דרישות חדשות לאבטחת סייבר בארה"ב

אבטחת סייבר היא שיקול מרכזי בשוק של ימינו עבור יצרני מכשור רפואי ותעשיות אחרות. כתבתי בעבר על הציפיות של ה-FDA לתיעוד אבטחת סייבר להגשת מכשור רפואי, ודיבר על נושא זה ב-Medical Device Playbook Toronto.

לאחרונה, התוודענו לדרישות אבטחת סייבר חדשות שנכנסות לתוקף בארה"ב עבור מכשירים רפואיים הנחשבים "מכשירי סייבר". ממשלת ארה"ב מגדירה מכשיר סייבר, מכשיר ש:

• כולל תוכנה מאומתת, מותקנת או מאושרת על ידי נותן החסות כמכשיר או במכשיר;
• בעל יכולת להתחבר לאינטרנט;
• מכיל כל מאפיינים טכנולוגיים כאלה מאומתים, מותקנים או מאושרים על ידי נותן החסות שעלולים להיות חשופים לאיומי אבטחת סייבר.

זה מעניין עוד יותר מכיוון שהדרישות החדשות הללו עדיין לא נמסרו ישירות מה-FDA או נדונו בהרחבה בחדשות התעשייה. רציתי לחלוק את המידע הזה עם הקוראים שלנו כדי שגם אתם תוכלו להיות מודעים אליו ולהתכונן באופן יזום לשינוי הזה.

עבור אלה בתעשייה המכינים כעת הגשות, זה נושא חם. כדאי לוודא שהתיעוד הנכון נוצר ומסופק כחלק מההגשה כדי למנוע בקשות מידע נוספות ועיכובים בתהליך ההגשה.

דרישות חדשות

ב-21 בדצמבר 2022 אישרה ממשלת ארה"ב הצעת חוק אומניבוס¹ ("חוק ההקצאות המאוחדות, 2023”), שעסק בעיקר בהבטחת מימון לפעילויות ממשלתיות עד ספטמבר 2023, אך כולל גם תת-סעיף העוסק בבקרה של ה-FDA על אבטחת סייבר של מכשור רפואי.

הצעת חוק זו כוללת 4,155 עמודים מדהימים, וביניהם, בעמוד 3,537, מסתתר קטע העניין המרכזי, המזהה מערכת של דרישות אבטחת סייבר, שהממשלה מצפה לקבל מכל מי שמגיש בקשה או הגשה לפי סעיפים 510(ק) , 513, 515(c), 515(f), או 520(m) ביחס לחוק המזון, הסמים והקוסמטיקה. משמעות הדבר היא שכל מי שמגיש מכשיר רפואי לאישור או אישור לפי מסלולי IDE, 510(k), De Novo או PMA נדרש כעת לספק את הדברים הבאים:

• (ב) דרישות אבטחת סייבר - נותן החסות של בקשה או הגשה המתוארים בסעיף קטן 3
  • (א) יהיה-
    • (1) להגיש למזכיר תוכנית לניטור, זיהוי ולטפל, לפי העניין, בזמן סביר, פגיעויות וניצול של אבטחת סייבר לאחר השוק, לרבות גילוי פגיעות מתואם ונהלים קשורים;
    • (2) לתכנן, לפתח ולתחזק תהליכים ונהלים כדי לספק ביטחון סביר שהמכשיר והמערכות הנלוות מאובטחות סייבר, ולהפוך עדכונים ותיקונים לאחר השוק למכשיר ולמערכות קשורות כדי לתת מענה ל-
      • (א) במחזור רגיל מוצדק באופן סביר, פגיעות בלתי מקובלות ידועות; ו
      • (ב) בהקדם האפשרי מחוץ למחזור, פגיעויות קריטיות שעלולות לגרום לסיכונים בלתי מבוקרים;
    • (3) לספק למזכיר כתב חומרי תוכנה, לרבות רכיבי תוכנה מסחריים, קוד פתוח ורכיבי מדף; ו
    • (4) לעמוד בדרישות אחרות כפי שהמזכיר עשוי לדרוש באמצעות רגולציה כדי להוכיח ביטחון סביר שהמכשיר והמערכות הנלוות מאובטחות ברשת.

כמו כן, נקבע כי דרישות נוספות אלו ייכנסו לתוקף ימי 90 מתאריך חקיקתו של חוק זה, אשר קובע את מועד הציות ל-21 במרץ 2023.

