FDA sur le contenu lié à la cybersécurité des soumissions préalables à la commercialisation

Table des matières

La dernière version du document a été publiée en octobre 2014. En raison de sa nature juridique, le guide de la FDA n'introduit aucune exigence en soi, mais fournit des clarifications et des recommandations supplémentaires à prendre en compte par les parties concernées. De plus, l'Agence déclare qu'une approche alternative pourrait être appliquée, à condition qu'une telle approche soit conforme aux exigences réglementaires respectives et ait été préalablement approuvée par l'autorité. La FDA se réserve également le droit d'apporter des modifications aux recommandations qui y sont fournies si cela est jugé raisonnablement nécessaire pour refléter les modifications apportées à la législation applicable.

Contexte réglementaire 

L'Agence reconnaît l'importance croissante des questions de cybersécurité liées aux dispositifs médicaux mis sur le marché américain. De nos jours, de plus en plus de dispositifs médicaux nécessitent une connexion à des réseaux locaux et/ou mondiaux afin d'assurer leur fonctionnement normal. De nombreux dispositifs médicaux sont également impliqués dans les échanges d'informations relatives aux patients qui sont de nature sensible. Ainsi, il est important de s'assurer que l'utilisation de tels dispositifs n'entraîne pas de risques injustifiés pour les patients. Afin d'aider les fabricants de dispositifs médicaux et d'autres parties à identifier les risques potentiels associés aux problèmes de cybersécurité, la FDA a publié les présentes directives soulignant les aspects les plus importants à prendre en considération à toutes les étapes du cycle de vie du produit, du développement à la post-commercialisation. maintenance. Le document fournit également des clarifications supplémentaires concernant les exigences réglementaires concernant les informations à fournir par les fabricants de dispositifs médicaux lors de la demande d'autorisation de mise sur le marché de leurs produits. 

Le champ d'application des présentes directives de la FDA couvre les informations à inclure dans les soumissions préalables à la commercialisation en termes de questions liées à la cybersécurité. Selon le document, une gestion efficace de la cybersécurité vise à réduire le risque pour les patients en diminuant la probabilité que la fonctionnalité de l'appareil soit intentionnellement ou non compromise par une cybersécurité inadéquate. 

Les recommandations fournies dans les lignes directrices pourraient s'appliquer à des types de présentations préalables à la commercialisation tels que :

Premièrement, la FDA fournit les définitions des termes et concepts les plus importants utilisés dans le contexte des questions liées à la cybersécurité, notamment les suivants :

• Authentification – l'acte de vérifier l'identité d'un utilisateur, d'un processus ou d'un appareil comme condition préalable à l'autorisation d'accéder à l'appareil, à ses données, informations ou systèmes.
• La cyber-sécurité - le processus visant à empêcher l'accès non autorisé, la modification, l'utilisation abusive ou le refus d'utilisation, ou l'utilisation non autorisée d'informations stockées, consultées ou transférées d'un dispositif médical à un destinataire externe. 
• Chiffrement - la transformation cryptographique des données sous une forme qui dissimule la signification originale des données pour empêcher qu'elles soient connues ou utilisées. 

Principes de base 

Les lignes directrices décrivent en outre les principes généraux sur lesquels repose l'approche réglementaire actuelle. Selon le document, le fabricant du dispositif médical devrait être responsable des mesures et des contrôles nécessaires pour garantir que le dispositif médical répond aux exigences réglementaires applicables en termes de cybersécurité et fonctionne de manière sûre et efficace. 

Cependant, l'autorité reconnaît que la cybersécurité des dispositifs médicaux, en général, devrait être une responsabilité partagée de toutes les parties concernées. Des problèmes potentiels de cybersécurité pourraient avoir un impact sur le fonctionnement normal d'un dispositif médical et entraîner une perte de données ou même des dommages à la santé du patient. 

En raison de l'importance des questions de cybersécurité, elles doivent être prises en compte par les fabricants de dispositifs médicaux dès le début, dès la phase de développement initiale, car cela atténuera ce risque de la manière la plus efficace. En particulier, l'Agence indique que le les fabricants doivent établir des éléments de conception pour leur appareil liés à la cybersécurité et établir une approche de gestion et de vulnérabilité de la cybersécurité dans le cadre de la validation logicielle et de l'analyse des risques requises par 21 CFR 820.30(g). 

