Új kiberbiztonsági követelmények az Egyesült Államokban

A kiberbiztonság kulcsfontosságú szempont a mai piacon az orvostechnikai eszközök gyártói és más iparágak számára. Korábban már írtam a Az FDA elvárásai a kiberbiztonsági dokumentációval kapcsolatban orvostechnikai eszközök beküldéséhez, és beszélt erről a témáról a Medical Device Playbook Torontoban.

A közelmúltban tudomásunkra jutott, hogy az Egyesült Államokban új kiberbiztonsági követelmények lépnek életbe a „kibereszköznek” minősülő orvosi eszközökre vonatkozóan. Az Egyesült Államok kormánya meghatározza a kibereszközt, egy olyan eszközt, amely:

• a szponzor által eszközként vagy eszközben jóváhagyott, telepített vagy engedélyezett szoftvert tartalmaz;
• képes csatlakozni az internethez;
• tartalmaz minden olyan, a szponzor által validált, telepített vagy engedélyezett technológiai jellemzőt, amely sebezhető lehet a kiberbiztonsági fenyegetésekkel szemben.

Ez annál is érdekesebb, mivel ezeket az új követelményeket még nem közölték közvetlenül az FDA-tól, és nem vitatták meg széles körben az iparági hírekben. Ezt az információt szerettem volna megosztani olvasóinkkal, hogy Ön is tisztában legyen vele, és proaktívan felkészülhessen erre a változásra.

Azok számára, akik jelenleg a beadványokat készítik elő, ez egy forró téma. Gondoskodnia kell arról, hogy a megfelelő dokumentációt állítsák elő és biztosítsák a benyújtás részeként, hogy elkerülje a további információkéréseket és a benyújtási folyamat késedelmét.

Új követelmények

21. december 2022-én az Egyesült Államok kormánya jóváhagyott egy gyűjtőtörvénytervezetet¹ (""2023. évi összevont előirányzati törvény”), amely túlnyomórészt a kormányzati tevékenységek finanszírozásának biztosításáról szólt 2023 szeptemberéig, de tartalmaz egy alszakaszt is, amely az orvostechnikai eszközök kiberbiztonságának FDA általi ellenőrzésével foglalkozik.

Ez a törvényjavaslat megdöbbentő 4,155 oldalt tartalmaz, és közöttük, a 3,537. oldalon rejtve van az a kulcsfontosságú rész, amely meghatározza a kiberbiztonsági követelményeket, amelyeket a kormány elvár mindenkitől, aki az 510(k) szakasza alapján kérelmet vagy beadványt nyújt be. , 513, 515(c), 515(f) vagy 520(m) az élelmiszer-, gyógyszer- és kozmetikai törvény kapcsán. Ez azt jelenti, hogy bárkinek, aki az IDE, 510(k), De Novo vagy PMA útvonalak alapján jóváhagyásra vagy engedélyezésre nyújt be egy orvosi eszközt, mostantól meg kell adnia a következőket:

• (b) KIBERBIZTONSÁGI KÖVETELMÉNYEK – A 3. alszakaszban leírt kérelem vagy beadvány szponzora
  • a)
    • (1) tervet nyújt be a titkárnak a forgalomba hozatalt követő kiberbiztonsági sebezhetőségek és kihasználások nyomon követésére, azonosítására és – adott esetben – ésszerű időn belüli kezelésére, beleértve a sebezhetőség összehangolt feltárását és a kapcsolódó eljárásokat;
    • (2) folyamatok és eljárások tervezése, fejlesztése és karbantartása annak érdekében, hogy ésszerű biztosítékot nyújtson az eszköz és a kapcsolódó rendszerek kiberbiztonságára vonatkozóan, valamint elérhetővé tegye az eszköz és a kapcsolódó rendszerek forgalomba hozatalát követő frissítéseket és javításokat
      • (A) ésszerűen indokolt rendszeres ciklusban, ismert elfogadhatatlan sérülékenységek; és
      • (B) a lehető leghamarabb kilép a ciklusból, a kritikus sérülékenységek, amelyek ellenőrizetlen kockázatokat okozhatnak;
    • (3) a titkárság rendelkezésére bocsátja a szoftverek anyagjegyzékét, beleértve a kereskedelmi, nyílt forráskódú és készen kapható szoftverkomponenseket; és
    • (4) be kell tartania azokat az egyéb követelményeket, amelyeket a titkár előírhat szabályozás útján annak érdekében, hogy megfelelő biztosítékot nyújtson arra vonatkozóan, hogy az eszköz és a kapcsolódó rendszerek kiberbiztonságosak.

Azt is kimondja, hogy ezek a további követelmények életbe lépnek 90 nap e törvény hatálybalépésének napjától, amely 21. március 2023-re teszi a megfelelési dátumot.

