La Food and Drug Administration (FDA o Agenzia), l'autorità statunitense di regolamentazione in materia di prodotti sanitari, ha pubblicato un documento guida dedicato al contenuto delle proposte pre-market per la gestione della cybersecurity nei dispositivi medici.
Sommario
L'ultima versione del documento è stata pubblicata nell'ottobre 2014. Data la sua natura legale, la guida della FDA non introduce alcun requisito in sé ma fornisce ulteriori chiarimenti e raccomandazioni che le parti coinvolte devono prendere in considerazione. Inoltre, l’Agenzia afferma che potrebbe essere applicato un approccio alternativo, a condizione che tale approccio sia conforme ai rispettivi requisiti normativi e sia stato approvato in anticipo dall’autorità. La FDA si riserva inoltre il diritto di apportare modifiche alle raccomandazioni ivi fornite se ritenuto ragionevolmente necessario per riflettere le modifiche alla legislazione applicabile.
Contesto normativo
L’Agenzia riconosce la crescente importanza delle questioni di sicurezza informatica relative ai dispositivi medici immessi sul mercato statunitense. Al giorno d'oggi, sempre più dispositivi medici richiedono la connessione a reti locali e/o globali per garantire il loro normale funzionamento. Anche numerosi dispositivi medici sono coinvolti nello scambio di informazioni sensibili sui pazienti. Pertanto, è importante garantire che l’uso di tali dispositivi non comporti rischi ingiustificati per i pazienti. Al fine di assistere i produttori di dispositivi medici e altre parti nell'identificazione dei potenziali rischi associati ai problemi di sicurezza informatica, la FDA ha pubblicato la presente guida evidenziando gli aspetti più importanti da prendere in considerazione in tutte le fasi del ciclo di vita del prodotto, dallo sviluppo alla post-commercializzazione. manutenzione. Il documento fornisce inoltre ulteriori chiarimenti in merito ai requisiti normativi relativi alle informazioni che i produttori di dispositivi medici devono fornire quando richiedono l'approvazione all'immissione in commercio dei loro prodotti.
L’ambito delle presenti linee guida della FDA copre le informazioni da includere nelle comunicazioni pre-commercializzazione in termini di questioni relative alla sicurezza informatica. Secondo il documento, una gestione efficace della sicurezza informatica ha lo scopo di ridurre il rischio per i pazienti diminuendo la probabilità che la funzionalità del dispositivo venga intenzionalmente o meno compromessa da una sicurezza informatica inadeguata.
Le raccomandazioni fornite nella guida potrebbero essere applicate a tipi di comunicazioni pre-commercializzazione quali:
Innanzitutto, la FDA fornisce le definizioni dei termini e dei concetti più importanti utilizzati nel contesto delle questioni relative alla sicurezza informatica, tra cui:
- Autenticazione – l'atto di verificare l'identità di un utente, processo o dispositivo come prerequisito per consentire l'accesso al dispositivo, ai suoi dati, informazioni o sistemi.
- Sicurezza informatica – il processo di prevenzione dell'accesso non autorizzato, della modifica, dell'uso improprio o del rifiuto d'uso o dell'uso non autorizzato delle informazioni archiviate, accessibili o trasferite da un dispositivo medico a un destinatario esterno.
- Crittografia - la trasformazione crittografica dei dati in una forma che nasconde il significato originale dei dati per impedirne la conoscenza o l'utilizzo.
Principi di base
La guida descrive ulteriormente i principi generali su cui si basa l’attuale approccio normativo. Secondo il documento, il produttore del dispositivo medico dovrebbe essere responsabile delle misure e dei controlli necessari per garantire che il dispositivo medico soddisfi i requisiti normativi applicabili in termini di sicurezza informatica e funzioni in modo sicuro ed efficiente.
Tuttavia, l’autorità riconosce che la sicurezza informatica dei dispositivi medici, in generale, dovrebbe essere una responsabilità condivisa di tutte le parti coinvolte. Potenziali problemi di sicurezza informatica potrebbero avere un impatto sulle normali operazioni di un dispositivo medico e comportare la perdita di dati o addirittura danni alla salute del paziente.
Data l’importanza delle questioni legate alla sicurezza informatica, queste dovrebbero essere prese in considerazione dai produttori di dispositivi medici fin dall’inizio, a partire dalla fase di sviluppo iniziale, poiché ciò mitigherà tale rischio nel modo più efficiente. In particolare, l'Agenzia precisa che l' i produttori dovrebbero stabilire input di progettazione per i loro dispositivi relativi alla sicurezza informatica e stabilire un approccio alla vulnerabilità e alla gestione della sicurezza informatica come parte della convalida del software e dell'analisi dei rischi richiesta da 21 CFR 820.30 (g).
L'approccio di gestione della sicurezza informatica che il produttore del dispositivo medico dovrà adottare dovrà coprire i seguenti aspetti:
- Identificazione di problemi e vulnerabilità di sicurezza informatica esistenti e potenziali;
- Analisi dell’impatto che le suddette vulnerabilità potrebbero potenzialmente provocare sul funzionamento del dispositivo stesso, nonché sulla salute e sicurezza dei pazienti;
- Valutazione della probabilità attesa dei problemi associati a tali vulnerabilità;
- Identificazione dei livelli di rischio, determinazione delle strategie e degli approcci che potrebbero essere applicati per mitigare tali rischi;
- Valutazione dei rischi residui associati alla sicurezza informatica, nonché criteri di accettazione del rischio.