L'approche de gestion de la cybersécurité à employer par le fabricant du dispositif médical doit couvrir les aspects suivants : 

• Identification des problèmes et vulnérabilités de cybersécurité existants et potentiels ;
• Analyse de l'impact que les vulnérabilités susmentionnées pourraient potentiellement causer sur le fonctionnement de l'appareil lui-même, ainsi que sur la santé et la sécurité des patients ;
• Évaluation de la probabilité attendue des problèmes associés à ces vulnérabilités ;
• Identification des niveaux de risque, détermination des stratégies et approches qui pourraient être appliquées afin d'atténuer ces risques ;
• Évaluation des risques résiduels associés à la cybersécurité, ainsi que des critères d'acceptation des risques. 

Fonctions clés de cybersécurité 

Afin d'aider les fabricants de dispositifs médicaux à mettre en œuvre les principes décrits ci-dessus, le guide fournit des recommandations concernant les fonctions particulières liées à la cybersécurité, à savoir :

• Identifier, 
• Protéger,
• Détecter,
• Répondez, et
• Récupérer.  

Le document décrit en outre en détail chacune de ces fonctions et comment elles doivent être mises en œuvre par le fabricant du dispositif médical. 

1. Identifiez et protégez. L'Agence précise que les dispositifs médicaux pouvant être connectés à d'autres appareils, à des réseaux locaux ou mondiaux, voire à des médias nécessitent le plus d'attention en termes de cybersécurité par rapport à ceux qui ne sont connectés d'aucune manière. Les mesures et contrôles de cybersécurité particuliers à appliquer dépendent de nombreux facteurs, notamment l'utilisation prévue du dispositif médical en question, l'environnement dans lequel il sera utilisé et les vulnérabilités identifiées. La probabilité que ces vulnérabilités soient exploitées et les risques qui y sont associés, notamment en causant des dommages potentiels aux patients, doivent également être pris en compte. Dans le même temps, le fabricant doit établir un équilibre optimal entre la garantie de la sécurité du dispositif en termes de cybersécurité et la facilité d'utilisation générale du produit. Dans ce contexte, les fabricants de dispositifs médicaux sont encouragés à justifier les fonctions de sécurité mises en œuvre dans leurs produits. 

2. Détectez, répondez, récupérez. Les fabricants doivent développer et introduire des fonctions qui détectent les problèmes de sécurité en cours et fournissent toutes les informations nécessaires aux utilisations potentielles. Ces informations devraient décrire les actions en cas de divers problèmes de cybersécurité. L'Agence souligne en outre que les fonctions mises en œuvre par le fabricant devraient être suffisantes pour assurer le fonctionnement normal d'un dispositif médical même en cas de problème de cybersécurité. En dehors de cela, il devrait y avoir une possibilité technique pour un utilisateur privilégié authentifié de récupérer la configuration de l'appareil. 

En résumé, le présent guide de la FDA décrit en détail les aspects les plus importants à prendre en compte par les fabricants de dispositifs médicaux dans le contexte des problèmes de cybersécurité. Le document décrit les principales responsabilités du fabricant et fournit quelques recommandations à prendre en considération sur les différentes étapes d'un processus de développement d'un dispositif médical. 

Sources:

https://www.fda.gov/media/86174/download 

Comment RegDesk peut-il aider?

RegDesk est un logiciel Web de nouvelle génération destiné aux entreprises de dispositifs médicaux et de DIV. Notre plate-forme de pointe utilise l'apprentissage automatique pour fournir des renseignements réglementaires, la préparation des demandes, la soumission et la gestion des approbations à l'échelle mondiale. Nos clients ont également accès à notre réseau de plus de 4000 experts en conformité dans le monde entier pour obtenir une vérification sur des questions critiques. Les applications qui prennent normalement 6 mois à préparer peuvent désormais être préparées dans les 6 jours à l'aide de RegDesk Dash (TM). L'expansion mondiale n'a jamais été aussi simple.