Ellentmondó információk:

Jelenleg a tanulmányunkban részletezettek szerint FDA kiberbiztonsági útmutató tervezete, az FDA vonatkozó végleges útmutatása körvonalazódik Az orvostechnikai eszközök kiberbiztonságának kezelésére vonatkozó forgalomba hozatal előtti beadványok tartalma 2014-ben azonban az FDA frissített útmutatótervezetet tett közzé, Kiberbiztonság az orvosi eszközökben: A minőségi rendszer szempontjai és a forgalomba hozatal előtti beadványok tartalma, ami jelentősen kibővíti a kiberbiztonsági tevékenységekkel és dokumentációkkal szembeni elvárást. A 2022-es verzió az FDA jelenlegi elképzelése ebben a témában, míg a 2014-es végleges iránymutatás a jelenleg érvényben lévő és végrehajtás alatt álló.

Az FDA megerősítette, hogy idén véglegesíteni kívánják a 2022-es iránymutatás-tervezetet, amikor közölték a 2023-as prioritási célokat szolgáló iránymutatásaikat.A CDRH javasolt iránymutatásai a 2023-as pénzügyi évhez (2023-as pénzügyi év) | FDA), azonban még nem láttunk konkrét közzétételi dátumokat vagy részleteket a szerkesztések mértékéről, illetve arról, hogy a végső útmutatót miként módosítják a 2022-es tervezethez képest.

A gyűjtőtörvény-tervezetben vázolt kötelezettségek az útmutató 2014-es és 2022-es változata között félúton esnek, a kötelezettségek kibővülnek a jelenleg végrehajtás alatt állóktól, de nem olyan széles körben, mint a 2022-es tervezetben.

A forgalomba hozatal utáni tervet, a folyamatokat és eljárási szempontokat a jelenlegi végleges útmutató részben lefedi, de nem kifejezetten szóról szóra. A szoftveres anyagjegyzék (sBOM) kiegészítése új a jelenlegi végleges útmutatóban, de a 2022-es útmutató tervezete tartalmazza. Az utolsó követelmény egy átfogó nyilatkozat, amely lehetővé teszi az FDA és az érintett kormányzati szervek számára, hogy szükség szerint alkalmazkodjanak a legjobb gyakorlatokhoz.

Az FDA az eSTAR csomag használatát javasolja a benyújtásokhoz a megfelelő tartalom biztosítása érdekében. A jelenlegi sablon, a 2-2-es verzió csak a következő dokumentumokat kéri a kiberbiztonsággal kapcsolatban: kockázatkezelési fájl(ok), kiberbiztonsági kezelési terv vagy terv a folyamatos támogatásra, valamint a címkézésen belül a kiberbiztonsági tartalomra való hivatkozás. Arra kell számítanunk, hogy ezt a sablont frissítjük, hogy tükrözze az esetleges további követelményeket.

A törvényjavaslat kifejezetten megemlíti „Az orvosi eszközök kiberbiztonságának kezelését célzó, forgalomba hozatal előtti beadványok tartalma” című útmutatót (vagy annak utóddokumentumát), valamint az FDA-nak azt a kötelezettségét, hogy azt felülvizsgálja, és naprakészen tartsa az „eszközgyártóktól, egészségügytől” érkezett visszajelzésekkel. egészségügyi szolgáltatók, külső eszközszolgáltatók, betegvédők és más megfelelő érdekelt felek.” A törvényjavaslat ezen aspektusának határideje azonban nem haladja meg a két évet, ami ellentmond a 90 napos elvárásnak.

Fennmaradó kérdések:

Itt jutunk el a kérdés lényegéhez, hogyan reagál az ipar ezekre az egymásnak ellentmondó követelményekre?

A törvényjavaslat kimondja, hogy az FDA-nak legkésőbb 180 nappal a törvény hatálybalépése után forrásokat kell biztosítania, beleértve az FDA kiberbiztonsággal foglalkozó webhelyének frissítését. De ez ismét az iparra vonatkozó határidő lejárta után következik be.

Meg kell várnunk, hogy ezt mikor közöljük hivatalosan az iparággal, akár az útmutató frissítésével, akár más módon. Remélhetőleg ez hamarosan megtörténik, és világossá teszi ezeket az elvárásokat.

¹ An gyűjtőszámla egy javasolt törvény amely számos különböző vagy nem kapcsolódó témát fed le Omnibus bill – Wikipédia

Kép: CanStock fotó

Helen Simons egy olyan Quality Assurance A StarFish Medical igazgatója. Helen gépészmérnöki végzettséggel rendelkezik, termékfejlesztési és QMS-fejlesztési háttérrel több iparágban, fogyasztói és ipari termékekkel, orvosi eszközökkel, IVD-vel és kombinált eszközökkel.



---

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
• Forrás: https://starfishmedical.com/blog/new-cybersecurity-requirements-in-the-us/