Nouvelles exigences en matière de cybersécurité aux États-Unis

La cybersécurité est une considération clé sur le marché actuel pour les fabricants de dispositifs médicaux et d'autres industries. J'ai déjà écrit sur le Les attentes de la FDA en matière de documentation sur la cybersécurité pour les soumissions de dispositifs médicaux, et parlé de ce sujet à Medical Device Playbook Toronto.

Récemment, nous avons pris connaissance de nouvelles exigences en matière de cybersécurité qui entrent en vigueur aux États-Unis pour les dispositifs médicaux considérés comme des « cyberdispositifs ». Le gouvernement américain définit un cyberdispositif, un dispositif qui :

• comprend un logiciel validé, installé ou autorisé par le commanditaire en tant qu'appareil ou dans un appareil ;
• a la capacité de se connecter à Internet;
• contient de telles caractéristiques technologiques validées, installées ou autorisées par le commanditaire qui pourraient être vulnérables aux menaces de cybersécurité.

C'est d'autant plus intéressant que ces nouvelles exigences n'ont pas encore été communiquées directement par la FDA ni largement discutées dans l'actualité du secteur. Je voulais partager cette information avec nos lecteurs afin que vous aussi puissiez en prendre connaissance et vous préparer de manière proactive à ce changement.

Pour ceux de l'industrie qui préparent actuellement des soumissions, il s'agit d'un sujet brûlant. Vous voudrez vous assurer que la bonne documentation est générée et fournie dans le cadre de la soumission pour éviter les demandes d'informations supplémentaires et les retards dans le processus de soumission.

Nouvelles exigences

Le 21 décembre 2022, le gouvernement américain a approuvé un projet de loi omnibus¹ ("Loi de crédits consolidée de 2023”), qui visait principalement à assurer le financement des activités gouvernementales jusqu'en septembre 2023, mais comprend également une sous-section traitant du contrôle par la FDA de la cybersécurité des dispositifs médicaux.

Ce projet de loi comprend 4,155 3,537 pages stupéfiantes, et cachée parmi elles, à la page 510 513, se trouve la section d'intérêt clé, qui identifie un ensemble d'exigences en matière de cybersécurité, que le gouvernement s'attend à recevoir de toute personne soumettant une demande ou une soumission en vertu des sections 515(k) , 515, 520(c), 510(f) ou XNUMX(m) en relation avec la Food, Drugs and Cosmetics Act. Cela signifie que toute personne qui soumet un dispositif médical pour approbation ou autorisation dans le cadre des voies IDE, XNUMX(k), De Novo ou PMA est désormais tenue de fournir les éléments suivants :

• (b) EXIGENCES EN MATIÈRE DE CYBERSÉCURITÉ—Le promoteur d'une demande ou d'une soumission décrite à la sous-section 3
  • (a) doit—
    • (1) soumettre au secrétaire un plan pour surveiller, identifier et traiter, le cas échéant, dans un délai raisonnable, les vulnérabilités et exploits de cybersécurité post-commercialisation, y compris la divulgation coordonnée des vulnérabilités et les procédures connexes ;
    • (2) concevoir, développer et maintenir des processus et des procédures pour fournir une assurance raisonnable que l'appareil et les systèmes associés sont cybersécurisés, et rendre disponibles les mises à jour et les correctifs post-commercialisation de l'appareil et des systèmes associés pour répondre :
      • (A) sur un cycle régulier raisonnablement justifié, des vulnérabilités inacceptables connues ; et
      • (B) dès que possible hors cycle, les vulnérabilités critiques qui pourraient engendrer des risques non maîtrisés ;
    • (3) fournir au secrétaire une nomenclature logicielle, y compris des composants logiciels commerciaux, open source et prêts à l'emploi ; et
    • (4) se conformer aux autres exigences que le secrétaire peut exiger par voie de règlement pour démontrer une assurance raisonnable que l'appareil et les systèmes connexes sont cybersécurisés.

Il indique également que ces exigences supplémentaires entreront en vigueur 90 jours à compter de la date de promulgation de la présente loi, qui fixe la date de mise en conformité au 21 mars 2023.

