Uudet kyberturvallisuusvaatimukset Yhdysvalloissa

Kyberturvallisuus on lääkinnällisten laitteiden valmistajien ja muiden teollisuudenalojen keskeinen näkökohta nykymarkkinoilla. Olen aiemmin kirjoittanut aiheesta FDA:n odotukset kyberturvallisuusasiakirjoille lääketieteellisten laitteiden lähetyksiä varten ja puhui tästä aiheesta Medical Device Playbook Torontossa.

Saimme äskettäin tietoomme uusista kyberturvallisuusvaatimuksista, jotka tulevat voimaan Yhdysvalloissa "kyberlaitteiksi katsottaville" lääkinnällisille laitteille. Yhdysvaltain hallitus määrittelee kyberlaitteen, laitteen, joka:

• sisältää ohjelmiston, jonka sponsori on validoinut, asentanut tai valtuuttanut laitteeksi tai laitteessa;
• pystyy muodostamaan yhteyden Internetiin;
• sisältää sellaisia ​​sponsorin validoimia, asentamia tai valtuuttamia teknisiä ominaisuuksia, jotka voivat olla alttiina kyberturvallisuusuhkille.

Tämä on sitäkin mielenkiintoisempaa, koska näistä uusista vaatimuksista ei ole vielä tiedotettu suoraan FDA:lta tai niistä on keskusteltu laajasti alan uutisissa. Halusin jakaa tämän tiedon lukijoidemme kanssa, jotta sinäkin voit olla tietoinen siitä ja valmistautua ennakoivasti tähän muutokseen.

Tämä on kuuma aihe niille alan toimijoille, jotka valmistelevat parhaillaan lausuntoja. Haluat varmistaa, että oikeat asiakirjat luodaan ja toimitetaan osana lähetystä, jotta vältytään lisätietopyynnöiltä ja toimitusprosessin viivästymiseltä.

Uudet vaatimukset

Yhdysvaltain hallitus hyväksyi 21. joulukuuta 2022 kokoomalain¹ ("Konsolidoitu määrärahalaki, 2023”), joka koski pääasiassa valtion toiminnan rahoituksen varmistamista syyskuuhun 2023 asti, mutta sisältää myös alaosan, jossa käsitellään FDA:n lääkinnällisten laitteiden kyberturvallisuuden valvontaa.

Tämä lakiesitys sisältää huikeat 4,155 3,537 sivua, ja niiden välissä sivulla 510 513 on piilotettu keskeinen osa, joka yksilöi joukon kyberturvallisuusvaatimuksia, jotka hallitus odottaa saavansa kaikilta, jotka jättävät hakemuksen tai huomautuksen pykälän 515 (k) mukaisesti. , 515, 520(c), 510(f) tai XNUMX(m) Food, Drugs and Cosmetics Actin osalta. Tämä tarkoittaa, että jokaisen, joka toimittaa lääkinnällisen laitteen hyväksyntää tai hyväksyntää varten IDE-, XNUMX(k-), De Novo- tai PMA-polkujen mukaisesti, on nyt toimitettava seuraavat tiedot:

• (b) KYBERTURVAVAATIMUKSET – Kohdassa 3 kuvatun hakemuksen tai toimituksen sponsori
  • a) tulee –
    • (1) toimittaa sihteerille suunnitelman seurata, tunnistaa ja tarvittaessa korjata kohtuullisessa ajassa kyberturvallisuuden haavoittuvuuksia ja hyväksikäyttöjä markkinoille saattamisen jälkeen, mukaan lukien koordinoitu haavoittuvuuden paljastaminen ja niihin liittyvät menettelyt;
    • (2) suunnitella, kehittää ja ylläpitää prosesseja ja menettelytapoja, jotta saadaan kohtuullinen varmuus siitä, että laite ja siihen liittyvät järjestelmät ovat kyberturvallisia, ja asetettava saataville markkinoille saattamisen jälkeisiä päivityksiä ja korjauksia laitteeseen ja siihen liittyviin järjestelmiin
      • (A) kohtuullisesti perustellulla säännöllisellä jaksolla tunnetut haavoittuvuudet, joita ei voida hyväksyä; ja
      • (B) mahdollisimman pian pois syklistä kriittiset haavoittuvuudet, jotka voivat aiheuttaa hallitsemattomia riskejä;
    • (3) toimittaa sihteerille ohjelmistojen materiaaliluettelo, mukaan lukien kaupalliset, avoimen lähdekoodin ja valmiit ohjelmistokomponentit; ja
    • (4) noudatettava muita vaatimuksia, joita sihteeri voi vaatia asetuksella osoittaakseen kohtuullisen varmuuden siitä, että laite ja siihen liittyvät järjestelmät ovat kyberturvallisia.

Siinä todetaan myös, että nämä lisävaatimukset tulevat voimaan 90 päivää tämän lain voimaantulopäivästä, jolloin täytäntöönpanopäivä on 21.

