La ciberseguridad es una consideración clave en el mercado actual para los fabricantes de dispositivos médicos y otras industrias. He escrito anteriormente sobre el Expectativas de la FDA para la documentación de seguridad cibernética para presentaciones de dispositivos médicos, y habló sobre este tema en Medical Device Playbook Toronto.
Recientemente, nos enteramos de los nuevos requisitos de seguridad cibernética que están entrando en vigencia en los EE. UU. para los dispositivos médicos que se consideran "dispositivos cibernéticos". El gobierno de los EE. UU. define un dispositivo cibernético, un dispositivo que:
- incluye software validado, instalado o autorizado por el patrocinador como dispositivo o en un dispositivo;
- tiene la capacidad de conectarse a Internet;
- contiene características tecnológicas validadas, instaladas o autorizadas por el patrocinador que podrían ser vulnerables a amenazas de ciberseguridad.
Esto es aún más interesante ya que estos nuevos requisitos aún no se han comunicado directamente desde la FDA ni se han discutido ampliamente en las noticias de la industria. Quería compartir esta información con nuestros lectores para que ustedes también puedan conocerla y prepararse proactivamente para este cambio.
Para aquellos en la industria que actualmente preparan presentaciones, este es un tema candente. Querrá asegurarse de que se genere y proporcione la documentación correcta como parte del envío para evitar solicitudes de información adicional y demoras en el proceso de envío.
Nuevos requisitos
El 21 de diciembre de 2022, el gobierno de EE. UU. aprobó un proyecto de ley ómnibus1 ("Ley de Asignaciones Consolidadas de 2023”), que se trataba principalmente de garantizar la financiación de las actividades gubernamentales hasta septiembre de 2023, pero también incluye una subsección que aborda el control de la ciberseguridad de los dispositivos médicos por parte de la FDA.
Este proyecto de ley comprende la asombrosa cantidad de 4,155 páginas, y oculta entre ellas, en la página 3,537, se encuentra la sección de interés clave, que identifica un conjunto de requisitos de seguridad cibernética que el gobierno espera recibir de cualquier persona que presente una solicitud o una presentación en virtud de las secciones 510(k). , 513, 515(c), 515(f), o 520(m) en relación con la Ley de Alimentos, Medicamentos y Cosméticos. Esto significa que cualquier persona que presente un dispositivo médico para su aprobación o autorización bajo las vías IDE, 510(k), De Novo o PMA ahora debe proporcionar lo siguiente:
- (b) REQUISITOS DE SEGURIDAD CIBERNÉTICA: el patrocinador de una solicitud o presentación descrita en la subsección 3
- (a) deberá—
- (1) presentar al Secretario un plan para monitorear, identificar y abordar, según corresponda, en un tiempo razonable, las vulnerabilidades y explotaciones de seguridad cibernética posteriores al mercado, incluida la divulgación coordinada de vulnerabilidades y los procedimientos relacionados;
- (2) diseñar, desarrollar y mantener procesos y procedimientos para brindar una garantía razonable de que el dispositivo y los sistemas relacionados son ciberseguros, y poner a disposición actualizaciones y parches posteriores a la comercialización para el dispositivo y los sistemas relacionados para abordar:
- (A) en un ciclo regular razonablemente justificado, vulnerabilidades inaceptables conocidas; y
- (B) tan pronto como sea posible fuera de ciclo, vulnerabilidades críticas que podrían causar riesgos no controlados;
- (3) proporcionar al Secretario una lista de materiales de software, incluidos los componentes de software comerciales, de código abierto y listos para usar; y
- (4) cumplir con otros requisitos que el Secretario pueda exigir a través de la regulación para demostrar una garantía razonable de que el dispositivo y los sistemas relacionados son ciberseguros.
- (a) deberá—
También establece que estos requisitos adicionales entrarán en vigor 90 días a partir de la fecha de promulgación de esta Ley, que sitúa como fecha de cumplimiento el 21 de marzo de 2023.
Información contradictoria:
Actualmente, como se detalla en nuestro documento técnico Borrador de orientación sobre seguridad cibernética de la FDA, la guía final aplicable de la FDA se describe en Contenido de las presentaciones previas a la comercialización para la gestión de la ciberseguridad en dispositivos médicos con fecha de 2014. Sin embargo, en 2022, la FDA publicó un borrador de guía actualizado, Ciberseguridad en dispositivos médicos: consideraciones del sistema de calidad y contenido de las presentaciones previas a la comercialización, que amplía significativamente la expectativa de actividades y documentación de ciberseguridad. Se entiende que la versión de 2022 es el pensamiento actual sobre este tema de la FDA, mientras que la guía final de 2014 es la que está actualmente en vigor y bajo cumplimiento.
