FDA kyberturvallisuuteen liittyvästä ennakkomarkkinointilausekkeiden sisällöstä

Sisällysluettelo

Asiakirjan viimeisin versio julkaistiin lokakuussa 2014. FDA: n ohjeessa ei sen oikeudellisen luonteen vuoksi esitetä mitään vaatimuksia, vaan siinä annetaan lisäselvennyksiä ja suosituksia, jotka asianosaisten on otettava huomioon. Lisäksi virasto toteaa, että vaihtoehtoista lähestymistapaa voitaisiin soveltaa, jos tällainen lähestymistapa on asianomaisten sääntelyvaatimusten mukainen ja viranomainen on hyväksynyt sen etukäteen. FDA pidättää myös oikeuden tehdä muutoksia suosituksiin, jos se katsotaan kohtuullisen tarpeelliseksi sovellettavan lainsäädännön muutosten huomioon ottamiseksi.

Lainsäädännön tausta 

Virasto tunnustaa Yhdysvaltojen markkinoille saatettujen lääkinnällisten laitteiden kyberturvallisuusasioiden kasvavan merkityksen. Nykyään yhä useammat lääkinnälliset laitteet vaativat yhteyden paikallisiin ja / tai maailmanlaajuisiin verkkoihin niiden normaalin toiminnan varmistamiseksi. Lukuisia lääkinnällisiä laitteita vaihdetaan myös potilaskohtaisen tiedon kanssa, joka on luonteeltaan arkaluonteista. Siksi on tärkeää varmistaa, että tällaisten laitteiden käyttö ei aiheuta perusteetonta riskiä potilaille. Auttaakseen lääkinnällisten laitteiden valmistajia ja muita osapuolia tunnistamaan kyberturvallisuuskysymyksiin liittyvät mahdolliset riskit, FDA on antanut tämän ohjeen, jossa korostetaan tärkeimmät näkökohdat, jotka on otettava huomioon tuotteen elinkaaren kaikissa vaiheissa markkinoinnin jälkeisestä markkinoinnista huolto. Asiakirjassa annetaan myös lisäselvityksiä lääkinnällisten laitteiden valmistajien toimittamien tietojen lakisääteisistä vaatimuksista, kun he hakevat tuotteidensa myyntilupaa. 

Tämän FDA: n ohjeiden soveltamisala kattaa tiedot, jotka sisällytetään markkinoiden ennakkoilmoituksiin kyberturvallisuuteen liittyvissä asioissa. Asiakirjan mukaan tehokkaan kyberturvallisuuden hallinnan on tarkoitus vähentää potilaille aiheutuvaa riskiä vähentämällä todennäköisyyttä, että riittämätön kyberturvallisuus vaarantaa laitteen toiminnallisuuden tahallaan tai tahattomasti. 

Oppaassa annettuja suosituksia voidaan soveltaa sellaisiin ennakkomarkkinointia koskeviin ilmoituksiin, kuten:

Ensinnäkin FDA antaa kyberturvallisuuteen liittyvissä asioissa käytettyjen tärkeimpien termien ja käsitteiden määritelmät, mukaan lukien seuraavat:

• Todennus - käyttäjän, prosessin tai laitteen henkilöllisyyden todentaminen, joka edellyttää pääsyä laitteeseen, sen tietoihin, tietoihin tai järjestelmiin.
• Kyberturvallisuus - prosessi, jolla estetään luvaton pääsy, muokkaus, väärinkäyttö tai käytön kieltäminen tai lääketieteellisestä laitteesta ulkoiselle vastaanottajalle tallennettujen, käytettyjen tai siirrettyjen tietojen luvaton käyttö. 
• Salaus - tietojen salausmuunnos muotoon, joka peittää tietojen alkuperäisen merkityksen estääkseen niiden tuntemisen tai käytön. 

Perusperiaatteet 

Ohjeessa kuvataan edelleen yleiset periaatteet, joihin nykyinen sääntely perustuu. Asiakirjan mukaan lääkinnällisen laitteen valmistajan tulisi olla vastuussa tarvittavista toimenpiteistä ja valvonnasta varmistaakseen, että lääkinnällinen laite täyttää kyberturvallisuuden kannalta sovellettavat lakisääteiset vaatimukset ja toimii turvallisesti ja tehokkaasti. 

Viranomainen myöntää kuitenkin, että lääkinnällisten laitteiden kyberturvallisuuden pitäisi yleensä olla kaikkien osapuolten yhteinen vastuu. Mahdolliset kyberturvallisuuskysymykset voivat vaikuttaa lääkinnällisen laitteen normaaliin toimintaan ja johtaa tietojen menetykseen tai jopa potilaan terveydelle aiheutuvaan vahinkoon. 

Kyberturvallisuusasioiden tärkeyden vuoksi lääketieteellisten laitteiden valmistajien tulisi ottaa ne huomioon alusta alkaen - alkuvaiheesta alkaen, koska tämä vähentää tällaista riskiä tehokkaimmin. Virasto toteaa erityisesti, että Valmistajien tulisi luoda kyberturvallisuuteen liittyvien laitteidensa suunnittelutiedot ja luoda kyberturvallisuushaavoittuvuus ja -hallintatapa osana ohjelmistojen validointia ja riskianalyyseja, joita vaaditaan 21 CFR: n 820.30 (g) mukaisesti. 