מידע סותר:

נכון לעכשיו, כמפורט בנייר הלבן שלנו טיוטת הנחיית אבטחת סייבר של ה-FDA, ההנחיה הסופית הרלוונטית מה-FDA מפורטת ב תוכן הגשות טרום-מרקט לניהול אבטחת סייבר במכשור רפואי מ-2014. עם זאת, בשנת 2022, ה-FDA פרסם טיוטת הנחיות מעודכנת, אבטחת סייבר במכשירים רפואיים: שיקולי מערכת איכות ותוכן הגשות לפני השוק, מה שמרחיב באופן משמעותי את הציפייה לפעילויות ותיעוד אבטחת סייבר. גרסת 2022 מובנת כחשיבה הנוכחית בנושא זה של ה-FDA, בעוד שההנחיות הסופיות של 2014 הן ההנחיות הקיימות כעת ותחת אכיפה.

ה-FDA אכן אישר שהם מתכוונים לסיים את טיוטת ההנחיות לשנת 2022 השנה כאשר העבירו את הנחיות היעד שלהם לתעדוף ב-2023 (הנחיות CDRH מוצעות לשנת הכספים 2023 (FY2023) | ה-FDA), אולם טרם ראינו תאריכי פרסום או פרטים ספציפיים לגבי היקף העריכות או כיצד ההנחיות הסופיות יתוקנו בהשוואה לטיוטה של ​​2022.

החובות המפורטות בהצעת חוק האומניבוס נופלות באמצע הדרך בין גרסאות 2014 ל-2022 של ההנחיה, כאשר החובות מורחבות מאלה שנמצאות כיום באכיפה אך לא בהרחבה כמו אלו המתוארות בטיוטה משנת 2022.

התוכנית שלאחר השוק והיבטי התהליכים וההליך מכוסים בחלקם על ידי ההנחיה הסופית הנוכחית אך לא במפורש מילה במילה. התוספת של כתב חומרי תוכנה (sBOMs) היא חדשה בהנחיה הסופית הנוכחית, אך מכוסה בטיוטה של ​​הנחיות 2022. נראה שהדרישה האחרונה היא הצהרה כוללת המאפשרת ל-FDA ולגופים ממשלתיים רלוונטיים להסתגל לשיטות העבודה הטובות ביותר כנדרש.

ה-FDA ממליץ להשתמש בחבילת eSTAR להגשות כדי להבטיח שהתוכן הנכון מסופק. התבנית הנוכחית, גרסה 2-2, מבקשת רק את המסמכים הבאים ביחס לאבטחת סייבר: קבצי ניהול סיכונים, תוכנית ניהול אבטחת סייבר או תוכנית לתמיכה מתמשכת, והתייחסות לתוכן אבטחת סייבר בתוך התיוג. אנו צריכים לצפות שתבנית זו תתעדכן כך שתשקף דרישות נוספות.

הצעת החוק מזכירה במפורש את ההנחיה שכותרתה ''תוכן הגשות טרום-שוק לניהול אבטחת סייבר במכשירים רפואיים'' (או מסמך יורש) ואת חובות ה-FDA לעיין בה ולעדכן אותה עם משוב מ"יצרני מכשירים, בריאות ספקי טיפול, שירותי מכשירי צד שלישי, תומכי מטופלים ובעלי עניין מתאימים אחרים." אך מגבלת הזמן בהיבט זה של הצעת החוק היא לא יאוחר משנתיים, מה שמתנגש עם הצפי ל-90 יום.

שאלות שנותרו:

כאן אנו מגיעים לעיקר הנושא, כיצד מגיבה התעשייה לדרישות הסותרות הללו?

הצעת החוק קובעת כי על ה-FDA לספק משאבים לא יאוחר מ-180 יום לאחר כניסת החוק לתוקף, כולל עדכון אתר האינטרנט של ה-FDA בנושא אבטחת סייבר. אבל שוב, זה מגיע אחרי המועד האחרון לתעשייה.

נצטרך לחכות לראות מתי זה יועבר רשמית לתעשייה, על ידי עדכון להנחיות או באמצעים אחרים. אני מקווה שזה יקרה בקרוב כדי להביא בהירות לגבי הציפיות הללו.

¹ An הצעת חוק האומניבוס הוא מוצע חוק המכסה מספר נושאים מגוונים או לא קשורים הצעת החוק של אומניבוס – ויקיפדיה

תמונה: CanStock תמונה

הלן סימונס הוא בקרת איכות מנהל ב-StarFish Medical. ההשכלה של הלן היא בהנדסת מכונות, עם רקע של פיתוח מוצר ופיתוח QMS על פני תעשיות מרובות עם מוצרי צריכה ותעשייתיים למכשור רפואי, IVD ומכשירים משולבים.



---

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
• מקור: https://starfishmedical.com/blog/new-cybersecurity-requirements-in-the-us/