サイバーセキュリティは、医療機器メーカーやその他の業界にとって、今日の市場における重要な考慮事項です。 については以前書いた サイバーセキュリティ文書に対する FDA の期待 このトピックについては、医療機器プレイブック トロントで講演しました。
最近、「サイバー機器」と見なされる医療機器に対して米国で施行される新しいサイバーセキュリティ要件について認識しました。 米国政府はサイバー デバイスを次のように定義しています。
- デバイスとして、またはデバイス内にスポンサーによって検証、インストール、または承認されたソフトウェアを含みます。
- インターネットに接続する機能があります。
- サイバーセキュリティの脅威に対して脆弱である可能性がある、スポンサーによって検証、インストール、または承認された技術的特性が含まれています。
これらの新しい要件はまだ FDA から直接伝えられていないか、業界ニュースで広く議論されていないため、これはさらに興味深いことです。 この情報を読者と共有して、読者もこの情報を認識し、この変更に積極的に備えることができるようにしたいと考えました。
現在提出物を準備している業界関係者にとって、これはホットなトピックです。 追加情報の要求や提出プロセスの遅延を避けるために、提出の一部として適切なドキュメントが生成および提供されていることを確認する必要があります。
新しい要件
21 年 2022 月 XNUMX 日、米国政府はオムニバス法案を承認しました。1 (「2023年の連結歳出法」)、これは主に2023年XNUMX月までの政府活動への資金提供を確保することに関するものでしたが、医療機器のサイバーセキュリティに対するFDAの管理に対処するサブセクションも含まれています.
この法案は驚異的な 4,155 ページで構成されており、そのうちの 3,537 ページに隠されているのは、一連のサイバーセキュリティ要件を特定する重要な関心のあるセクションです。政府は、セクション 510(k) に基づいて申請または提出を提出する人から受け取ることを期待しています。 、513、515(c)、515(f)、または 520(m) に関連する食品医薬品化粧品法。 これは、IDE、510(k)、De Novo、または PMA 経路の下で承認または許可のために医療機器を提出する人は、現在、以下を提供する必要があることを意味します。
- (b) サイバーセキュリティ要件 — サブセクション 3 に記載されている申請または提出のスポンサー
- (a) は、
- (1) 調整された脆弱性の開示と関連手順を含む、市販後のサイバーセキュリティの脆弱性とエクスプロイトを合理的な時間内に監視、特定、対処するための計画を長官に提出する。
- (2) デバイスおよび関連システムがサイバーセキュリティで保護されているという合理的な保証を提供するためのプロセスおよび手順を設計、開発、および維持し、デバイスおよび関連システムに対処する市販後の更新およびパッチを利用可能にする—
- (A) 合理的に正当化された定期的なサイクルで、容認できない既知の脆弱性。 と
- (B) 制御不能なリスクを引き起こす可能性のある重大な脆弱性をサイクルからできるだけ早く。
- (3) 商務長官に、商用、オープンソース、既製のソフトウェア コンポーネントを含むソフトウェア部品表を提供する。 と
- (4) デバイスおよび関連システムがサイバーセキュリティで保護されているという合理的な保証を示すために、長官が規則を通じて要求する可能性のあるその他の要件を遵守すること。
- (a) は、
また、これらの追加要件が有効になると述べています 90日 21 年 2023 月 XNUMX 日を遵守日とするこの法律の制定日から。
矛盾する情報:
現在、ホワイトペーパーで詳しく説明されているように FDA サイバーセキュリティ ドラフト ガイダンス、FDA からの該当する最終ガイダンスの概要は次のとおりです。 医療機器におけるサイバーセキュリティの管理に関する市販前申請の内容 しかし、2014 年に FDA は更新されたドラフト ガイダンスを公開しました。 医療機器のサイバーセキュリティ:品質システムに関する考慮事項と市販前の提出物の内容、サイバーセキュリティの活動と文書化に対する期待を大幅に拡大します。 2022 年版は、このトピックに関する FDA の現在の考えであると理解されていますが、2014 年の最終ガイダンスは、現在有効で施行中のものです。
