Η κυβερνοασφάλεια αποτελεί βασικό στοιχείο στη σημερινή αγορά για κατασκευαστές ιατρικών συσκευών και άλλες βιομηχανίες. Έχω γράψει προηγουμένως για το Οι προσδοκίες του FDA για τεκμηρίωση κυβερνοασφάλειας για υποβολές ιατροτεχνολογικών προϊόντων και μίλησε για αυτό το θέμα στο Ιατρικό Βιβλίο Συσκευών Τορόντο.
Πρόσφατα, ενημερωθήκαμε για νέες απαιτήσεις κυβερνοασφάλειας που τίθενται σε ισχύ στις ΗΠΑ για ιατρικές συσκευές που θεωρούνται «συσκευές στον κυβερνοχώρο». Η κυβέρνηση των ΗΠΑ ορίζει μια συσκευή στον κυβερνοχώρο, μια συσκευή που:
- περιλαμβάνει λογισμικό επικυρωμένο, εγκατεστημένο ή εξουσιοδοτημένο από τον χορηγό ως συσκευή ή σε συσκευή·
- έχει τη δυνατότητα σύνδεσης στο διαδίκτυο?
- περιέχει οποιαδήποτε τέτοια τεχνολογικά χαρακτηριστικά επικυρωμένα, εγκατεστημένα ή εξουσιοδοτημένα από τον χορηγό που θα μπορούσαν να είναι ευάλωτα σε απειλές για την ασφάλεια στον κυβερνοχώρο.
Αυτό είναι ακόμη πιο ενδιαφέρον καθώς αυτές οι νέες απαιτήσεις δεν έχουν ακόμη κοινοποιηθεί απευθείας από τον FDA ούτε έχουν συζητηθεί ευρέως στα νέα του κλάδου. Ήθελα να μοιραστώ αυτές τις πληροφορίες με τους αναγνώστες μας, ώστε και εσείς να τις γνωρίζετε και να προετοιμαστείτε προληπτικά για αυτήν την αλλαγή.
Για όσους εργάζονται στη βιομηχανία αυτή τη στιγμή προετοιμάζουν υποβολές, αυτό είναι ένα καυτό θέμα. Θα θέλετε να βεβαιωθείτε ότι δημιουργείται και παρέχεται η σωστή τεκμηρίωση ως μέρος της υποβολής, για να αποφευχθούν αιτήματα πρόσθετων πληροφοριών και καθυστερήσεις στη διαδικασία υποβολής.
Νέες Απαιτήσεις
Στις 21 Δεκεμβρίου 2022, η κυβέρνηση των ΗΠΑ ενέκρινε ένα πολυνομοσχέδιο1 ("Νόμος για τις ενοποιημένες πιστώσεις, 2023”), το οποίο αφορούσε κυρίως τη διασφάλιση χρηματοδότησης για κρατικές δραστηριότητες έως τον Σεπτέμβριο του 2023, αλλά περιλαμβάνει επίσης μια υποενότητα που αφορά τον έλεγχο της ασφάλειας στον κυβερνοχώρο ιατρικών συσκευών από τον FDA.
