Cybersecurity adalah pertimbangan utama di pasar saat ini untuk produsen perangkat medis dan industri lainnya. Sebelumnya saya pernah menulis tentang Harapan FDA untuk dokumentasi keamanan siber untuk pengiriman perangkat medis, dan membicarakan topik ini di Medical Device Playbook Toronto.
Baru-baru ini, kami mengetahui persyaratan keamanan siber baru yang mulai berlaku di AS untuk perangkat medis yang dianggap sebagai “perangkat siber”. Pemerintah AS mendefinisikan perangkat cyber, perangkat yang:
- termasuk perangkat lunak yang divalidasi, diinstal, atau disahkan oleh sponsor sebagai perangkat atau di dalam perangkat;
- memiliki kemampuan untuk terhubung ke internet;
- berisi karakteristik teknologi apa pun yang divalidasi, dipasang, atau disahkan oleh sponsor yang dapat rentan terhadap ancaman keamanan siber.
Ini semakin menarik karena persyaratan baru ini belum dikomunikasikan langsung dari FDA atau dibahas secara luas dalam berita industri. Saya ingin membagikan informasi ini dengan pembaca kami sehingga Anda juga dapat mengetahuinya dan secara proaktif mempersiapkan perubahan ini.
Bagi mereka yang berada di industri yang sedang mempersiapkan pengiriman, ini adalah topik hangat. Anda pasti ingin memastikan bahwa dokumentasi yang tepat dibuat dan disediakan sebagai bagian dari pengiriman untuk menghindari permintaan informasi tambahan dan keterlambatan dalam proses pengiriman.
Persyaratan Baru
Pada 21 Desember 2022, pemerintah AS menyetujui RUU omnibus1 ("Undang-Undang Alokasi Konsolidasi, 2023”), yang sebagian besar tentang memastikan pendanaan untuk kegiatan pemerintah hingga September 2023, tetapi juga mencakup subbagian yang membahas kontrol FDA atas keamanan siber perangkat medis.
RUU ini terdiri dari 4,155 halaman yang mengejutkan, dan tersembunyi di antaranya, di halaman 3,537, adalah bagian dari kepentingan utama, yang mengidentifikasi serangkaian persyaratan keamanan dunia maya, yang diharapkan pemerintah terima dari siapa pun yang mengajukan permohonan atau pengajuan berdasarkan pasal 510(k) , 513, 515(c), 515(f), atau 520(m) sehubungan dengan Undang-Undang Pangan, Obat-obatan dan Kosmetika. Ini berarti bahwa siapa pun yang mengirimkan perangkat medis untuk mendapatkan persetujuan atau izin berdasarkan jalur IDE, 510(k), De Novo, atau PMA sekarang harus menyediakan hal-hal berikut:
- (b) PERSYARATAN CYBERSECURITY—Sponsor aplikasi atau pengiriman yang dijelaskan dalam subpasal 3
- (a) akan—
- (1) menyerahkan kepada Sekretaris rencana untuk memantau, mengidentifikasi, dan menangani, sebagaimana mestinya, dalam waktu yang wajar, kerentanan dan eksploitasi keamanan siber pascapasar, termasuk pengungkapan kerentanan terkoordinasi dan prosedur terkait;
- (2) merancang, mengembangkan, dan memelihara proses dan prosedur untuk memberikan jaminan yang wajar bahwa perangkat dan sistem terkait aman di dunia maya, dan menyediakan pembaruan dan tambalan pascapasar ke perangkat dan sistem terkait untuk ditangani—
- (A) pada siklus reguler yang dibenarkan secara wajar, kerentanan yang diketahui tidak dapat diterima; Dan
- (B) sesegera mungkin keluar dari siklus, kerentanan kritis yang dapat menimbulkan risiko yang tidak terkendali;
- (3) memberikan kepada Sekretaris daftar materi perangkat lunak, termasuk komponen perangkat lunak komersial, open-source, dan off-the-shelf; Dan
- (4) mematuhi persyaratan lain yang mungkin diminta oleh Sekretaris melalui peraturan untuk menunjukkan jaminan yang wajar bahwa perangkat dan sistem terkait aman di dunia maya.
- (a) akan—
Ini juga menyatakan bahwa persyaratan tambahan ini akan mulai berlaku selama 90 hari sejak Undang-Undang ini diundangkan, yang menetapkan tanggal penaatannya pada tanggal 21 Maret 2023.