FDA は、2022 年に優先すべきターゲット ガイダンスを伝えたときに、2023 年のドラフト ガイドラインを今年最終決定するつもりであることを確認しました (CDRH 2023 会計年度 (2023 年度) のガイダンス案 | FDA)、ただし、特定の発行日や、編集の範囲、または 2022 年の草案と比較して最終的なガイダンスがどのように改訂されるかについての詳細はまだ確認されていません。
オムニバス法案で概説されている義務は、ガイダンスの 2014 年版と 2022 年版の中間にあり、義務は現在施行されているものから拡大されていますが、2022 年の草案で概説されているものほど広範囲ではありません。
市販後計画およびプロセスと手順の側面は、現在の最終ガイダンスで部分的にカバーされていますが、明確に逐語的に説明されているわけではありません。 ソフトウェア部品表 (sBOM) の追加は、現在の最終ガイダンスでは新しいものですが、2022 年のドラフト ガイダンスでカバーされています。 最後の要件は、FDA および関連する政府機関が必要に応じてベスト プラクティスに適応できるようにする包括的なステートメントのようです。
FDA は、提出物に eSTAR パッケージを使用して、正しいコンテンツが提供されるようにすることを推奨しています。 現在のテンプレート、バージョン 2-2 は、サイバーセキュリティに関連して次のドキュメントのみを要求します: リスク管理ファイル、サイバーセキュリティ管理計画または継続的なサポートの計画、およびラベル内のサイバーセキュリティ コンテンツへの参照。 追加の要件を反映するために、このテンプレートが更新されることを期待する必要があります。
この法案は、「医療機器におけるサイバーセキュリティ管理のための市販前提出書類の内容」(またはその後継文書) というタイトルのガイダンスと、FDA がそれを見直し、「機器メーカー、医療機関からのフィードバックで最新の状態に保つ義務」について明示的に言及しています。医療提供者、サードパーティの機器サービス担当者、患者の擁護者、およびその他の適切な利害関係者。」 しかし、法案のこの側面に関する期限は 90 年以内であり、XNUMX 日の期待と矛盾します。
残りの質問:
ここで問題の核心に迫ります。業界はこれらの相反する要件にどのように対応するのでしょうか?
この法案は、FDA が施行後 180 日以内に、サイバーセキュリティに関する FDA の Web サイトの更新を含め、リソースを提供する必要があると述べています。 しかし、繰り返しになりますが、これは業界の締め切り後に来ます。
ガイダンスの更新またはその他の手段によって、これが業界に正式に通知される時期を待つ必要があります。 願わくば、これがすぐに実現して、これらの期待が明確になることを願っています。
1 An 包括法案 提案されています 法律 多様な、または無関係なトピックをカバーするもの オムニバス法案 – ウィキペディア
イメージ: CanStock写真
ヘレン・シモンズ 品質保証 スターフィッシュメディカルのマネージャー。 ヘレンの教育は機械工学であり、消費者向けおよび産業用製品から医療機器、IVD、および複合機器まで、複数の業界にわたる製品開発と QMS 開発のバックグラウンドがあります。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
- 情報源: https://starfishmedical.com/blog/new-cybersecurity-requirements-in-the-us/
- 1
- 2014
- 2022
- 2023
- a
- 能力
- 私たちについて
- 越えて
- 行為
- 活動
- 適応する
- 添加
- NEW
- 追加情報
- 住所
- アドレッシング
- 擁護
- 後
- すべて
- 許可
- 間に
- &
- 誰も
- 適用可能な
- 申し込み
- 適切な
- 予算枠
- 承認
- 承認された
- 側面
- 側面
- 保証
- 利用できます
- 避ける
- 背景
- さ
- BEST
- ベストプラクティス
- の間に
- ビル
- 持って来る
- これ
- 原因となる
- 変化する
- 特性
