dem heutigen Markt für Medizingerätehersteller und andere Branchen. Ich habe zuvor über die geschrieben Erwartungen der FDA an die Cybersicherheitsdokumentation für die Einreichung von Medizinprodukten und sprach über dieses Thema beim Medical Device Playbook Toronto.
Kürzlich wurden wir auf neue Cybersicherheitsanforderungen aufmerksam, die in den USA für medizinische Geräte in Kraft treten, die als „Cyber Devices“ gelten. Die US-Regierung definiert ein Cybergerät, ein Gerät, das:
- enthält Software, die vom Sponsor als Gerät oder in einem Gerät validiert, installiert oder autorisiert wurde;
- hat die Fähigkeit, sich mit dem Internet zu verbinden;
- solche technologischen Eigenschaften enthält, die vom Sponsor validiert, installiert oder autorisiert wurden und die anfällig für Cybersicherheitsbedrohungen sein könnten.
Dies ist umso interessanter, als diese neuen Anforderungen noch nicht direkt von der FDA kommuniziert oder in den Branchennachrichten breit diskutiert wurden. Ich wollte diese Informationen mit unseren Lesern teilen, damit auch Sie sich dessen bewusst sind und sich proaktiv auf diese Änderung vorbereiten können.
Für diejenigen in der Industrie, die derzeit Einreichungen vorbereiten, ist dies ein heißes Thema. Sie sollten sicherstellen, dass die richtige Dokumentation erstellt und als Teil der Einreichung bereitgestellt wird, um zusätzliche Informationsanfragen und Verzögerungen im Einreichungsprozess zu vermeiden.
Neue Anforderungen
Am 21. Dezember 2022 verabschiedete die US-Regierung ein Sammelgesetz1 (”Gesetz über konsolidierte Mittel, 2023“), in dem es hauptsächlich darum ging, die Finanzierung staatlicher Aktivitäten bis September 2023 sicherzustellen, aber auch einen Unterabschnitt enthält, der sich mit der Kontrolle der Cybersicherheit von Medizinprodukten durch die FDA befasst.
Dieser Gesetzentwurf umfasst erstaunliche 4,155 Seiten, und auf Seite 3,537 ist der Abschnitt von besonderem Interesse versteckt, der eine Reihe von Cybersicherheitsanforderungen identifiziert, die die Regierung von jedem erwartet, der einen Antrag oder eine Einreichung gemäß den Abschnitten 510 (k) einreicht. , 513, 515(c), 515(f) oder 520(m) in Bezug auf das Lebensmittel-, Arzneimittel- und Kosmetikgesetz. Das bedeutet, dass jeder, der ein Medizinprodukt zur Genehmigung oder Freigabe gemäß den IDE-, 510(k)-, De Novo- oder PMA-Pfade einreicht, jetzt Folgendes vorlegen muss:
- (b) CYBERSICHERHEITSANFORDERUNGEN – Der Sponsor eines in Unterabschnitt 3 beschriebenen Antrags oder einer Einreichung
- (a) soll—
- (1) dem Minister einen Plan vorlegen, um Schwachstellen und Exploits in der Cybersicherheit nach der Markteinführung zu überwachen, zu identifizieren und gegebenenfalls in angemessener Zeit zu beheben, einschließlich einer koordinierten Offenlegung von Schwachstellen und damit zusammenhängender Verfahren;
- (2) Prozesse und Verfahren zu konzipieren, zu entwickeln und aufrechtzuerhalten, um eine angemessene Gewähr dafür zu bieten, dass das Gerät und die zugehörigen Systeme cybersicher sind, und Postmarket-Updates und -Patches für das Gerät und die zugehörigen Systeme zur Verfügung zu stellen, um Folgendes zu beheben:
- (A) in einem angemessen begründeten regelmäßigen Zyklus bekannte inakzeptable Schwachstellen; und
- (B) so schnell wie möglich außerhalb des Zyklus liegende kritische Schwachstellen, die unkontrollierte Risiken verursachen könnten;
- (3) dem Sekretär eine Software-Stückliste zur Verfügung stellen, einschließlich kommerzieller, Open-Source- und handelsüblicher Softwarekomponenten; und
- (4) alle anderen Anforderungen erfüllen, die der Minister per Verordnung verlangen kann, um eine angemessene Gewähr dafür nachzuweisen, dass das Gerät und die zugehörigen Systeme cybersicher sind.
- (a) soll—
Es heißt auch, dass diese zusätzlichen Anforderungen in Kraft treten werden 90 Tage ab dem Datum des Inkrafttretens dieses Gesetzes, das das Erfüllungsdatum auf den 21. März 2023 setzt.