Informasi yang Bertentangan:
Saat ini, sebagaimana dirinci dalam whitepaper kami Pedoman Draf Keamanan Siber FDA, pedoman akhir yang berlaku dari FDA diuraikan dalam Konten Pengajuan Premarket untuk Manajemen Cybersecurity di Alat Kesehatan tanggal 2014. Namun, pada tahun 2022, FDA menerbitkan draf pedoman yang diperbarui, Keamanan Siber dalam Alat Kesehatan: Pertimbangan Sistem Kualitas dan Konten Pengajuan Premarket, yang secara signifikan memperluas harapan untuk aktivitas dan dokumentasi keamanan siber. Versi 2022 dipahami sebagai pemikiran saat ini tentang topik ini dari FDA, sedangkan pedoman akhir 2014 adalah yang saat ini berlaku dan sedang diberlakukan.
FDA memang mengonfirmasi bahwa mereka bermaksud untuk menyelesaikan draf pedoman 2022 tahun ini ketika mereka mengomunikasikan pedoman target mereka untuk diprioritaskan pada tahun 2023 (Usulan Pedoman CDRH untuk Tahun Anggaran 2023 (FY2023) | FDA), namun kami belum melihat tanggal publikasi spesifik atau detail tentang sejauh mana pengeditan atau bagaimana panduan akhir akan direvisi dibandingkan dengan draf tahun 2022.
Kewajiban yang diuraikan dalam RUU omnibus berada di tengah-tengah antara panduan versi 2014 dan 2022, dengan kewajiban yang diperluas dari yang saat ini sedang diberlakukan tetapi tidak seluas yang diuraikan dalam draf 2022.
Rencana pasca pasar dan aspek proses dan prosedur sebagian tercakup dalam pedoman akhir saat ini tetapi tidak secara eksplisit kata demi kata. Penambahan bill of material perangkat lunak (sBOM) merupakan hal baru dalam panduan akhir saat ini, tetapi tercakup dalam draf panduan tahun 2022. Persyaratan terakhir tampaknya merupakan pernyataan menyeluruh yang memungkinkan FDA dan badan pemerintah terkait untuk beradaptasi dengan praktik terbaik sesuai kebutuhan.
FDA merekomendasikan penggunaan paket eSTAR untuk pengiriman untuk memastikan konten yang benar disediakan. Templat saat ini, versi 2-2, hanya meminta dokumen berikut sehubungan dengan keamanan siber: file manajemen risiko, rencana atau rencana manajemen keamanan siber untuk melanjutkan dukungan, dan referensi ke konten keamanan siber dalam pelabelan. Kami berharap template ini diperbarui untuk mencerminkan persyaratan tambahan apa pun.
RUU tersebut secara eksplisit menyebutkan panduan berjudul "Konten Pengajuan Premarket untuk Manajemen Cybersecurity di Perangkat Medis" (atau dokumen penerus) dan kewajiban FDA untuk meninjaunya dan tetap memperbaruinya dengan umpan balik dari "produsen perangkat, kesehatan penyedia perawatan, penyedia layanan pihak ketiga, advokat pasien, dan pemangku kepentingan lain yang sesuai.” Namun batas waktu aspek RUU ini tidak lebih dari dua tahun yang bertentangan dengan harapan 90 hari.
Pertanyaan yang tersisa:
Di sinilah kita sampai pada inti permasalahan, bagaimana industri menanggapi persyaratan yang saling bertentangan ini?
RUU tersebut menyatakan bahwa FDA harus menyediakan sumber daya selambat-lambatnya 180 hari setelah undang-undang tersebut berlaku, termasuk memperbarui situs web FDA tentang keamanan siber. Tetapi sekali lagi, ini datang setelah tenggat waktu untuk industri.
Kami harus menunggu untuk melihat kapan ini secara resmi dikomunikasikan ke industri baik melalui pembaruan panduan atau dengan cara lain. Mudah-mudahan ini akan segera terjadi untuk membawa kejelasan tentang harapan tersebut.
1 An RUU omnibus adalah diusulkan hukum yang mencakup sejumlah topik yang beragam atau tidak terkait RUU omnibus - Wikipedia
Gambar: Foto CanStock
Helen Simons adalah Kualitas asuransi Manager di StarFish Medical. Pendidikan Helen adalah Teknik mesin, dengan latar belakang pengembangan produk dan pengembangan SMM di berbagai industri dengan produk konsumen dan industri hingga perangkat medis, IVD dan perangkat kombinasi.
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- Platoblockchain. Intelijen Metaverse Web3. Pengetahuan Diperkuat. Akses Di Sini.