- 明瞭
- COM
- 組み合わせ
- 来ます
- 到来
- コマーシャル
- 比べ
- コンプライアンス
- コンポーネント
- 確認します
- 相反する
- お問合せ
- 考慮
- 検討事項
- 見なさ
- consumer
- コンテンツ
- 連続
- コントロール
- コーディネート
- 可能性
- カバー
- カバー
- 重大な
- 電流プローブ
- 現在
- サイバー
- サイバーセキュリティ
- 日付
- 付け
- 試合日
- 中
- 日
- 12月
- 遅延
- 実証します
- 記載された
- 設計
- 詳細な
- 細部
- 開発する
- 開発
- デバイス
- Devices
- DID
- 直接に
- 開示
- 議論する
- ディスプレイ
- 異なる
- ドキュメント
- ドキュメント
- ドキュメント
- ドラフト
- 薬物
- 教育
- 効果
- どちら
- 執行
- エンジニアリング
- 確保
- 確保する
- エーテル(ETH)
- 拡大
- 拡大する
- 期待する
- 期待
- 期待
- 期待する
- エクスプロイト
- 秋
- FDA
- フィードバック
- ファイナル
- 確定する
- 年度
- フォロー中
- フード
- 強
- から
- 資金調達
- 生成された
- 政府・公共機関
- 政府の
- ガイドライン
- 起こる
- 健康
- ヘルスケア
- 隠されました
- うまくいけば
- HOT
- 認定条件
- しかしながら
- HTML
- HTTPS
- 識別する
- 識別する
- in
- 含ま
- 含めて
- インダストリアル
- 産業
- 産業を変えます
- 業界ニュース
- 情報
- インストール
- 意図している
- 関心
- 興味深い
- インターネット
- 問題
- IT
- キープ
- キー
- 既知の
- ラベリング
- 姓
- LIMIT
- 維持する
- make
- 管理
- マネージャー
- メーカー
- 3月
- 市場
- 材料
- 最大幅
- 手段
- 機械的な
- 機械工学
- 医療の
- 医療機器
- 医療機器
- モニター
- 他には?
- の試合に
- 新作
- ニュース
- 新しい
- 数
- 義務
- 正式に
- ONE
- オープンソース
- その他
- 概説
- Outlook
- パッケージ
- 部
- パッチ
- 患者
- 計画
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- プレイヤー
- 可能
- プラクティス
- 準備
- 準備中
- 前に
- 優先順位をつける
- 手続き
- プロセス
- ラボレーション
- プロダクト
- 製品開発
- 製品
- 提案された
- 保護
- 提供します
- 提供
- プロバイダ
- 出版
- 公表
- 置く
- 品質
- 質問
- 読者
- 合理的な
- 受け取ります
- お勧めする
- 反映する
- に対する
- レギュラー
- 規制
- 関連する
- 関係
- 関連した
- リクエスト
- 必要とする
- の提出が必要です
- 要件
- 要件
- リソース
- 反応します
- レビュー
- リスク
- リスク管理
- リスク
- セクション
- セクション
- 上院
- 9月
- セッションに
- シェアする
- すべき
- 著しく
- 簡単な拡張で
- So
- ソフトウェア
- すぐに
- 特定の
- スポンサー
- ステークホルダー
- ヒトデ
- ステートメント
- 米国
- 提出
- 提出
- 提出する
- そのような
- サポート
- システム
- ターゲット
- 技術の
- template
- アプリ環境に合わせて
- 考え
- 今年
- 脅威
- 介して
- 時間
- 〜へ
- 今日の
- あまりに
- トピック
- トピック
- トロント
- 下
- 理解された
- アップデイト
- 更新しました
- 更新版
- 更新
- us
- 私たち政府
- つかいます
- 検証済み
- バージョン
- ビデオ
- 脆弱性
- 脆弱性
- 脆弱な
- wait
- wanted
- ウェブサイト
- which
- while
- ホワイトペーパー
- 誰
- 広く
- Wikipedia
- 意志
- 以内
- Word
- 書かれた
- 年
- 年
- ユーチューブ
- ゼファーネット