미국의 새로운 사이버 보안 요구 사항

사이버 보안은 오늘날 의료 기기 제조업체 및 기타 산업 시장에서 핵심 고려 사항입니다. 나는 이전에 에 대해 썼습니다. 사이버 보안 문서에 대한 FDA의 기대치 의료 기기 제출을 위해 이 주제에 대해 토론토 의료 기기 플레이북에서 발표했습니다.

최근에 우리는 "사이버 장치"로 간주되는 의료 장치에 대해 미국에서 시행되고 있는 새로운 사이버 보안 요구 사항을 알게 되었습니다. 미국 정부는 사이버 장치를 다음과 같은 장치로 정의합니다.

• 스폰서가 장치 또는 장치로 인증, 설치 또는 승인한 소프트웨어를 포함합니다.
• 인터넷에 연결할 수 있습니다.
• 사이버 보안 위협에 취약할 수 있는 스폰서에 의해 검증, 설치 또는 승인된 기술적 특성을 포함합니다.

이것은 이러한 새로운 요구 사항이 아직 FDA에서 직접 전달되지 않았거나 업계 뉴스에서 광범위하게 논의되지 않았기 때문에 더욱 흥미롭습니다. 독자 여러분께서도 이를 인지하고 능동적으로 대비할 수 있도록 이 정보를 공유하고자 합니다.

현재 제출물을 준비 중인 업계 종사자에게 이것은 뜨거운 주제입니다. 추가 정보 요청 및 제출 프로세스의 지연을 방지하기 위해 올바른 문서가 생성되고 제출의 일부로 제공되는지 확인하고 싶을 것입니다.

새로운 요구 사항

21년 2022월 XNUMX일 미국 정부는 옴니버스 법안을 승인했습니다.¹ ( "통합 세출 법, 2023”), 주로 2023년 XNUMX월까지 정부 활동을 위한 자금 확보에 관한 것이지만 FDA의 의료 기기 사이버 보안 통제를 다루는 하위 섹션도 포함합니다.

이 법안은 엄청난 4,155페이지로 구성되어 있으며 그 사이에 숨겨진 3,537페이지에는 일련의 사이버 보안 요구 사항을 식별하는 핵심 관심 섹션이 숨겨져 있으며, 정부는 섹션 510(k)에 따라 신청서 또는 제출물을 제출하는 모든 사람으로부터 받을 것으로 예상합니다. , 513, 515(c), 515(f) 또는 520(m)에 따라 식품의약품화장품법을 준수해야 합니다. 즉, IDE, 510(k), De Novo 또는 PMA 경로에 따라 승인 또는 승인을 위해 의료 기기를 제출하는 사람은 이제 다음을 제공해야 합니다.

• (b) 사이버 보안 요구 사항 - 3항에 설명된 신청 또는 제출의 스폰서
  • (a) -
    • (1) 조정된 취약성 공개 및 관련 절차를 포함하여 시판 후 사이버 보안 취약성 및 익스플로잇을 적절하게 적절한 시간 내에 모니터링, 식별 및 해결하기 위한 계획을 장관에게 제출합니다.
    • (2) 장치 및 관련 시스템이 사이버 보안이라는 합리적인 보증을 제공하고 다음을 해결하기 위해 장치 및 관련 시스템에 대한 시판 후 업데이트 및 패치를 사용할 수 있도록 프로세스 및 절차를 설계, 개발 및 유지 관리합니다.
      • (A) 합당하게 정당한 규칙적인 주기에 허용할 수 없는 알려진 취약성; 그리고
      • (B) 통제되지 않은 위험을 야기할 수 있는 치명적인 취약점을 주기를 벗어나 가능한 한 빨리
    • (3) 상용, 오픈 소스 및 기성 소프트웨어 구성 요소를 포함하는 소프트웨어 BOM을 장관에게 제공합니다. 그리고
    • (4) 장치 및 관련 시스템이 사이버 보안이라는 합리적인 보증을 입증하기 위해 규정을 통해 장관이 요구할 수 있는 기타 요구 사항을 준수합니다.