Αυτό το νομοσχέδιο περιλαμβάνει εκπληκτικές 4,155 σελίδες και κρυμμένο ανάμεσά τους, στη σελίδα 3,537, είναι το τμήμα βασικού ενδιαφέροντος, το οποίο προσδιορίζει ένα σύνολο απαιτήσεων ασφάλειας στον κυβερνοχώρο, τις οποίες η κυβέρνηση αναμένει να λάβει από οποιονδήποτε υποβάλλει αίτηση ή υποβολή σύμφωνα με τις ενότητες 510(k) , 513, 515(c), 515(f) ή 520(m) σε σχέση με τον νόμο για τα τρόφιμα, τα φάρμακα και τα καλλυντικά. Αυτό σημαίνει ότι οποιοσδήποτε υποβάλλει μια ιατρική συσκευή για έγκριση ή έγκριση σύμφωνα με τις διαδρομές IDE, 510(k), De Novo ή PMA πρέπει πλέον να παρέχει τα ακόλουθα:
- (β) ΑΠΑΙΤΗΣΕΙΣ ΑΣΦΑΛΕΙΑΣ ΚΥΒΕΡΝΕΥΜΑΤΟΣ—Ο χορηγός μιας αίτησης ή υποβολής που περιγράφεται στην υποενότητα 3
- (α) θα—
- (1) να υποβάλει στον Γραμματέα ένα σχέδιο παρακολούθησης, εντοπισμού και αντιμετώπισης, ανάλογα με την περίπτωση, σε εύλογο χρονικό διάστημα, τρωτών σημείων και εκμεταλλεύσεων στον τομέα της ασφάλειας στον κυβερνοχώρο μετά την αγορά, συμπεριλαμβανομένης της συντονισμένης αποκάλυψης ευπάθειας και των σχετικών διαδικασιών·
- (2) σχεδίαση, ανάπτυξη και διατήρηση διεργασιών και διαδικασιών για την παροχή εύλογης διασφάλισης ότι η συσκευή και τα σχετικά συστήματα είναι ασφαλή στον κυβερνοχώρο και καθιστούν διαθέσιμες ενημερώσεις και ενημερώσεις κώδικα μετά την αγορά στη συσκευή και τα σχετικά συστήματα για την αντιμετώπιση-
- (Α) σε έναν εύλογα δικαιολογημένο τακτικό κύκλο, γνωστά απαράδεκτα τρωτά σημεία· και
- (Β) το συντομότερο δυνατό εκτός κύκλου, κρίσιμα τρωτά σημεία που θα μπορούσαν να προκαλέσουν ανεξέλεγκτους κινδύνους.
- (3) Παρέχετε στον Γραμματέα έναν λογαριασμό υλικού λογισμικού, συμπεριλαμβανομένων εμπορικών, ανοιχτού κώδικα και εξαρτημάτων λογισμικού εκτός ραφιού· και
- (4) συμμορφώνονται με άλλες απαιτήσεις που μπορεί να απαιτήσει ο Γραμματέας μέσω κανονισμών για να αποδείξει εύλογη βεβαιότητα ότι η συσκευή και τα σχετικά συστήματα είναι ασφαλή στον κυβερνοχώρο.
- (α) θα—
Αναφέρει επίσης ότι αυτές οι πρόσθετες απαιτήσεις θα τεθούν σε ισχύ 90 ημέρες από την ημερομηνία θέσπισης του παρόντος Νόμου, ο οποίος ορίζει ως ημερομηνία συμμόρφωσης την 21η Μαρτίου 2023.
Αντικρουόμενες πληροφορίες:
Επί του παρόντος, όπως περιγράφεται στη λευκή μας βίβλο Προσχέδιο Καθοδήγησης για την Κυβερνοασφάλεια του FDA, οι ισχύουσες τελικές οδηγίες από τον FDA περιγράφονται στο Περιεχόμενο Υποβολών Premarket για Διαχείριση Κυβερνοασφάλειας σε Ιατρικές Συσκευές με ημερομηνία 2014. Ωστόσο, το 2022, η FDA δημοσίευσε ένα ενημερωμένο σχέδιο καθοδήγησης, Κυβερνοασφάλεια σε ιατρικές συσκευές: Θεωρήσεις συστήματος ποιότητας και περιεχόμενο υποβολών πριν από την αγορά, το οποίο επεκτείνεται σημαντικά στις προσδοκίες για δραστηριότητες και τεκμηρίωση κυβερνοασφάλειας. Η έκδοση του 2022 θεωρείται ότι είναι η τρέχουσα σκέψη σχετικά με αυτό το θέμα από τον FDA, ενώ η τελική καθοδήγηση του 2014 είναι αυτή που ισχύει επί του παρόντος και τελεί υπό επιβολή.