Widersprüchliche Informationen:
Derzeit, wie in unserem Whitepaper beschrieben Leitlinienentwurf zur Cybersicherheit der FDA, die geltenden endgültigen Leitlinien der FDA sind in skizziert Inhalt von Premarket Submissions für das Management von Cybersicherheit in Medizinprodukten aus dem Jahr 2014. Im Jahr 2022 veröffentlichte die FDA jedoch einen aktualisierten Leitlinienentwurf, Cybersicherheit bei Medizinprodukten: Überlegungen zum Qualitätssystem und Inhalt von Premarket-Einreichungen, was die Erwartungen an Cybersicherheitsaktivitäten und -dokumentation erheblich erweitert. Die Version 2022 wird als die aktuelle Sichtweise der FDA zu diesem Thema verstanden, während die endgültige Leitlinie von 2014 diejenige ist, die derzeit in Kraft ist und durchgesetzt wird.
Die FDA hat bestätigt, dass sie beabsichtigt, die Richtlinienentwürfe für 2022 in diesem Jahr fertigzustellen, als sie ihre Zielvorgaben für 2023 mitteilte (Von CDRH vorgeschlagene Leitlinien für das Geschäftsjahr 2023 (FY2023) | FDA), aber wir haben noch keine konkreten Veröffentlichungstermine oder Details über den Umfang der Änderungen oder wie die endgültigen Leitlinien im Vergleich zum Entwurf von 2022 überarbeitet werden.
Die im Sammelgesetzentwurf umrissenen Verpflichtungen liegen auf halbem Weg zwischen den Versionen der Leitlinien von 2014 und 2022, wobei die Verpflichtungen gegenüber den derzeit in Kraft getretenen erweitert werden, jedoch nicht so umfassend wie die im Entwurf von 2022 skizzierten.
Der Post-Market-Plan und die Prozesse und Verfahrensaspekte werden teilweise von den aktuellen endgültigen Leitlinien abgedeckt, jedoch nicht explizit wörtlich. Die Hinzufügung einer Software-Stückliste (sBOMs) ist neu in der aktuellen endgültigen Leitlinie, wird aber im Leitlinienentwurf 2022 behandelt. Die letzte Anforderung scheint eine allumfassende Erklärung zu sein, die es der FDA und den zuständigen Regierungsbehörden ermöglicht, sich nach Bedarf an bewährte Verfahren anzupassen.
Die FDA empfiehlt die Verwendung des eSTAR-Pakets für Einreichungen, um sicherzustellen, dass der korrekte Inhalt bereitgestellt wird. Die aktuelle Vorlage, Version 2-2, fordert nur die folgenden Dokumente in Bezug auf Cybersicherheit: Risikomanagementdatei(en), Cybersicherheitsmanagementplan oder Plan für die kontinuierliche Unterstützung und einen Verweis auf Cybersicherheitsinhalte in der Kennzeichnung. Wir sollten davon ausgehen, dass diese Vorlage aktualisiert wird, um zusätzliche Anforderungen widerzuspiegeln.
Der Gesetzentwurf erwähnt ausdrücklich die Leitlinien mit dem Titel „Content of Premarket Submissions for Management of Cybersecurity in Medical Devices“ (oder ein Nachfolgedokument) und die Verpflichtung der FDA, sie zu überprüfen und mit Rückmeldungen von „Device Manufacturers, Health Gesundheitsdienstleister, Drittanbieter von Geräten, Patientenvertreter und andere geeignete Interessengruppen.“ Die Frist für diesen Aspekt des Gesetzentwurfs beträgt jedoch nicht mehr als zwei Jahre, was der Erwartung von 90 Tagen widerspricht.
Verbleibende Fragen:
Hier kommen wir zum Kern der Frage: Wie reagiert die Industrie auf diese widersprüchlichen Anforderungen?
Der Gesetzentwurf besagt, dass die FDA spätestens 180 Tage nach Inkrafttreten des Gesetzes Ressourcen bereitstellen sollte, einschließlich der Aktualisierung der FDA-Website zur Cybersicherheit. Aber auch dies kommt nach Ablauf der Frist für die Industrie.
Wir müssen abwarten, wann dies der Industrie offiziell mitgeteilt wird, entweder durch eine Aktualisierung der Leitlinien oder auf andere Weise. Hoffentlich wird dies bald geschehen, um Klarheit über diese Erwartungen zu schaffen.