- Sumber: https://starfishmedical.com/blog/new-cybersecurity-requirements-in-the-us/
- 1
- 2014
- 2022
- 2023
- a
- kemampuan
- Tentang Kami
- di seluruh
- Bertindak
- kegiatan
- menyesuaikan
- tambahan
- Tambahan
- Informasi Tambahan
- alamat
- menangani
- pendukung
- Setelah
- Semua
- Membiarkan
- diantara
- dan
- siapapun
- berlaku
- Aplikasi
- sesuai
- alokasi
- persetujuan
- disetujui
- penampilan
- aspek
- jaminan
- tersedia
- menghindari
- latar belakang
- makhluk
- TERBAIK
- Praktik Terbaik
- antara
- tagihan
- membawa
- yang
- Menyebabkan
- perubahan
- karakteristik
- kejelasan
- COM
- kombinasi
- bagaimana
- kedatangan
- komersial
- dibandingkan
- pemenuhan
- komponen
- Memastikan
- Berbenturan
- Terhubung
- pertimbangan
- pertimbangan
- dianggap
- konsumen
- Konten
- terus-menerus
- kontrol
- dikoordinasikan
- bisa
- tercakup
- meliputi
- kritis
- terbaru
- Sekarang
- maya
- Keamanan cyber
- Tanggal
- bertanggal
- Tanggal
- hari
- Hari
- Desember
- keterlambatan
- mendemonstrasikan
- dijelaskan
- Mendesain
- terperinci
- rincian
- mengembangkan
- Pengembangan
- alat
- Devices
- MELAKUKAN
- langsung
- penyingkapan
- dibahas
- Display
- beberapa
- dokumen
- dokumentasi
- dokumen
- draf
- Obat-obatan
- Pendidikan
- efek
- antara
- pelaksanaan
- Teknik
- memastikan
- memastikan
- Eter (ETH)
- diperluas
- mengembang
- mengharapkan
- harapan
- harapan
- mengharapkan
- eksploitasi
- Jatuh
- FDA
- umpan balik
- terakhir
- menyelesaikan
- Fiskal
- berikut
- makanan
- kekuatan
- dari
- pendanaan
- dihasilkan
- Pemerintah
- pemerintah
- pedoman
- terjadi
- Kesehatan
- Perawatan Kesehatan
- Tersembunyi
- Mudah-mudahan
- PANAS
- Seterpercayaapakah Olymp Trade? Kesimpulan
- Namun
- HTML
- HTTPS
- mengidentifikasi
- mengenali
- in
- termasuk
- Termasuk
- industri
- industri
- industri
- Berita industri
- informasi
- diinstal
- berniat
- bunga
- menarik
- Internet
- isu
- IT
- Menjaga
- kunci
- dikenal
- pelabelan
- Terakhir
- MEMBATASI
- memelihara
- membuat
- pengelolaan
- manajer
- Produsen
- March
- Pasar
- bahan
- max-width
- cara
- mekanis
- Teknik mesin
- medis
- alat medis
- Perangkat medis
- Memantau
- lebih
- beberapa
- New
- berita
- Baru
- jumlah
- obligasi
- Secara resmi
- ONE
- open source
- Lainnya
- diuraikan
- Outlook
- paket
- bagian
- Patch
- pasien
- rencana
- plato
- Kecerdasan Data Plato
- Data Plato
- pemain
- mungkin
- praktek
- Mempersiapkan
- mempersiapkan
- sebelumnya
- memprioritaskan
- Prosedur
- proses
- proses
- Produk
- pengembangan produk
- Produk
- diusulkan
- perlindungan
- memberikan
- disediakan
- penyedia
- Publikasi
- diterbitkan
- Menempatkan
- kualitas
- Pertanyaan
- pembaca
- masuk akal
- menerima
- merekomendasikan
- mencerminkan
- mengenai
- reguler
- Regulasi
- terkait
- hubungan
- relevan
- permintaan
- membutuhkan
- wajib
- kebutuhan
- Persyaratan
- Sumber
- Menanggapi
- ulasan
- Risiko
- manajemen risiko
- risiko
- Bagian
- bagian
- Senat
- September
- set
- Share
- harus
- signifikan
- Sederhana
- So
- Perangkat lunak
- Segera
- tertentu
- mensponsori
- stakeholder
- Bintang laut
- Pernyataan
- Negara
- pengajuan
- Submissions
- menyerahkan
- seperti itu
- mendukung
- sistem
- sistem
- target
- teknologi
- Template
- Grafik
- mereka
- Pikir
- tahun ini
- ancaman
- Melalui
- waktu
- untuk
- hari ini
- terlalu
- tema
- Topik
- toronto
- bawah
- dipahami
- Memperbarui
- diperbarui
- Pembaruan
- memperbarui
- us
- pemerintah kita
- menggunakan
- divalidasi
- versi
- Video
- Kerentanan
- kerentanan
- Rentan
- menunggu
- ingin
- Situs Web
- yang
- sementara
- Whitepaper
- SIAPA
- sangat
- Wikipedia
- akan
- dalam
- Word
- tertulis
- tahun
- tahun
- Youtube
- zephyrnet.dll
