امنیت سایبری یک نکته کلیدی در بازار امروز برای سازندگان تجهیزات پزشکی و سایر صنایع است. قبلاً در مورد آن نوشته بودم انتظارات FDA برای اسناد امنیت سایبری برای ارسال تجهیزات پزشکی، و در مورد این موضوع در کتاب راهنمای تجهیزات پزشکی تورنتو صحبت کرده است.
اخیراً، ما از الزامات جدید امنیت سایبری که در ایالات متحده برای دستگاههای پزشکی که «دستگاههای سایبری» در نظر گرفته میشوند، به اجرا در میآیند، آگاه شدیم. دولت ایالات متحده یک دستگاه سایبری را تعریف می کند، دستگاهی که:
- شامل نرم افزار تایید شده، نصب شده یا مجاز توسط اسپانسر به عنوان یک دستگاه یا در یک دستگاه؛
- قابلیت اتصال به اینترنت را دارد.
- حاوی هر گونه ویژگی فن آوری تایید شده، نصب شده یا مجاز توسط حامی مالی است که می تواند در برابر تهدیدات امنیت سایبری آسیب پذیر باشد.
این موضوع جالبتر است زیرا این الزامات جدید هنوز مستقیماً از FDA ابلاغ نشده و یا به طور گسترده در اخبار صنعت مورد بحث قرار نگرفته است. من می خواستم این اطلاعات را با خوانندگان خود به اشتراک بگذارم تا شما نیز از آن آگاه شوید و فعالانه برای این تغییر آماده شوید.
برای کسانی که در صنعت در حال آماده سازی ارسال هستند، این یک موضوع داغ است. شما باید مطمئن شوید که مستندات درست به عنوان بخشی از ارسال ارائه شده است تا از درخواست اطلاعات اضافی و تاخیر در فرآیند ارسال جلوگیری شود.
الزامات جدید
در 21 دسامبر 2022، دولت ایالات متحده یک لایحه omnibus را تصویب کرد1 ("قانون اعتبارات تلفیقی ، 2023”) که عمدتاً در مورد اطمینان از تأمین بودجه برای فعالیت های دولتی تا سپتامبر 2023 بود، اما همچنین شامل یک بخش فرعی است که به کنترل FDA بر امنیت سایبری تجهیزات پزشکی می پردازد.
این لایحه شامل 4,155 صفحه است و در میان آنها پنهان شده است، در صفحه 3,537، بخش مورد علاقه کلیدی است که مجموعه ای از الزامات امنیت سایبری را مشخص می کند که دولت انتظار دارد از هر کسی که درخواست یا ارسالی را ارائه می کند تحت بخش های 510(k) دریافت کند. ، 513، 515(c)، 515(f)، یا 520(m) در رابطه با قانون غذا، دارو و آرایشی و بهداشتی. این بدان معنی است که هرکسی که یک دستگاه پزشکی را برای تأیید یا ترخیص تحت مسیرهای IDE، 510(k)، De Novo یا PMA ارسال می کند، اکنون ملزم به ارائه موارد زیر است:
- (ب) الزامات امنیت سایبری - حامی یک برنامه یا ارسالی که در بخش 3 توضیح داده شده است
- (الف) باید-
- (1) طرحی را برای نظارت، شناسایی و رسیدگی به آسیبپذیریها و سوءاستفادههای امنیتی سایبری پس از بازار، از جمله افشای آسیبپذیری هماهنگ و رویههای مرتبط، در زمان مناسب به وزیر ارائه کند.
- (2) طراحی، توسعه و حفظ فرآیندها و رویهها برای ارائه اطمینان معقول از امنیت سایبری دستگاه و سیستمهای مرتبط، و در دسترس قرار دادن بهروزرسانیها و وصلههای postmarket برای دستگاه و سیستمهای مرتبط برای آدرسدهی:
- (الف) در یک چرخه منظم قابل توجیه، آسیب پذیری های غیر قابل قبول شناخته شده؛ و
- (ب) در اسرع وقت خارج از چرخه، آسیب پذیری های حیاتی که می تواند خطرات کنترل نشده ایجاد کند.
- (3) یک لایحه مواد نرم افزاری، شامل اجزای نرم افزار تجاری، منبع باز، و خارج از قفسه را به وزیر ارائه دهد. و
- (4) مطابق با سایر الزامات مورد نیاز وزیر از طریق مقررات برای نشان دادن اطمینان معقول از امنیت سایبری دستگاه و سیستمهای مرتبط.
- (الف) باید-
همچنین بیان می کند که این الزامات اضافی اعمال خواهند شد روز 90 از تاریخ تصویب این قانون که تاریخ انطباق را 21 مارس 2023 تعیین می کند.