Lääketieteellisten laitteiden valmistajan on sovellettava kyberturvallisuuden hallinnan lähestymistapaa seuraaviin näkökohtiin: 

• Olemassa olevien ja mahdollisten kyberturvallisuuskysymysten ja haavoittuvuuksien tunnistaminen
• Analyysi vaikutuksista, joita yllä mainitut haavoittuvuudet mahdollisesti aiheuttavat itse laitteen toiminnalle sekä potilaiden terveydelle ja turvallisuudelle.
• Arvio tällaisiin haavoittuvuuksiin liittyvien ongelmien odotetusta todennäköisyydestä.
• Tunnistetaan riskitasot, määritetään strategiat ja lähestymistavat, joita voidaan soveltaa tällaisten riskien vähentämiseksi;
• Arvio kyberturvallisuuteen liittyvistä jäännösriskeistä sekä riskien hyväksymiskriteereistä. 

Keskeiset kyberturvallisuustoiminnot 

Lääkinnällisten laitteiden valmistajien auttamiseksi edellä kuvattujen periaatteiden toteuttamisessa ohjeissa annetaan suosituksia kyberturvallisuuteen liittyvistä erityistoiminnoista, nimittäin:

• Tunnistaa, 
• Suojella,
• Havaita,
• Vastaa ja
• Toipua.  

Asiakirjassa kuvataan edelleen yksityiskohtaisesti kukin näistä toiminnoista ja siitä, miten lääkinnällisen laitteen valmistajan tulisi toteuttaa ne. 

1. Tunnista ja suojaa. Virasto toteaa, että lääkinnälliset laitteet, jotka voidaan liittää muihin laitteisiin, paikallisiin tai globaaleihin verkkoihin tai jopa mediaan, vaativat eniten kyberturvallisuuden näkökulmaa verrattuna niihin, joihin ei ole kytketty millään tavalla. Erityiset sovellettavat kyberturvallisuustoimenpiteet ja valvontatoimet riippuvat lukuisista tekijöistä, mukaan lukien kyseisen lääkinnällisen laitteen käyttötarkoitus, ympäristö, jossa sitä käytetään, ja tunnistetut haavoittuvuudet. Näiden haavoittuvuuksien hyödyntämisen todennäköisyyttä ja niihin liittyviä riskejä, mukaan lukien potentiaalisen haitan aiheuttaminen potilaille, olisi myös harkittava. Samanaikaisesti valmistajan on luotava optimaalinen tasapaino laitteen turvallisuuden varmistamisen suhteen kyberturvallisuuteen liittyvissä asioissa ja tuotteen yleisen käytettävyyden välillä. Tässä yhteydessä lääkinnällisten laitteiden valmistajia kannustetaan perustelemaan tuotteissaan käytettävät turvatoiminnot. 

2. Tunnista, vastaa, palautu. Valmistajien on kehitettävä ja otettava käyttöön toimintoja, jotka havaitsevat käynnissä olevat turvallisuusongelmat ja toimittavat kaikki tarvittavat tiedot mahdollisille käyttötarkoituksille. Tällaisten tietojen tulisi kuvata toimet, kun ilmenee erilaisia ​​kyberturvallisuuskysymyksiä. Virasto korostaa lisäksi, että valmistajan toteuttamien toimintojen tulisi olla riittäviä lääkinnällisen laitteen normaalin toiminnan varmistamiseksi, vaikka kyberturvallisuuskysymys ilmenisi. Tämän lisäksi todennetulle etuoikeutetulle käyttäjälle pitäisi olla tekninen mahdollisuus palauttaa laitteen kokoonpano. 

Yhteenvetona tässä FDA: n ohjeessa kuvataan yksityiskohtaisesti tärkeimmät näkökohdat, jotka lääkinnällisten laitteiden valmistajien on otettava huomioon kyberturvallisuuskysymyksissä. Asiakirjassa hahmotellaan valmistajan päävastuut ja annetaan joitain suosituksia, jotka on otettava huomioon lääkinnällisten laitteiden kehitysprosessin eri vaiheissa. 

Lähteet:

https://www.fda.gov/media/86174/download 

Kuinka RegDesk voi auttaa?

RegDesk on seuraavan sukupolven verkkopohjainen ohjelmisto lääkinnällisiä laitteita ja IVD-yrityksiä varten. Huipputason alusta käyttää koneoppimista tarjoamaan sääntelyä, sovellusten valmistelua, toimittamista ja hyväksyntöjen hallintaa maailmanlaajuisesti. Asiakkaillamme on myös pääsy yli 4000 vaatimustenmukaisuuden asiantuntijan verkostoon maailmanlaajuisesti saadakseen varmennuksen kriittisistä kysymyksistä. Sovellukset, joiden valmistelu kestää normaalisti 6 kuukautta, voidaan nyt valmistaa 6 päivän kuluessa RegDesk Dash (TM) -palvelulla. Globaali laajentuminen ei ole koskaan ollut näin yksinkertaista.A