La FDA confirmó que tienen la intención de finalizar el borrador de las pautas de 2022 este año cuando comunicaron sus pautas objetivo para priorizar en 2023 (Directrices propuestas por el CDRH para el año fiscal 2023 (FY2023) | FDA), sin embargo, todavía tenemos que ver fechas de publicación específicas o detalles sobre el alcance de las ediciones o cómo se revisará la guía final en comparación con el borrador de 2022.
Las obligaciones descritas en el proyecto de ley ómnibus se encuentran a mitad de camino entre las versiones de 2014 y 2022 de la guía, y las obligaciones se amplían de las que se encuentran actualmente en cumplimiento, pero no tan extensamente como las descritas en el borrador de 2022.
El plan posterior a la comercialización y los aspectos de procesos y procedimientos están parcialmente cubiertos por la guía final actual, pero no explícitamente palabra por palabra. La adición de una lista de materiales de software (sBOM) es nueva en la guía final actual, pero está cubierta en el borrador de la guía de 2022. El último requisito parece ser una declaración general que permite que la FDA y los organismos gubernamentales pertinentes se adapten a las mejores prácticas según sea necesario.
La FDA recomienda el uso del paquete eSTAR para envíos para garantizar que se proporcione el contenido correcto. La plantilla actual, versión 2-2, solo solicita los siguientes documentos en relación con la ciberseguridad: archivo(s) de gestión de riesgos, plan de gestión de ciberseguridad o plan de apoyo continuo, y una referencia al contenido de ciberseguridad dentro del etiquetado. Deberíamos esperar que esta plantilla se actualice para reflejar cualquier requisito adicional.
El proyecto de ley menciona explícitamente la guía titulada "Contenido de las presentaciones previas a la comercialización para la gestión de la seguridad cibernética en dispositivos médicos" (o un documento sucesor) y las obligaciones de la FDA de revisarlo y mantenerlo actualizado con los comentarios de "fabricantes de dispositivos, proveedores de atención, proveedores de servicios de dispositivos de terceros, defensores de pacientes y otras partes interesadas apropiadas”. Pero el límite de tiempo en este aspecto del proyecto de ley no es posterior a dos años, lo que entra en conflicto con la expectativa de 90 días.
Preguntas restantes:
Aquí es donde llegamos al quid de la cuestión, ¿cómo responde la industria a estos requisitos en conflicto?
El proyecto de ley establece que la FDA debe proporcionar recursos a más tardar 180 días después de la entrada en vigor de la ley, incluida la actualización del sitio web de la FDA sobre ciberseguridad. Pero de nuevo, esto viene después de la fecha límite para la industria.
Tendremos que esperar para ver cuándo esto se comunica oficialmente a la industria, ya sea mediante una actualización de la guía o por otros medios. Esperemos que esto suceda pronto para aclarar estas expectativas.