اطلاعات متناقض:
در حال حاضر، همانطور که در وایت پیپر ما توضیح داده شده است پیش نویس دستورالعمل FDA امنیت سایبری، راهنمای نهایی قابل اجرا از FDA در شرح داده شده است محتوای ارسالی قبل از بازار برای مدیریت امنیت سایبری در تجهیزات پزشکی به تاریخ 2014. با این حال، در سال 2022، FDA یک پیش نویس دستورالعمل به روز شده را منتشر کرد. امنیت سایبری در تجهیزات پزشکی: ملاحظات سیستم کیفیت و محتوای ارسالی قبل از بازار، که به طور قابل توجهی انتظارات برای فعالیت ها و مستندات امنیت سایبری را گسترش می دهد. نسخه 2022 تفکر فعلی FDA در مورد این موضوع است، در حالی که دستورالعمل نهایی 2014 همان چیزی است که در حال حاضر در حال اجرا و در حال اجرا است.
FDA تأیید کرد که آنها قصد دارند پیش نویس دستورالعمل های 2022 را در سال جاری نهایی کنند، زمانی که آنها دستورالعمل های هدف خود را برای اولویت بندی در سال 2023 ابلاغ کردند.رهنمودهای پیشنهادی CDRH برای سال مالی 2023 (FY2023) | FDA)، با این حال ما هنوز تاریخ انتشار یا جزئیات خاصی در مورد گستردگی ویرایش ها یا نحوه اصلاح دستورالعمل نهایی در مقایسه با پیش نویس 2022 مشاهده نکرده ایم.
تعهدات ذکر شده در لایحه جامع در نیمه راه بین نسخههای 2014 و 2022 دستورالعمل قرار میگیرند، با تعهداتی که در حال حاضر در حال اجرا هستند، اما نه به اندازه مواردی که در پیشنویس 2022 مشخص شده است.
برنامه پس از فروش و جنبه های فرآیندها و رویه تا حدی توسط راهنمای نهایی فعلی پوشش داده شده است، اما به طور صریح کلمه به کلمه نیست. افزودن یک لایحه مواد نرم افزاری (sBOMs) در راهنمای نهایی فعلی جدید است اما در پیش نویس راهنمای 2022 پوشش داده شده است. به نظر میرسد آخرین الزام، بیانیه جامعی است که به FDA و نهادهای دولتی مربوطه اجازه میدهد تا در صورت لزوم با بهترین شیوهها سازگار شوند.
FDA برای اطمینان از ارائه محتوای صحیح، استفاده از بسته eSTAR را برای ارسال پیشنهاد می کند. الگوی فعلی، نسخه 2-2، فقط اسناد زیر را در رابطه با امنیت سایبری درخواست میکند: فایل(های) مدیریت ریسک، طرح یا طرح مدیریت امنیت سایبری برای پشتیبانی مداوم، و اشاره به محتوای امنیت سایبری در برچسبگذاری. ما باید انتظار داشته باشیم که این الگو به روز شود تا هرگونه نیاز اضافی را منعکس کند.
این لایحه به صراحت به دستورالعملی با عنوان «محتوای ارسالی قبل از بازار برای مدیریت امنیت سایبری در دستگاههای پزشکی» (یا یک سند جانشین) و تعهدات FDA برای بررسی آن و به روز نگه داشتن آن با بازخورد «سازندگان دستگاه، سلامت» اشاره میکند. ارائه دهندگان مراقبت، سرویس دهندگان دستگاه های شخص ثالث، حامیان بیمار و سایر ذینفعان مناسب. اما محدودیت زمانی برای این جنبه از لایحه حداکثر دو سال است که با انتظار 90 روزه در تضاد است.
سوالات باقی مانده:
اینجاست که به اصل موضوع می رسیم، صنعت چگونه به این الزامات متضاد پاسخ می دهد؟
در این لایحه آمده است که FDA باید منابعی را حداکثر تا 180 روز پس از لازم الاجرا شدن این قانون ارائه دهد، از جمله به روز رسانی وب سایت FDA در مورد امنیت سایبری. اما دوباره، این پس از ضرب الاجل برای صنعت می آید.
باید منتظر بمانیم تا ببینیم چه زمانی این به طور رسمی به صنعت از طریق به روز رسانی راهنما یا از طریق روش های دیگر ابلاغ می شود. امیدوارم به زودی این اتفاق بیفتد تا این انتظارات روشن شود.