Ο FDA επιβεβαίωσε ότι σκοπεύει να ολοκληρώσει το προσχέδιο κατευθυντήριων γραμμών για το 2022 φέτος, όταν κοινοποίησαν τις κατευθυντήριες γραμμές-στόχους τους για να δώσουν προτεραιότητα το 2023 (Προτεινόμενες Οδηγίες του CDRH για το οικονομικό έτος 2023 (FY2023) | FDA), ωστόσο δεν έχουμε ακόμη δει συγκεκριμένες ημερομηνίες δημοσίευσης ή λεπτομέρειες σχετικά με την έκταση των τροποποιήσεων ή τον τρόπο με τον οποίο θα αναθεωρηθούν οι τελικές οδηγίες σε σύγκριση με το προσχέδιο του 2022.
Οι υποχρεώσεις που περιγράφονται στο γενικό νομοσχέδιο εμπίπτουν στα μισά του δρόμου μεταξύ των εκδόσεων της καθοδήγησης 2014 και 2022, με τις υποχρεώσεις να επεκτείνονται από εκείνες που εκτελούνται επί του παρόντος, αλλά όχι τόσο εκτενώς όσο αυτές που περιγράφονται στο προσχέδιο του 2022.
Το σχέδιο μετά τη διάθεση στην αγορά και οι πτυχές των διαδικασιών και της διαδικασίας καλύπτονται εν μέρει από την τρέχουσα τελική καθοδήγηση, αλλά όχι ρητά λέξη προς λέξη. Η προσθήκη ενός λογαριασμού υλικού λογισμικού (sBOM) είναι νέα στην τρέχουσα τελική καθοδήγηση, αλλά καλύπτεται στο προσχέδιο καθοδήγησης του 2022. Η τελευταία απαίτηση φαίνεται να είναι μια γενική δήλωση που επιτρέπει στον FDA και τους αρμόδιους κυβερνητικούς φορείς να προσαρμοστούν στις βέλτιστες πρακτικές όπως απαιτείται.
Ο FDA συνιστά τη χρήση του πακέτου eSTAR για υποβολές για να διασφαλιστεί ότι παρέχεται το σωστό περιεχόμενο. Το τρέχον πρότυπο, έκδοση 2-2, ζητά μόνο τα ακόλουθα έγγραφα σε σχέση με την ασφάλεια στον κυβερνοχώρο: αρχείο(α) διαχείρισης κινδύνου, σχέδιο ή σχέδιο διαχείρισης της ασφάλειας στον κυβερνοχώρο για συνεχή υποστήριξη και αναφορά σε περιεχόμενο κυβερνοασφάλειας εντός της επισήμανσης. Θα πρέπει να αναμένουμε ότι αυτό το πρότυπο θα ενημερωθεί ώστε να αντικατοπτρίζει τυχόν πρόσθετες απαιτήσεις.
Το νομοσχέδιο αναφέρει ρητά την καθοδήγηση με τίτλο ''Περιεχόμενο υποβολών πριν από την αγορά για τη διαχείριση της ασφάλειας στον κυβερνοχώρο σε ιατρικές συσκευές'' (ή ένα έγγραφο διάδοχο) και τις υποχρεώσεις του FDA να το εξετάσει και να το διατηρήσει ενημερωμένο με σχόλια από "κατασκευαστές συσκευών, υγεία παρόχους φροντίδας, τρίτους παρόχους υπηρεσιών συσκευών, υποστηρικτές ασθενών και άλλα κατάλληλα ενδιαφερόμενα μέρη.» Ωστόσο, το χρονικό όριο για αυτήν την πτυχή του νομοσχεδίου δεν είναι αργότερα από δύο χρόνια, γεγονός που έρχεται σε αντίθεση με την προσδοκία των 90 ημερών.
Υπόλοιπες ερωτήσεις:
Εδώ φτάνουμε στην ουσία του ζητήματος, πώς ανταποκρίνεται η βιομηχανία σε αυτές τις αντικρουόμενες απαιτήσεις;
Το νομοσχέδιο αναφέρει ότι ο FDA θα πρέπει να παρέχει πόρους το αργότερο 180 ημέρες μετά την έναρξη ισχύος του νόμου, συμπεριλαμβανομένης της ενημέρωσης του ιστότοπου του FDA για την ασφάλεια στον κυβερνοχώρο. Αλλά και πάλι, αυτό έρχεται μετά τη λήξη της προθεσμίας για τη βιομηχανία.
