अमेरिका में नई साइबर सुरक्षा आवश्यकताएँ

चिकित्सा उपकरण निर्माताओं और अन्य उद्योगों के लिए आज के बाजार में साइबर सुरक्षा एक महत्वपूर्ण विचार है। के बारे में पहले भी लिख चुका हूँ साइबर सुरक्षा प्रलेखन के लिए FDA की अपेक्षाएँ मेडिकल डिवाइस सबमिशन के लिए, और मेडिकल डिवाइस प्लेबुक टोरंटो में इस विषय के बारे में बात की।

हाल ही में, हमें नई साइबर सुरक्षा आवश्यकताओं के बारे में पता चला है जो "साइबर उपकरण" माने जाने वाले चिकित्सा उपकरणों के लिए अमेरिका में लागू हो रहे हैं। अमेरिकी सरकार एक साइबर उपकरण को परिभाषित करती है, एक ऐसा उपकरण जो:

• डिवाइस या डिवाइस के रूप में प्रायोजक द्वारा सत्यापित, स्थापित या अधिकृत सॉफ़्टवेयर शामिल है;
• इंटरनेट से जुड़ने की क्षमता है;
• प्रायोजक द्वारा मान्य, स्थापित, या अधिकृत ऐसी कोई भी तकनीकी विशेषताएँ शामिल हैं जो साइबर सुरक्षा खतरों के प्रति संवेदनशील हो सकती हैं।

यह और भी दिलचस्प है क्योंकि इन नई आवश्यकताओं को अभी तक सीधे FDA से संप्रेषित नहीं किया गया है या उद्योग समाचारों में व्यापक रूप से चर्चा नहीं की गई है। मैं इस जानकारी को अपने पाठकों के साथ साझा करना चाहता था ताकि आप भी इसके बारे में जागरूक हो सकें और इस बदलाव के लिए सक्रिय रूप से तैयार हो सकें।

उद्योग में वर्तमान में प्रस्तुतियाँ तैयार करने वालों के लिए, यह एक गर्म विषय है। आप यह सुनिश्चित करना चाहेंगे कि अतिरिक्त जानकारी अनुरोधों और जमा करने की प्रक्रिया में देरी से बचने के लिए सबमिशन के भाग के रूप में सही दस्तावेज़ तैयार किया गया है और प्रदान किया गया है।

नई आवश्यकताएं

21 दिसंबर, 2022 को अमेरिकी सरकार ने एक सर्वग्राही विधेयक को मंजूरी दी¹ ("समेकित विनियोग अधिनियम, 2023”), जो मुख्य रूप से सितंबर 2023 तक सरकारी गतिविधियों के लिए धन सुनिश्चित करने के बारे में था, लेकिन इसमें एफडीए के चिकित्सा उपकरण साइबर सुरक्षा के नियंत्रण को संबोधित करने वाला एक उपखंड भी शामिल है।

इस बिल में चौंका देने वाले 4,155 पृष्ठ शामिल हैं, और पृष्ठ 3,537 पर उनके बीच छिपा हुआ है, प्रमुख रुचि का खंड है, जो साइबर सुरक्षा आवश्यकताओं के एक सेट की पहचान करता है, सरकार किसी से भी आवेदन करने या धारा 510 (के) के तहत प्रस्तुत करने की अपेक्षा करती है। , 513, 515(सी), 515(एफ), या 520(एम) खाद्य, औषधि और प्रसाधन सामग्री अधिनियम के संबंध में। इसका मतलब यह है कि जो कोई भी आईडीई, 510(के), डे नोवो या पीएमए पाथवे के तहत अनुमोदन या निकासी के लिए एक चिकित्सा उपकरण जमा कर रहा है, उसे अब निम्नलिखित प्रदान करने की आवश्यकता है:

• (बी) साइबर सुरक्षा आवश्यकताएँ - उपधारा 3 में वर्णित एक आवेदन या सबमिशन का प्रायोजक
  • (ए) करेगा-
    • (1) समन्वयित भेद्यता प्रकटीकरण और संबंधित प्रक्रियाओं सहित पोस्टमार्केट साइबर सुरक्षा भेद्यता और शोषण की निगरानी, ​​​​पहचान और पता करने के लिए सचिव को उचित समय में उचित समय में एक योजना प्रस्तुत करें;
    • (2) एक उचित आश्वासन प्रदान करने के लिए प्रक्रियाओं और प्रक्रियाओं को डिजाइन, विकसित और बनाए रखना कि डिवाइस और संबंधित सिस्टम साइबर सुरक्षित हैं, और डिवाइस और संबंधित सिस्टम को संबोधित करने के लिए पोस्टमार्केट अपडेट और पैच उपलब्ध कराते हैं-
      • (ए) उचित रूप से उचित नियमित चक्र पर, अस्वीकार्य कमजोरियों के रूप में जाना जाता है; और
      • (बी) जितनी जल्दी हो सके चक्र से बाहर, गंभीर कमजोरियां जो अनियंत्रित जोखिम पैदा कर सकती हैं;
    • (3) सचिव को सामग्री का एक सॉफ्टवेयर बिल प्रदान करें, जिसमें वाणिज्यिक, ओपन-सोर्स और ऑफ-द-शेल्फ सॉफ्टवेयर घटक शामिल हैं; और
    • (4) इस तरह की अन्य आवश्यकताओं का अनुपालन करें, जैसा कि सचिव को उचित आश्वासन प्रदर्शित करने के लिए विनियमन के माध्यम से आवश्यकता हो सकती है कि डिवाइस और संबंधित सिस्टम साइबर सुरक्षित हैं।

इसमें यह भी कहा गया है कि ये अतिरिक्त आवश्यकताएं प्रभावी होंगी 90 दिन इस अधिनियम के लागू होने की तारीख से, जो 21 मार्च, 2023 को अनुपालन तिथि रखता है।

परस्पर विरोधी जानकारी:

वर्तमान में, जैसा कि हमारे श्वेतपत्र में विस्तृत है एफडीए साइबर सुरक्षा मसौदा मार्गदर्शन, FDA से लागू अंतिम मार्गदर्शन में रेखांकित किया गया है चिकित्सा उपकरणों में साइबर सुरक्षा के प्रबंधन के लिए प्रीमार्केट सबमिशन की सामग्री दिनांक 2014। हालाँकि, 2022 में, FDA ने एक अद्यतन मसौदा मार्गदर्शन प्रकाशित किया, चिकित्सा उपकरणों में साइबर सुरक्षा: गुणवत्ता प्रणाली संबंधी विचार और प्रीमार्केट सबमिशन की सामग्री, जो साइबर सुरक्षा गतिविधियों और दस्तावेज़ीकरण की अपेक्षा पर महत्वपूर्ण रूप से विस्तार करता है। 2022 संस्करण को इस विषय पर FDA की वर्तमान सोच के रूप में समझा जाता है, जबकि 2014 का अंतिम मार्गदर्शन वर्तमान में प्रभावी और प्रवर्तन के अधीन है।

FDA ने पुष्टि की कि वे इस वर्ष 2022 के मसौदे के दिशानिर्देशों को अंतिम रूप देने का इरादा रखते हैं, जब उन्होंने 2023 में प्राथमिकता देने के लिए अपने लक्ष्य मार्गदर्शनों को संप्रेषित किया (वित्तीय वर्ष 2023 (FY2023) के लिए CDRH प्रस्तावित दिशानिर्देश | एफडीए), हालांकि हमें अभी तक कोई विशिष्ट प्रकाशन तिथि या संपादन की सीमा के बारे में विवरण या 2022 के मसौदे की तुलना में अंतिम मार्गदर्शन को कैसे संशोधित किया जाएगा, यह देखना बाकी है।

ऑम्निबस बिल में उल्लिखित दायित्व मार्गदर्शन के 2014 और 2022 संस्करणों के बीच आधे रास्ते में आते हैं, वर्तमान में लागू होने वाले दायित्वों से विस्तारित किए जा रहे हैं, लेकिन बड़े पैमाने पर 2022 के मसौदे में उल्लिखित नहीं हैं।