1 An Sammelgesetz ist ein Vorschlag Rechtswesen die eine Reihe unterschiedlicher oder nicht verwandter Themen abdeckt Sammelrechnung – Wikipedia
Bild: CanStock Foto
Helen Simons ist eine Qualitätssicherung Manager bei StarFish Medical. Helens Ausbildung ist Maschinenbauingenieurin mit einem Hintergrund in Produktentwicklung und QMS-Entwicklung in mehreren Branchen mit Verbraucher- und Industrieprodukten bis hin zu medizinischen Geräten, IVD und Kombinationsgeräten.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
- Quelle: https://starfishmedical.com/blog/new-cybersecurity-requirements-in-the-us/
- 1
- 2014
- 2022
- 2023
- a
- Fähigkeit
- Über uns
- über
- Handlung
- Aktivitäten
- automatisch
- Zusatz
- Zusätzliche
- Zusätzliche Angaben
- Adresse
- Adressierung
- Befürworter
- Nach der
- Alle
- Zulassen
- unter
- und
- jemand
- anwendbar
- Anwendung
- angemessen
- Mittel
- Genehmigung
- genehmigt
- Aussehen
- Aspekte
- Versicherung
- verfügbar
- vermeiden
- Hintergrund
- Sein
- BESTE
- Best Practices
- zwischen
- Bill
- bringen
- österreichische Unternehmen
- Verursachen
- Übernehmen
- Charakteristik
- Clarity
- COM
- Kombination
- wie die
- Kommen
- kommerziell
- verglichen
- Compliance
- Komponenten
- Schichtannahme
- Widersprüchlich
- Vernetz Dich
- Berücksichtigung
- Überlegungen
- betrachtet
- Verbraucher
- Inhalt
- fortgesetzt
- Smartgeräte App
- koordiniert
- könnte
- bedeckt
- deckt
- kritischem
- Strom
- Zur Zeit
- Cyber-
- Internet-Sicherheit
- Datum
- datiert
- Datum
- Tag
- Tage
- Dezember
- Verzögerungen
- zeigen
- beschrieben
- Design
- detailliert
- Details
- entwickeln
- Entwicklung
- Gerät
- Geräte
- DID
- Direkt
- Bekanntgabe
- diskutiert
- Display
- verschieden
- Dokument
- Dokumentation
- Unterlagen
- Lüftung
- Drogen
- Bildungswesen
- bewirken
- entweder
- Durchsetzung
- Entwicklung
- gewährleisten
- Gewährleistung
- Äther (ETH)
- ergänzt
- dehnt sich aus
- erwarten
- Erwartung
- Erwartungen
- erwartet
- Abenteuer
- Fallen
- FDA
- Feedback
- Finale
- finalisieren
- Fiscal
- Folgende
- Nahrung,
- Zwingen
- für
- Finanzierung
- erzeugt
- der Regierung
- staatlich
- Richtlinien
- passieren
- Gesundheit
- Gesundheitspflege
- versteckt
- Hoffentlich
- HEISS
- Ultraschall
- aber
- HTML
- HTTPS
- identifiziert
- identifizieren
- in
- Dazu gehören
- Einschließlich
- industriell
- Branchen
- Energiegewinnung
- Branchen-News
- Information
- installiert
- Beabsichtigen
- Interesse
- interessant
- Internet
- Problem
- IT
- Behalten
- Wesentliche
- bekannt
- Kennzeichnung
- Nachname
- LIMIT
- halten
- um
- Management
- Manager
- Hersteller
- März
- Markt
- Materialien
- max-width
- Mittel
- mechanisch
- Maschinenbau
- sowie medizinische
- medizinisches Gerät
- Medizinprodukte
- Überwachen
- mehr
- mehrere
- Neu
- News
- Neu
- Anzahl
- Verbindlichkeiten
- Offiziell
- EINEM
- Open-Source-
- Andere
- skizzierte
- Outlook
- Paket
- Teil
- Patches
- Vertrauen bei Patienten
- Plan
- Plato
- Datenintelligenz von Plato
- PlatoData
- Spieler
- möglich
- Praktiken
- Danach
- Vorbereitung
- vorher
- priorisieren
- Verfahren
- Prozessdefinierung
- anpassen
- Produkt
- Produktentwicklung
- Produkte
- vorgeschlage
- Sicherheit
- die
- vorausgesetzt
- Anbieter
- Publikationen
- veröffentlicht
- Versetzt
- Qualität
- Fragen
- Leser
- vernünftig
- erhalten
- empfiehlt
- reflektieren
- in Bezug auf
- regulär
- Rechtliches
- bezogene
- Beziehung
- relevant
- Zugriffe
- erfordern
- falls angefordert
- Anforderung
- Voraussetzungen:
- Downloads
- Reagieren
- Überprüfen
- Risiko
- Risikomanagement
- Risiken
- Abschnitt
- Abschnitte
- Senat
- September
- kompensieren
- Teilen
- sollte
- bedeutend
- Einfacher
- So
- Software
- Bald
- spezifisch
- Sponsor
- Stakeholder
- Seestern
- Erklärung
- Staaten
- Einreichung
- Einsendungen
- abschicken
- so
- Support
- System
- Systeme und Techniken
- Target
- technologische
- Vorlage
- Das
- ihr
- Denken
- dieses Jahr
- Bedrohungen
- Durch
- Zeit
- zu
- heutigen
- auch
- Thema
- Themen
- toronto
- für
- verstanden
- Aktualisierung
- aktualisiert
- Updates
- Aktualisierung
- us
- uns Regierung
- -
- validiert
- Version
- Video
- Sicherheitslücken
- Verwundbarkeit
- Verwundbar
- warten
- wollte
- Webseite
- welche
- während
- Whitepaper (ENG)
- WHO
- weit
- Wikipedia
- werden wir
- .
- Word
- geschrieben
- Jahr
- Jahr
- Youtube
- Zephyrnet