Θα πρέπει να περιμένουμε να δούμε πότε αυτό θα κοινοποιηθεί επίσημα στη βιομηχανία είτε με ενημέρωση της καθοδήγησης είτε με άλλα μέσα. Ας ελπίσουμε ότι αυτό θα συμβεί σύντομα για να φέρει σαφήνεια σχετικά με αυτές τις προσδοκίες.
1 An γενικός λογαριασμός είναι ένα προτεινόμενο νόμος που καλύπτει μια σειρά από διαφορετικά ή άσχετα θέματα Omnibus bill – Wikipedia
Εικόνα: CanStock Φωτογραφία
Helen Simons είναι ένα Διασφάλιση Ποιότητας Διευθυντής στο StarFish Medical. Η εκπαίδευση της Helen είναι στη Μηχανολογία, με υπόβαθρο ανάπτυξης προϊόντων και ανάπτυξης QMS σε πολλαπλούς κλάδους με καταναλωτικά και βιομηχανικά προϊόντα έως ιατρικές συσκευές, IVD και συσκευές συνδυασμού.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- πηγή: https://starfishmedical.com/blog/new-cybersecurity-requirements-in-the-us/
- 1
- 2014
- 2022
- 2023
- a
- ικανότητα
- Σχετικά
- απέναντι
- Πράξη
- δραστηριοτήτων
- προσαρμόσει
- Επιπλέον
- Πρόσθετος
- Επιπλέον πληροφορίες
- διεύθυνση
- διευθυνσιοδότηση
- συνήγοροι
- Μετά το
- Όλα
- Επιτρέποντας
- μεταξύ των
- και
- κάποιος
- εφαρμόσιμος
- Εφαρμογή
- κατάλληλος
- πιστώσεων
- έγκριση
- εγκεκριμένη
- άποψη
- πτυχές
- διαβεβαίωση
- διαθέσιμος
- αποφύγετε
- φόντο
- είναι
- ΚΑΛΎΤΕΡΟΣ
- βέλτιστες πρακτικές
- μεταξύ
- Νομοσχέδιο
- φέρω
- ο οποίος
- Αιτία
- αλλαγή
- χαρακτηριστικά
- σαφήνεια
- COM
- συνδυασμός
- Ελάτε
- ερχομός
- εμπορικός
- σύγκριση
- Συμμόρφωση
- εξαρτήματα
- Επιβεβαιώνω
- Αντιφατικός
- Connect
- εξέταση
- θεωρήσεις
- θεωρούνται
- καταναλωτής
- περιεχόμενο
- συνεχίζοντας
- έλεγχος
- συντονισμένη
- θα μπορούσε να
- καλύπτονται
- Καλύπτει
- κρίσιμης
- Ρεύμα
- Τη στιγμή
- στον κυβερνοχώρο
- Κυβερνασφάλεια
- Ημερομηνία
- με ημερομηνία
- Ημερομηνίες
- ημέρα
- Ημ.