Funzioni chiave della sicurezza informatica
Al fine di assistere i produttori di dispositivi medici nell’attuazione dei principi sopra descritti, la guida fornisce raccomandazioni riguardanti le particolari funzioni legate alla sicurezza informatica, vale a dire:
- Identificare,
- Proteggere,
- Rileva,
- Rispondi e
- Recuperare.
Il documento descrive ulteriormente in dettaglio ciascuna di queste funzioni e come dovrebbero essere implementate dal produttore del dispositivo medico.
1. Identificare e proteggere. L’Agenzia afferma che i dispositivi medici che possono essere collegati ad altri dispositivi, reti locali o globali, o anche ai media richiedono la massima attenzione in termini di sicurezza informatica rispetto a quelli che non sono collegati in alcun modo. Le particolari misure e controlli di sicurezza informatica da applicare dipendono da numerosi fattori, tra cui la destinazione d'uso del dispositivo medico in questione, l'ambiente in cui verrà utilizzato e le vulnerabilità identificate. Dovrebbero essere considerati anche la probabilità che queste vulnerabilità vengano sfruttate e i rischi ad esse associati, incluso il potenziale danno ai pazienti. Allo stesso tempo, il produttore deve stabilire un equilibrio ottimale tra la garanzia della sicurezza del dispositivo in termini di questioni relative alla sicurezza informatica e l’usabilità generale del prodotto. In questo contesto, i produttori di dispositivi medici sono incoraggiati a fornire una giustificazione per le funzioni di sicurezza implementate nei loro prodotti.
2. Rileva, rispondi, recupera. I produttori devono sviluppare e introdurre funzioni in grado di rilevare i problemi di sicurezza in atto e fornire tutte le informazioni necessarie per i potenziali usi. Tali informazioni dovrebbero descrivere le azioni da intraprendere nel caso in cui si presentino vari problemi di sicurezza informatica. L’Agenzia sottolinea inoltre che le funzioni implementate dal produttore dovrebbero essere sufficienti a garantire il normale funzionamento di un dispositivo medico anche se si verifica un problema di sicurezza informatica. Oltre a ciò, dovrebbe esserci la possibilità tecnica per un utente privilegiato autenticato di ripristinare la configurazione del dispositivo.
In sintesi, la presente guida della FDA descrive in dettaglio gli aspetti più importanti che i produttori di dispositivi medici devono considerare nel contesto delle questioni di sicurezza informatica. Il documento delinea le principali responsabilità del produttore e fornisce alcune raccomandazioni da tenere in considerazione nelle varie fasi del processo di sviluppo di un dispositivo medico.
Fonte:
Come può aiutare RegDesk?
RegDesk è un software basato sul Web di nuova generazione per aziende di dispositivi medici e IVD. La nostra piattaforma all'avanguardia utilizza l'apprendimento automatico per fornire informazioni normative, preparazione delle applicazioni, invio e gestione delle approvazioni a livello globale. I nostri clienti hanno anche accesso alla nostra rete di oltre 4000 esperti di conformità in tutto il mondo per ottenere la verifica su domande critiche. Le applicazioni che normalmente richiedono 6 mesi per essere preparate possono ora essere preparate entro 6 giorni utilizzando RegDesk Dash (TM). L'espansione globale non è mai stata così semplice.
Fonte: https://www.regdesk.co/fda-on-cybersecurity-lated-content-of-premarket-submissions/
- accesso
- aggiuntivo
- Tutti
- Consentire
- .
- Applicazioni
- applicazioni
- Causare
- ha causato
- clienti
- Aziende
- conformità
- contenuto
- Corrente
- Cybersecurity
- dati
- Design
- dettaglio
- sviluppare
- Mercato
- dispositivi
- droga
- Ambiente
- Cambi Merce
- espansione
- esperti
- fda
- cibo
- Food and Drug Administration
- modulo
- Generale
- globali
- espansione globale
- Salute e benessere
- assistenza sanitaria
- Come
- HTTPS
- identificare
- Identità
- Impact
- Compreso
- informazioni
- Intelligence
- coinvolto
- sicurezza
- IT
- con i più recenti
- apprendimento
- Legale
- Legislazione
- locale
- machine learning
- gestione
- Costruttore
- Rappresentanza
- Marketing
- Matters
- Media
- medicale
- dispositivo medico
- dispositivi medici
- mese
- cioè
- Rete
- reti
- Operazioni
- minimo
- Altro
- pazienti
- piattaforma
- presenti
- prevenzione
- Prodotto
- ciclo di vita del prodotto
- Prodotti
- protegge
- Recuperare
- ridurre
- Requisiti
- Rischio
- sicura
- Sicurezza
- problemi di
- condiviso
- Un'espansione
- Software
- Stage
- stati
- SISTEMI DI TRATTAMENTO
- Consulenza
- tempo
- Trasformazione
- us
- usabilità
- Convalida
- vulnerabilità
- vulnerabilità
- entro
- In tutto il mondo