1 An صورتحساب omnibus پیشنهادی است قانون که تعدادی از موضوعات متنوع یا نامرتبط را پوشش می دهد بیل Omnibus – ویکی پدیا
تصویر: عکس CanStock
هلن سیمونز هست یک تضمین کیفیت مدیر StarFish Medical. تحصیلات هلن در مهندسی مکانیک، با پیشینه توسعه محصول و توسعه QMS در صنایع مختلف با محصولات مصرفی و صنعتی تا دستگاه های پزشکی، IVD و دستگاه های ترکیبی است.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
- منبع: https://starfishmedical.com/blog/new-cybersecurity-requirements-in-the-us/
- 1
- 2014
- 2022
- 2023
- a
- توانایی
- درباره ما
- در میان
- عمل
- فعالیت ها
- وفق دادن
- اضافه
- اضافی
- اطلاعات اضافی
- نشانی
- خطاب به
- طرفداران
- پس از
- معرفی
- اجازه دادن
- در میان
- و
- هر کس
- مربوط
- کاربرد
- مناسب
- اعتبارات
- تصویب
- تایید کرد
- ظاهر
- جنبه
- اطمینان
- در دسترس
- اجتناب از
- زمینه
- بودن
- بهترین
- بهترین شیوه
- میان
- لایحه
- به ارمغان بیاورد
- اهميت دادن
- علت
- تغییر دادن
- مشخصات
- وضوح
- COM
- ترکیب
- بیا
- آینده
- تجاری
- مقایسه
- انطباق
- اجزاء
- تکرار
- درگیری
- اتصال
- توجه
- ملاحظات
- در نظر گرفته
- مصرف کننده
- محتوا
- مداوم
- کنترل
- هماهنگ
- میتوانست
- پوشش داده شده
- را پوشش می دهد
- بحرانی
- جاری
- در حال حاضر
- سایبر
- امنیت سایبری
- تاریخ
- مورخ
- تاریخ
- روز
- روز
- دسامبر
- تاخیر
- نشان دادن
- شرح داده شده
- طرح
- دقیق
- جزئیات
- توسعه
- پروژه
- دستگاه
- دستگاه ها
- DID
- مستقیما
- افشاء
- بحث کردیم
- نمایش دادن
- مختلف
- سند
- مستندات
- اسناد و مدارک
- پیش نویس
- مواد مخدر
- آموزش
- اثر
- هر دو
- اجرای
- مهندسی
- اطمینان حاصل شود
- حصول اطمینان از
- اتر (ETH)
- منبسط
- گسترش می یابد
- انتظار
- انتظار
- انتظارات
- انتظار می رود
- سوء استفاده
- سقوط
- FDA
- باز خورد
- نهایی
- نهایی کردن
- مالی
- پیروی
- غذا
- استحکام
- از جانب
- بودجه
- تولید
- دولت
- دولتی
- دستورالعمل ها
- رخ دادن
- سلامتی
- مراقبت های بهداشتی
- پنهان
- خوشبختانه
- HOT
- چگونه
- اما
- HTML
- HTTPS
- شناسایی می کند
- شناسایی
- in
- شامل
- از جمله
- صنعتی
- لوازم
- صنعت
- اخبار صنعت
- اطلاعات
- نصب شده
- قصد داشتن
- علاقه
- جالب
- اینترنت
- موضوع
- IT
- نگاه داشتن
- کلید
- شناخته شده
- برچسب زدن
- نام
- محدود
- حفظ
- ساخت
- مدیریت
- مدیر
- تولید کنندگان
- مارس
- بازار
- مصالح
- حداکثر عرض
- به معنی
- مکانیکی
- مهندسی مکانیک
- پزشکی
- دستگاه پزشکی
- تجهیزات پزشکی
- مانیتور
- بیش
- چندگانه
- جدید
- اخبار
- نوو
- عدد
- اوراق قرضه
- رسما
- ONE
- منبع باز
- دیگر
- مشخص شده
- چشم انداز
- بسته
- بخش
- پچ های
- بیمار
- برنامه
- افلاطون
- هوش داده افلاطون
- PlatoData
- بازیکن
- ممکن
- شیوه های
- آماده
- آماده
- قبلا
- اولویت بندی
- روش
- روند
- فرآیندهای
- محصول
- توسعه محصول
- محصولات
- پیشنهاد شده
- حفاظت
- ارائه
- ارائه
- ارائه دهندگان
- انتشار
- منتشر شده
- قرار می دهد
- کیفیت
- سوالات
- خوانندگان
- معقول
- گرفتن
- توصیه می کند
- بازتاب
- با توجه
- منظم
- تنظیم
- مربوط
- ارتباط
- مربوط
- درخواست
- نیاز
- ضروری
- نیاز
- مورد نیاز
- منابع
- پاسخ
- این فایل نقد می نویسید:
- خطر
- مدیریت ریسک
- خطرات
- بخش
- بخش
- مجلس سنا
- سپتامبر
- تنظیم
- اشتراک گذاری
- باید
- به طور قابل توجهی
- ساده
- So
- نرم افزار
- بزودی
- خاص
- حامی
- سهامداران
- ستاره دریایی
- بیانیه
- ایالات
- ارسال
- مطالب ارسالی
- ارسال
- چنین
- پشتیبانی
- سیستم
- سیستم های
- هدف
- فنی
- قالب
- La
- شان
- تفکر
- در این سال
- تهدید
- از طریق
- زمان
- به
- امروز
- هم
- موضوع
- تاپیک
- تورنتو
- زیر
- فهمید
- بروزرسانی
- به روز شده
- به روز رسانی
- به روز رسانی
- us
- دولت ایالات متحده
- استفاده کنید
- تایید شده
- نسخه
- تصویری
- آسیب پذیری ها
- آسیب پذیری
- آسیب پذیر
- صبر کنيد
- خواسته
- سایت اینترنتی
- که
- در حین
- نشریه
- WHO
- به طور گسترده ای
- ویکیپدیا
- اراده
- در داخل
- کلمه
- کتبی
- سال
- سال
- یوتیوب
- زفیرنت