Ristiriitaiset tiedot:

Tällä hetkellä, kuten tiedotteessamme on kuvattu FDA:n kyberturvallisuusohjeluonnos, sovellettavat FDA:n lopulliset ohjeet on esitetty kohdassa Lääketieteellisten laitteiden kyberturvallisuuden hallintaa koskevien markkinointia edeltävien lähetysten sisältö päivätty 2014. Vuonna 2022 FDA kuitenkin julkaisi päivitetyn ohjeluonnoksen, Kyberturvallisuus lääkinnällisissä laitteissa: laatujärjestelmää koskevat näkökohdat ja markkinointia edeltävien lausuntojen sisältö, mikä laajentaa merkittävästi kyberturvallisuustoimintojen ja -dokumentaation odotuksia. Vuoden 2022 version ymmärretään olevan FDA:n tämänhetkinen ajatus tästä aiheesta, kun taas vuoden 2014 lopullinen ohje on tällä hetkellä voimassa oleva ja täytäntöönpanovaiheessa.

FDA vahvisti, että he aikovat viimeistellä vuoden 2022 suuntaviivaluonnoksen tänä vuonna, kun he ilmoittivat tavoiteohjeistuksensa priorisoimiseksi vuonna 2023.CDRH:n ehdottamat ohjeet tilivuodelle 2023 (FY2023) | FDA), emme kuitenkaan ole vielä nähneet tarkkoja julkaisupäiviä tai tietoja muokkausten laajuudesta tai siitä, kuinka lopullinen ohje tarkistetaan vuoden 2022 luonnokseen verrattuna.

Kokoomalakiehdotuksessa hahmotellut velvoitteet jäävät ohjeen vuosien 2014 ja 2022 versioiden puoliväliin, ja velvoitteita on laajennettu tällä hetkellä täytäntöönpanossa olevista, mutta ei niin laajasti kuin vuoden 2022 luonnoksessa.

Markkinoille saattamisen jälkeinen suunnitelma sekä prosessit ja menettelytavat sisältyvät osittain nykyiseen lopulliseen ohjeeseen, mutta eivät nimenomaisesti sanasta sanaan. Ohjelmistoluettelon (sBOM) lisääminen on uutta nykyiseen lopulliseen ohjeeseen, mutta se katetaan vuoden 2022 ohjeluonnoksessa. Viimeinen vaatimus näyttää olevan yleislausunto, jonka avulla FDA ja asiaankuuluvat hallintoelimet voivat mukautua parhaisiin käytäntöihin tarpeen mukaan.

FDA suosittelee eSTAR-paketin käyttöä lähetyksissä varmistaakseen oikean sisällön. Nykyinen malli, versio 2-2, pyytää vain seuraavia kyberturvallisuuteen liittyviä asiakirjoja: riskienhallintatiedosto(t), kyberturvallisuuden hallintasuunnitelma tai suunnitelma jatkuvasta tuesta sekä viittaus kyberturvallisuussisältöön merkinnöissä. Meidän pitäisi odottaa, että tämä malli päivitetään mahdollisten lisävaatimusten mukaan.

Lakiehdotuksessa mainitaan nimenomaisesti ohjeet "Lääketieteellisten laitteiden kyberturvallisuuden hallintaa koskevien markkinoille saattamista edeltävien toimitusten sisältö" (tai seuraajaasiakirja) ja FDA:n velvollisuudet tarkistaa se ja pitää se ajan tasalla "laitevalmistajilta, terveydeltä saadun palautteen perusteella" hoidon tarjoajat, kolmannen osapuolen laitehuoltopalvelut, potilaiden asianajajat ja muut asianmukaiset sidosryhmät." Mutta tämän laskun osan määräaika on enintään kaksi vuotta, mikä on ristiriidassa 90 päivän odotuksen kanssa.

Jäljellä olevat kysymykset:

Tästä päästäänkin asian ytimeen, miten teollisuus reagoi näihin ristiriitaisiin vaatimuksiin?

Lakiehdotuksessa todetaan, että FDA:n tulee tarjota resursseja viimeistään 180 päivän kuluttua lain voimaantulosta, mukaan lukien FDA:n kyberturvallisuutta käsittelevän verkkosivuston päivittäminen. Mutta jälleen kerran, tämä tulee teollisuuden määräajan jälkeen.

Meidän on odotettava, milloin tämä tiedotetaan virallisesti teollisuudelle joko ohjeiden päivityksellä tai muilla tavoilla. Toivottavasti tämä tapahtuu pian ja tuo selvyyttä näihin odotuksiin.

¹ An omnibus-lasku on ehdotettu laki joka kattaa useita erilaisia ​​tai toisiinsa liittymättömiä aiheita Omnibus Bill - Wikipedia

Kuva: CanStock valokuva

Helen Simons on Laatuvakuutus Johtaja StarFish Medicalissa. Helenin koulutus on konetekniikan alalta, ja hänellä on taustalla tuotekehitys ja QMS-kehitys useilla toimialoilla kuluttaja- ja teollisuustuotteista lääkinnällisiin laitteisiin, IVD:hen ja yhdistelmälaitteisiin.



---

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
• Lähde: https://starfishmedical.com/blog/new-cybersecurity-requirements-in-the-us/