Informations contradictoires :

Actuellement, comme détaillé dans notre livre blanc Projet de directives de la FDA sur la cybersécurité, les directives finales applicables de la FDA sont décrites dans Contenu des soumissions de précommercialisation pour la gestion de la cybersécurité dans les dispositifs médicaux daté de 2014. Cependant, en 2022, la FDA a publié un projet de directives mis à jour, Cybersécurité dans les dispositifs médicaux : Considérations sur le système qualité et contenu des soumissions de précommercialisation, ce qui élargit considérablement les attentes en matière d'activités et de documentation en matière de cybersécurité. La version 2022 est censée être la réflexion actuelle sur ce sujet de la part de la FDA, tandis que les directives finales de 2014 sont celles actuellement en vigueur et en cours d'application.

La FDA a confirmé qu'elle avait l'intention de finaliser le projet de lignes directrices de 2022 cette année lorsqu'elle a communiqué ses directives cibles à prioriser en 2023 (Orientations proposées par le CDRH pour l'exercice 2023 (exercice 2023) | FDA), mais nous n'avons pas encore vu de dates de publication spécifiques ni de détails sur l'étendue des modifications ou sur la manière dont les orientations finales seront révisées par rapport au projet de 2022.

Les obligations décrites dans le projet de loi omnibus se situent à mi-chemin entre les versions 2014 et 2022 des directives, les obligations étant élargies par rapport à celles actuellement en vigueur, mais pas aussi largement que celles décrites dans le projet de 2022.

Le plan post-commercialisation et les aspects processus et procédures sont partiellement couverts par les orientations finales actuelles mais pas explicitement mot pour mot. L'ajout d'une nomenclature logicielle (sBOM) est nouveau dans les directives finales actuelles, mais est couvert dans le projet de directives de 2022. La dernière exigence semble être une déclaration fourre-tout permettant à la FDA et aux organismes gouvernementaux concernés de s'adapter aux meilleures pratiques selon les besoins.

La FDA recommande l'utilisation du package eSTAR pour les soumissions afin de s'assurer que le contenu correct est fourni. Le modèle actuel, version 2-2, ne demande que les documents suivants relatifs à la cybersécurité : dossier(s) de gestion des risques, plan de gestion de la cybersécurité ou plan de soutien continu, et une référence au contenu de cybersécurité dans l'étiquetage. Nous devrions nous attendre à ce que ce modèle soit mis à jour pour refléter toute exigence supplémentaire.

Le projet de loi mentionne explicitement les directives intitulées «Contenu des soumissions de précommercialisation pour la gestion de la cybersécurité dans les dispositifs médicaux» (ou un document successeur) et les obligations de la FDA de les examiner et de les tenir à jour avec les commentaires des «fabricants de dispositifs, de la santé prestataires de soins, réparateurs d'appareils tiers, défenseurs des patients et autres parties prenantes appropriées. Mais le délai pour cet aspect du projet de loi n'est pas supérieur à deux ans, ce qui est en contradiction avec l'attente de 90 jours.

Questions restantes :

C'est là que nous arrivons au cœur du problème, comment l'industrie répond-elle à ces exigences contradictoires ?

Le projet de loi stipule que la FDA devrait fournir des ressources au plus tard 180 jours après l'entrée en vigueur de la loi, y compris la mise à jour du site Web de la FDA sur la cybersécurité. Mais encore une fois, cela vient après la date limite pour l'industrie.

Nous devrons attendre de voir quand cela sera officiellement communiqué à l'industrie, soit par une mise à jour des directives, soit par d'autres moyens. Espérons que cela arrivera bientôt pour clarifier ces attentes.

¹ An projet de loi omnibus est une proposition droit qui couvre un certain nombre de sujets divers ou sans rapport Projet de loi omnibus — Wikipédia

Image: Photo de CanStock

Hélène Simons est une Assurance qualité Gérant chez StarFish Medical. La formation d'Helen est en génie mécanique, avec une formation en développement de produits et en développement de systèmes de gestion de la qualité dans plusieurs secteurs, des produits grand public et industriels aux dispositifs médicaux, aux dispositifs de diagnostic in vitro et aux dispositifs combinés.



---

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
• La source: https://starfishmedical.com/blog/new-cybersecurity-requirements-in-the-us/