1 An factura de ómnibus es una propuesta ley que cubre una serie de temas diversos o no relacionados Proyecto de ley ómnibus - Wikipedia
Imagen: Can Stock Photo
helen simons es un Garantía de Calidad Gerente en StarFish Medical. La educación de Helen es en ingeniería mecánica, con experiencia en desarrollo de productos y desarrollo de QMS en múltiples industrias con productos industriales y de consumo para dispositivos médicos, IVD y dispositivos combinados.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://starfishmedical.com/blog/new-cybersecurity-requirements-in-the-us/
- 1
- 2014
- 2022
- 2023
- a
- capacidad
- Sobre
- a través de
- Actúe
- actividades
- adaptar
- adición
- Adicionales
- Información adicional
- dirección
- direccionamiento
- los defensores
- Después
- Todos
- Permitir
- entre
- y
- nadie
- aplicable
- Aplicación
- adecuado
- apropiaciones
- aprobación
- aprobado
- aspecto
- aspectos
- Seguro
- Hoy Disponibles
- evitar
- fondo
- "Ser"
- MEJOR
- y las mejores prácticas
- entre
- Bill
- llevar
- servicios sociales
- Causar
- el cambio
- características
- transparencia
- COM
- combinación
- cómo
- viniendo
- completo
- en comparación con
- compliance
- componentes
- Confirmar
- Contradictorio
- CONTACTO
- consideración
- consideraciones
- considerado
- consumidor
- contenido
- continuo
- control
- coordinado
- podría
- cubierto
- cubre suministros para
- crítico
- Current
- En la actualidad
- ciber
- La Ciberseguridad
- Fecha
- anticuado
- Fechas
- día
- Días
- Diciembre
- retrasos
- demostrar
- descrito
- Diseño
- detallado
- detalles
- desarrollar
- Desarrollo
- dispositivo
- Dispositivos
- HIZO
- directamente
- revelación
- discutido
- Pantalla
- diverso
- documento
- documentación
- documentos
- borrador
- Drogas
- Educación
- efecto
- ya sea
- cumplimiento
- Ingeniería
- garantizar
- asegurando que
- Éter (ETH)
- expandido
- se expande
- esperar
- expectativa
- las expectativas
- espera
- exploits
- Otoño
- FDA
- realimentación
- final
- finalizar
- Fiscal
- siguiendo
- Comida
- FORCE
- en
- universidad
- generado
- Gobierno
- gubernamental
- orientaciones
- suceder
- Salud
- Atención médica
- Oculto
- Con optimismo
- HOT
- Cómo
- Sin embargo
- HTML
- HTTPS
- identifica
- Identifique
- in
- incluye
- Incluye
- industrial
- industrias
- energético
- Noticias del Sector
- información
- instalado
- La intención
- intereses
- interesante
- Internet
- IT
- Guardar
- Clave
- conocido
- etiquetado
- Apellido
- LIMITE LAS
- mantener
- para lograr
- Management
- gerente
- Fabricantes
- Marzo
- Mercado
- materiales
- max-ancho
- significa
- mecánico
- Ingeniería mecánica
- servicios
- dispositivo médico
- dispositivos médicos
- Monitorear
- más,
- múltiples
- Nuevo
- noticias
- Nuevo
- número
- bonos
- Oficialmente
- ONE
- de código abierto
- Otro
- esbozado
- Outlook
- paquete
- parte
- Parches
- paciente
- (PDF)
- plan
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- jugador
- posible
- prácticas
- Preparar
- preparación
- previamente
- priorizar
- procedimientos
- en costes
- Producto
- desarrollo de productos
- Productos
- propuesto
- Protección
- proporcionar
- previsto
- los proveedores
- Publicación
- publicado
- Pone
- calidad
- Preguntas
- lectores
- mejor
- recepción
- de CFP.
- reflejar
- con respecto a
- regular
- Regulación
- relacionado
- relación
- solicitudes
- exigir
- Requisitos
- requisito
- Requisitos
- Recursos
- Responder
- una estrategia SEO para aparecer en las búsquedas de Google.
- Riesgo
- Gestión sistemática del riesgo,
- riesgos
- Sección
- (secciones)
- Senado
- Septiembre
- set
- Compartir
- tienes
- significativamente
- sencillos
- So
- Software
- Pronto
- soluciones y
- patrocinar
- las partes interesadas
- Estrella de mar
- Posicionamiento
- Zonas
- enviarlo a consideración
- Envíos
- enviar
- tal
- SOPORTE
- te
- Todas las funciones a su disposición
- Target
- tecnológico
- plantilla
- El
- su
- Ideas
- este año
- amenazas
- A través de esta formación, el personal docente y administrativo de escuelas y universidades estará preparado para manejar los recursos disponibles que derivan de la diversidad cultural de sus estudiantes. Además, un mejor y mayor entendimiento sobre estas diferencias y similitudes culturales permitirá alcanzar los objetivos de inclusión previstos.
- equipo
- a
- de hoy
- demasiado
- tema
- Temas
- Toronto
- bajo
- entendido
- Actualizar
- actualizado
- Actualizaciones
- actualización
- us
- Gobierno de los Estados Unidos
- utilizan el
- validado
- versión
- Video
- Vulnerabilidades
- vulnerabilidad
- Vulnerable
- esperar
- deseado
- Página web
- que
- mientras
- Blackpaper
- QUIENES
- extensamente
- Wikipedia
- seguirá
- dentro de
- Palabra
- escrito
- año
- años
- Youtube
- zephyrnet