- Δεκέμβριος
- καθυστερήσεις
- αποδεικνύουν
- περιγράφεται
- Υπηρεσίες
- λεπτομερής
- καθέκαστα
- ανάπτυξη
- Ανάπτυξη
- συσκευή
- Συσκευές
- DID
- κατευθείαν
- αποκάλυψη
- συζήτηση
- Display
- διάφορα
- έγγραφο
- τεκμηρίωση
- έγγραφα
- προσχέδιο
- Ναρκωτικά
- Εκπαίδευση
- αποτέλεσμα
- είτε
- επιβολή
- Μηχανική
- εξασφαλίζω
- εξασφαλίζοντας
- Αιθέρας (ΕΤΗ)
- επεκτάθηκε
- επεκτείνεται
- αναμένω
- προσδοκία
- προσδοκίες
- αναμένει
- εκμεταλλεύεται
- Πτώση
- FDA
- ανατροφοδότηση
- τελικός
- Οριστικοποιώ
- Δημοσιονομικός
- Εξής
- τροφή
- Δύναμη
- από
- χρηματοδότηση
- παράγεται
- Κυβέρνηση
- κυβερνητικός
- κατευθυντήριων γραμμών
- συμβαίνω
- Υγεία
- Φροντίδα Υγείας
- κρυμμένο
- Ας ελπίσουμε ότι
- ΚΑΥΤΌ
- Πως
- Ωστόσο
- HTML
- HTTPS
- αναγνωρίζει
- προσδιορίσει
- in
- περιλαμβάνει
- Συμπεριλαμβανομένου
- βιομηχανικές
- βιομηχανίες
- βιομηχανία
- Κλάδος Ειδήσεις
- πληροφορίες
- εγκατασταθεί
- σκοπεύοντας
- τόκος
- ενδιαφέρον
- Internet
- ζήτημα
- IT
- Διατήρηση
- Κλειδί
- γνωστός
- τιτλοφόρηση
- Επίθετο
- LIMIT
- διατηρήσουν
- κάνω
- διαχείριση
- διευθυντής
- Κατασκευαστές
- Μάρτιος
- αγορά
- υλικά
- max-width
- μέσα
- μηχανικός
- μηχανολογία
- ιατρικών
- ιατρική συσκευή
- ιατρικές συσκευές
- Παρακολούθηση
- περισσότερο
- πολλαπλούς
- Νέα
- νέα
- Νέος
- αριθμός
- ομολογίες
- Επίσημα
- ONE
- ανοικτού κώδικα
- ΑΛΛΑ
- σκιαγραφείται
- θέα
- πακέτο
- μέρος
- Patches
- ασθενής
- σχέδιο
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- παίχτης
- δυνατός
- πρακτικές
- Προετοιμάστε
- προετοιμασία
- προηγουμένως
- προτεραιότητα
- διαδικασίες
- διαδικασια μας
- Διεργασίες
- Προϊόν
- ανάπτυξη προϊόντων
- Προϊόντα
- προτείνεται
- προστασία
- παρέχουν
- παρέχεται
- Παρόχους υπηρεσιών
- Δημοσίευση
- δημοσιεύθηκε
- Βάζει
- ποιότητα
- Ερωτήσεις
- αναγνώστες
- λογικός
- λαμβάνω
- συνιστά
- αντανακλούν
- σχετικά με
- τακτικός
- Ρυθμιστικές Αρχές
- σχετίζεται με
- σχέση
- αιτήματα
- απαιτούν
- απαιτείται
- απαίτηση
- απαιτήσεις
- Υποστηρικτικό υλικό
- Απάντηση
- ανασκόπηση
- Κίνδυνος
- διαχείριση των κινδύνων
- κινδύνους
- Τμήμα
- τμήματα
- Γερουσία
- Σεπτέμβριος
- σειρά
- Κοινοποίηση
- θα πρέπει να
- σημαντικά
- Απλούς
- So
- λογισμικό
- Σύντομα
- συγκεκριμένες
- υποστηρικτής
- ενδιαφερόμενα μέρη
- Αστερίας
- Δήλωση
- Μελών
- υποβολή
- Υποβολές
- υποβάλουν
- τέτοιος
- υποστήριξη
- σύστημα
- συστήματα
- στόχος
- τεχνολογικός
- πρότυπο
- Η
- τους
- Σκέψη
- φέτος
- απειλές
- Μέσω
- ώρα
- προς την
- σημερινή
- πολύ
- τοπικός
- Θέματα
- Τορόντο
- υπό
- κατανοητή
- Ενημέρωση
- ενημερώθηκε
- ενημερώσεις
- ενημέρωση
- us
- μας κυβέρνηση
- χρήση
- επικυρωμένο
- εκδοχή
- Βίντεο
- Θέματα ευπάθειας
- ευπάθεια
- Ευάλωτες
- περιμένετε
- ήθελε
- Ιστοσελίδα : www.example.gr
- Ποιό
- ενώ
- Λευκή βίβλος
- Ο ΟΠΟΊΟΣ
- ευρέως
- Wikipedia
- θα
- εντός
- λέξη
- γραπτή
- έτος
- χρόνια
- YouTube
- zephyrnet