또한 이러한 추가 요구 사항이 발효될 것이라고 명시되어 있습니다. 90 일 동안 시행일을 21년 2023월 XNUMX일로 하는 이 법의 제정일부터

상충되는 정보:

현재 백서에 자세히 설명된 대로 FDA 사이버 보안 초안 지침, FDA의 적용 가능한 최종 지침은 에 요약되어 있습니다. 의료 기기의 사이버 보안 관리를 위한 시판 전 제출 내용 그러나 2014년에 FDA는 업데이트된 지침 초안을 발표했습니다. 의료 기기의 사이버 보안: 품질 시스템 고려 사항 및 시판 전 제출 내용, 사이버 보안 활동 및 문서에 대한 기대치를 크게 확장합니다. 2022년 버전은 FDA의 이 주제에 대한 현재 생각으로 이해되며, 2014년 최종 지침은 현재 시행 중이며 시행 중인 것입니다.

FDA는 2022년에 우선 순위를 정할 대상 지침을 전달하면서 올해 2023년 지침 초안을 마무리할 계획임을 확인했습니다.2023 회계연도(FY2023)에 대한 CDRH 제안 지침 | FDA), 그러나 2022년 초안과 비교하여 편집 범위 또는 최종 지침이 어떻게 수정될 것인지에 대한 구체적인 게시 날짜나 세부 정보는 아직 확인되지 않았습니다.

옴니버스 법안에 설명된 의무는 2014년 버전과 2022년 버전의 지침 사이에 있으며, 현재 시행 중인 의무에서 확장되지만 2022년 초안에 설명된 것만큼 광범위하지는 않습니다.

시판 후 계획과 프로세스 및 절차 측면은 현재 최종 지침에서 부분적으로 다루고 있지만 명시적으로 단어 그대로는 아닙니다. 소프트웨어 재료 명세서(sBOM)의 추가는 현재 최종 지침에 새로운 것이지만 2022년 초안 지침에서 다룹니다. 마지막 요구 사항은 FDA와 관련 정부 기관이 필요에 따라 모범 사례에 적응할 수 있도록 허용하는 포괄적인 진술로 보입니다.

FDA는 올바른 콘텐츠가 제공되도록 eSTAR 패키지를 제출용으로 사용할 것을 권장합니다. 현재 템플릿 버전 2-2는 사이버 보안과 관련하여 위험 관리 파일, 사이버 보안 관리 계획 또는 지속적인 지원 계획, 라벨 내 사이버 보안 콘텐츠에 대한 참조 문서만 요청합니다. 추가 요구 사항을 반영하도록 이 템플릿이 업데이트될 것으로 예상됩니다.

이 법안은 "의료 기기의 사이버 보안 관리를 위한 시판 전 제출 내용"(또는 후속 문서)이라는 제목의 지침과 이를 검토하고 "기기 제조업체, 의료 기관, 의료 제공자, 제90자 장치 서비스 제공자, 환자 옹호자 및 기타 적절한 이해 관계자.” 그러나 법안의 이러한 측면에 대한 시한은 XNUMX일 기대와 충돌하는 XNUMX년을 넘지 않아야 합니다.

남은 질문:

여기서 우리는 문제의 핵심에 도달합니다. 업계는 이러한 상충되는 요구 사항에 어떻게 대응합니까?

이 법안은 FDA가 사이버 보안에 대한 FDA 웹 사이트 업데이트를 포함하여 법이 발효된 후 180일 이내에 리소스를 제공해야 한다고 명시하고 있습니다. 그러나 이것은 업계 마감일 이후에 발생합니다.

지침 업데이트나 다른 수단을 통해 이것이 업계에 공식적으로 전달되는 시기를 기다려야 합니다. 바라건대 이것은 이러한 기대에 대한 명확성을 제공하기 위해 곧 일어날 것입니다.

¹ An 옴니버스 법안 제안된 법 다양하거나 관련 없는 여러 주제를 다루는 옴니버스 법안 - Wikipedia

이미지 : 캔 스톡 사진

헬렌 시몬스 하는 품질 보증 StarFish Medical의 관리자입니다. Helen의 교육은 의료 기기, IVD 및 조합 기기에 대한 소비자 및 산업 제품을 포함한 여러 산업 전반에 걸쳐 제품 개발 및 QMS 개발의 배경을 가진 기계 공학 분야입니다.



• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 출처: https://starfishmedical.com/blog/new-cybersecurity-requirements-in-the-us/