米国の新しいサイバーセキュリティ要件

サイバーセキュリティは、医療機器メーカーやその他の業界にとって、今日の市場における重要な考慮事項です。 については以前書いた サイバーセキュリティ文書に対する FDA の期待 このトピックについては、医療機器プレイブック トロントで講演しました。

最近、「サイバー機器」と見なされる医療機器に対して米国で施行される新しいサイバーセキュリティ要件について認識しました。 米国政府はサイバー デバイスを次のように定義しています。

• デバイスとして、またはデバイス内にスポンサーによって検証、インストール、または承認されたソフトウェアを含みます。
• インターネットに接続する機能があります。
• サイバーセキュリティの脅威に対して脆弱である可能性がある、スポンサーによって検証、インストール、または承認された技術的特性が含まれています。

これらの新しい要件はまだ FDA から直接伝えられていないか、業界ニュースで広く議論されていないため、これはさらに興味深いことです。 この情報を読者と共有して、読者もこの情報を認識し、この変更に積極的に備えることができるようにしたいと考えました。

現在提出物を準備している業界関係者にとって、これはホットなトピックです。 追加情報の要求や提出プロセスの遅延を避けるために、提出の一部として適切なドキュメントが生成および提供されていることを確認する必要があります。

新しい要件

21 年 2022 月 XNUMX 日、米国政府はオムニバス法案を承認しました。¹ （「2023年の連結歳出法」）、これは主に2023年XNUMX月までの政府活動への資金提供を確保することに関するものでしたが、医療機器のサイバーセキュリティに対するFDAの管理に対処するサブセクションも含まれています.

この法案は驚異的な 4,155 ページで構成されており、そのうちの 3,537 ページに隠されているのは、一連のサイバーセキュリティ要件を特定する重要な関心のあるセクションです。政府は、セクション 510(k) に基づいて申請または提出を提出する人から受け取ることを期待しています。 、513、515(c)、515(f)、または 520(m) に関連する食品医薬品化粧品法。 これは、IDE、510(k)、De Novo、または PMA 経路の下で承認または許可のために医療機器を提出する人は、現在、以下を提供する必要があることを意味します。

• (b) サイバーセキュリティ要件 — サブセクション 3 に記載されている申請または提出のスポンサー
  • (a) は、
    • (1) 調整された脆弱性の開示と関連手順を含む、市販後のサイバーセキュリティの脆弱性とエクスプロイトを合理的な時間内に監視、特定、対処するための計画を長官に提出する。
    • (2) デバイスおよび関連システムがサイバーセキュリティで保護されているという合理的な保証を提供するためのプロセスおよび手順を設計、開発、および維持し、デバイスおよび関連システムに対処する市販後の更新およびパッチを利用可能にする—
      • (A) 合理的に正当化された定期的なサイクルで、容認できない既知の脆弱性。 と
      • (B) 制御不能なリスクを引き起こす可能性のある重大な脆弱性をサイクルからできるだけ早く。
    • (3) 商務長官に、商用、オープンソース、既製のソフトウェア コンポーネントを含むソフトウェア部品表を提供する。 と
    • (4) デバイスおよび関連システムがサイバーセキュリティで保護されているという合理的な保証を示すために、長官が規則を通じて要求する可能性のあるその他の要件を遵守すること。

また、これらの追加要件が有効になると述べています 90日 21 年 2023 月 XNUMX 日を遵守日とするこの法律の制定日から。

矛盾する情報:

現在、ホワイトペーパーで詳しく説明されているように FDA サイバーセキュリティ ドラフト ガイダンス、FDA からの該当する最終ガイダンスの概要は次のとおりです。 医療機器におけるサイバーセキュリティの管理に関する市販前申請の内容 しかし、2014 年に FDA は更新されたドラフト ガイダンスを公開しました。 医療機器のサイバーセキュリティ：品質システムに関する考慮事項と市販前の提出物の内容、サイバーセキュリティの活動と文書化に対する期待を大幅に拡大します。 2022 年版は、このトピックに関する FDA の現在の考えであると理解されていますが、2014 年の最終ガイダンスは、現在有効で施行中のものです。

FDA は、2022 年に優先すべきターゲット ガイダンスを伝えたときに、2023 年のドラフト ガイドラインを今年最終決定するつもりであることを確認しました (CDRH 2023 会計年度 (2023 年度) のガイダンス案 | FDA）、ただし、特定の発行日や、編集の範囲、または 2022 年の草案と比較して最終的なガイダンスがどのように改訂されるかについての詳細はまだ確認されていません。

オムニバス法案で概説されている義務は、ガイダンスの 2014 年版と 2022 年版の中間にあり、義務は現在施行されているものから拡大されていますが、2022 年の草案で概説されているものほど広範囲ではありません。

市販後計画およびプロセスと手順の側面は、現在の最終ガイダンスで部分的にカバーされていますが、明確に逐語的に説明されているわけではありません。 ソフトウェア部品表 (sBOM) の追加は、現在の最終ガイダンスでは新しいものですが、2022 年のドラフト ガイダンスでカバーされています。 最後の要件は、FDA および関連する政府機関が必要に応じてベスト プラクティスに適応できるようにする包括的なステートメントのようです。

FDA は、提出物に eSTAR パッケージを使用して、正しいコンテンツが提供されるようにすることを推奨しています。 現在のテンプレート、バージョン 2-2 は、サイバーセキュリティに関連して次のドキュメントのみを要求します: リスク管理ファイル、サイバーセキュリティ管理計画または継続的なサポートの計画、およびラベル内のサイバーセキュリティ コンテンツへの参照。 追加の要件を反映するために、このテンプレートが更新されることを期待する必要があります。

この法案は、「医療機器におけるサイバーセキュリティ管理のための市販前提出書類の内容」(またはその後継文書) というタイトルのガイダンスと、FDA がそれを見直し、「機器メーカー、医療機関からのフィードバックで最新の状態に保つ義務」について明示的に言及しています。医療提供者、サードパーティの機器サービス担当者、患者の擁護者、およびその他の適切な利害関係者。」 しかし、法案のこの側面に関する期限は 90 年以内であり、XNUMX 日の期待と矛盾します。

残りの質問:

ここで問題の核心に迫ります。業界はこれらの相反する要件にどのように対応するのでしょうか?

この法案は、FDA が施行後 180 日以内に、サイバーセキュリティに関する FDA の Web サイトの更新を含め、リソースを提供する必要があると述べています。 しかし、繰り返しになりますが、これは業界の締め切り後に来ます。

ガイダンスの更新またはその他の手段によって、これが業界に正式に通知される時期を待つ必要があります。 願わくば、これがすぐに実現して、これらの期待が明確になることを願っています。

¹ An 包括法案 提案されています 法律 多様な、または無関係なトピックをカバーするもの オムニバス法案 – ウィキペディア

イメージ： CanStock写真

ヘレン・シモンズ 　 品質保証 スターフィッシュメディカルのマネージャー。 ヘレンの教育は機械工学であり、消費者向けおよび産業用製品から医療機器、IVD、および複合機器まで、複数の業界にわたる製品開発と QMS 開発のバックグラウンドがあります。



---

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
• 情報源： https://starfishmedical.com/blog/new-cybersecurity-requirements-in-the-us/