बाजार के बाद की योजना और प्रक्रियाओं और प्रक्रिया पहलुओं को वर्तमान अंतिम मार्गदर्शन द्वारा आंशिक रूप से कवर किया गया है लेकिन शब्द के लिए स्पष्ट रूप से नहीं। सामग्री के सॉफ़्टवेयर बिल (sBOMs) को जोड़ना वर्तमान अंतिम मार्गदर्शन के लिए नया है लेकिन 2022 के मसौदे मार्गदर्शन में शामिल है। अंतिम आवश्यकता एक कैच-ऑल स्टेटमेंट प्रतीत होती है जिससे FDA और संबंधित सरकारी निकायों को आवश्यकतानुसार सर्वोत्तम प्रथाओं को अपनाने की अनुमति मिलती है।

सही सामग्री प्रदान की जाती है यह सुनिश्चित करने के लिए एफडीए प्रस्तुतियाँ के लिए eSTAR पैकेज के उपयोग की सिफारिश करता है। वर्तमान टेम्प्लेट, संस्करण 2-2, साइबर सुरक्षा के संबंध में केवल निम्नलिखित दस्तावेज़ों का अनुरोध करता है: जोखिम प्रबंधन फ़ाइल (फ़ाइलें), साइबर सुरक्षा प्रबंधन योजना या समर्थन जारी रखने की योजना, और लेबलिंग के भीतर साइबर सुरक्षा सामग्री का संदर्भ। हमें उम्मीद करनी चाहिए कि यह टेम्प्लेट किसी भी अतिरिक्त आवश्यकताओं को दर्शाने के लिए अपडेट किया जाएगा।

बिल स्पष्ट रूप से 'चिकित्सा उपकरणों में साइबर सुरक्षा के प्रबंधन के लिए प्रीमार्केट सबमिशन की सामग्री' (या एक उत्तराधिकारी दस्तावेज़) शीर्षक वाले मार्गदर्शन और इसकी समीक्षा करने और इसे "डिवाइस निर्माताओं, स्वास्थ्य" से प्रतिक्रिया के साथ अद्यतित रखने के लिए एफडीए दायित्वों का उल्लेख करता है। देखभाल प्रदाता, तृतीय-पक्ष-उपकरण सेवाकर्ता, रोगी अधिवक्ता और अन्य उपयुक्त हितधारक। लेकिन बिल के इस पहलू पर समय सीमा दो साल से बाद की नहीं है जो 90 दिनों की अपेक्षा के साथ संघर्ष करती है।

शेष प्रश्न:

यह वह जगह है जहां हम मुद्दे की जड़ में आते हैं, उद्योग इन परस्पर विरोधी आवश्यकताओं का जवाब कैसे देता है?

बिल में कहा गया है कि FDA को अधिनियम के लागू होने के 180 दिनों के भीतर संसाधनों को उपलब्ध कराना चाहिए, जिसमें साइबर सुरक्षा पर FDA की वेबसाइट को अपडेट करना शामिल है। लेकिन फिर, यह उद्योग के लिए समय सीमा समाप्त होने के बाद आता है।

हमें यह देखने के लिए इंतजार करना होगा कि कब यह आधिकारिक रूप से उद्योग को या तो मार्गदर्शन के अद्यतन द्वारा या अन्य माध्यमों से सूचित किया जाता है। उम्मीद है कि इन उम्मीदों के बारे में स्पष्टता लाने के लिए जल्द ही ऐसा होगा।

¹ An सर्वग्राही बिल एक प्रस्तावित है कानून जिसमें कई विविध या असंबंधित विषय शामिल हैं ओम्निबस बिल - विकिपीडिया

छवि: कैनस्टॉक फोटो

हेलेन सिमंस एक क्वालिटी एश्योरेंस स्टारफिश मेडिकल में प्रबंधक। हेलेन की शिक्षा मैकेनिकल इंजीनियरिंग में है, उपभोक्ता और औद्योगिक उत्पादों से लेकर चिकित्सा उपकरणों, आईवीडी और संयोजन उपकरणों के साथ कई उद्योगों में उत्पाद विकास और क्यूएमएस विकास की पृष्ठभूमि के साथ।



---

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोब्लॉकचैन। Web3 मेटावर्स इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• स्रोत: https://starfishmedical.com/blog/new-cybersecurity-requirements-in-the-us/