Cyberbeveiliging is een belangrijke overweging in de huidige markt voor fabrikanten van medische hulpmiddelen en andere industrieën. Ik heb eerder geschreven over de FDA's verwachtingen voor documentatie over cyberbeveiliging voor inzendingen van medische hulpmiddelen, en sprak over dit onderwerp op Medical Device Playbook Toronto.
Onlangs zijn we ons bewust geworden van nieuwe cyberbeveiligingsvereisten die in de VS van kracht worden voor medische apparaten die als "cyberapparaten" worden beschouwd. De Amerikaanse overheid definieert een cyberapparaat, een apparaat dat:
- omvat software die door de sponsor is gevalideerd, geïnstalleerd of geautoriseerd als apparaat of in een apparaat;
- heeft de mogelijkheid om verbinding te maken met internet;
- dergelijke technologische kenmerken bevat die zijn gevalideerd, geïnstalleerd of geautoriseerd door de sponsor en die kwetsbaar kunnen zijn voor cyberbeveiligingsbedreigingen.
Dit is des te interessanter omdat deze nieuwe vereisten nog niet rechtstreeks door de FDA zijn gecommuniceerd of breed zijn besproken in het branchenieuws. Ik wilde deze informatie met onze lezers delen, zodat ook u hiervan op de hoogte kunt zijn en u proactief kunt voorbereiden op deze verandering.
Voor degenen in de industrie die momenteel inzendingen voorbereiden, is dit een hot topic. U wilt ervoor zorgen dat de juiste documentatie wordt gegenereerd en verstrekt als onderdeel van de indiening om aanvullende informatieverzoeken en vertragingen in het indieningsproces te voorkomen.
Nieuwe vereisten
Op 21 december 2022 keurde de Amerikaanse regering een omnibuswet goed1 ( 'Geconsolideerde kredietenwet, 2023”), dat voornamelijk ging over het verzekeren van financiering voor overheidsactiviteiten tot september 2023, maar ook een onderafdeling bevat over de controle van de FDA op de cyberbeveiliging van medische apparaten.
Dit wetsvoorstel omvat maar liefst 4,155 pagina's, en daartussen verborgen, op pagina 3,537, is het gedeelte van het belangrijkste belang, dat een reeks cyberbeveiligingsvereisten identificeert die de overheid verwacht te ontvangen van iedereen die een aanvraag indient of een indiening indient onder secties 510(k) , 513, 515(c), 515(f) of 520(m) met betrekking tot de Food, Drugs and Cosmetics Act. Dit betekent dat iedereen die een medisch hulpmiddel indient voor goedkeuring of goedkeuring onder de IDE-, 510(k), De Novo- of PMA-paden nu verplicht is om het volgende te verstrekken:
- (b) CYBERVEILIGHEIDSVEREISTEN—De sponsor van een aanvraag of indiening beschreven in subsectie 3
- (a) zal—
- (1) bij de secretaris een plan indienen voor het monitoren, identificeren en aanpakken, indien van toepassing, binnen een redelijke termijn, van kwetsbaarheden en exploits op het gebied van cyberbeveiliging na het op de markt brengen, met inbegrip van gecoördineerde openbaarmaking van kwetsbaarheden en gerelateerde procedures;
- (2) processen en procedures ontwerpen, ontwikkelen en onderhouden om een redelijke zekerheid te bieden dat het apparaat en de gerelateerde systemen cyberveilig zijn, en postmarket-updates en patches voor het apparaat en de gerelateerde systemen beschikbaar maken om aan te pakken—
- (A) op een redelijk gerechtvaardigde regelmatige cyclus, bekende onaanvaardbare kwetsbaarheden; En
- (B) zo snel mogelijk uit de cyclus, kritieke kwetsbaarheden die ongecontroleerde risico's kunnen veroorzaken;
- (3) aan de secretaris een materiaallijst voor software verstrekken, inclusief commerciële, open-source en kant-en-klare softwarecomponenten; En
- (4) voldoen aan andere vereisten die de secretaris op grond van regelgeving kan opleggen om redelijke zekerheid aan te tonen dat het apparaat en de gerelateerde systemen cyberveilig zijn.
- (a) zal—
Daarin staat ook dat deze aanvullende eisen in werking treden 90 dagen vanaf de datum van inwerkingtreding van deze wet, die de nalevingsdatum op 21 maart 2023 stelt.
tegenstrijdige informatie:
Momenteel, zoals beschreven in onze whitepaper FDA ontwerprichtlijn voor cyberbeveiliging, wordt de toepasselijke definitieve richtlijn van de FDA beschreven in Inhoud van premarket-inzendingen voor beheer van cyberbeveiliging in medische hulpmiddelen gedateerd 2014. In 2022 publiceerde de FDA echter een bijgewerkte ontwerprichtlijn, Cyberbeveiliging in medische hulpmiddelen: overwegingen bij kwaliteitssystemen en inhoud van premarket-inzendingen, wat de verwachting voor cyberbeveiligingsactiviteiten en -documentatie aanzienlijk uitbreidt. De versie van 2022 wordt beschouwd als de huidige manier van denken over dit onderwerp van de FDA, terwijl de definitieve richtlijn van 2014 degene is die momenteel van kracht is en wordt gehandhaafd.
De FDA heeft bevestigd dat ze van plan zijn om de ontwerprichtlijnen voor 2022 dit jaar af te ronden toen ze hun doelrichtlijnen meedeelden om in 2023 prioriteiten te stellen (CDRH voorgestelde richtlijnen voor boekjaar 2023 (FY2023) | FDA), maar we hebben nog geen specifieke publicatiedatums of details gezien over de omvang van de bewerkingen of hoe de definitieve richtlijnen zullen worden herzien in vergelijking met het ontwerp van 2022.
De verplichtingen die in de omnibuswet worden geschetst, vallen halverwege tussen de versies van 2014 en 2022 van de leidraad, waarbij de verplichtingen worden uitgebreid ten opzichte van de verplichtingen die momenteel worden gehandhaafd, maar niet zo uitgebreid als die in het ontwerp van 2022.
Het post-market plan en de proces- en procedureaspecten worden deels gedekt door de huidige definitieve leidraad, maar niet expliciet woord voor woord. De toevoeging van een software stuklijst (sBOM's) is nieuw in de huidige definitieve leidraad, maar wordt behandeld in de ontwerpleidraad voor 2022. De laatste vereiste lijkt een allesomvattende verklaring te zijn die de FDA en relevante overheidsinstanties in staat stelt zich naar behoefte aan te passen aan de beste praktijken.
De FDA beveelt het gebruik van het eSTAR-pakket aan voor inzendingen om ervoor te zorgen dat de juiste inhoud wordt verstrekt. Het huidige sjabloon, versie 2-2, vraagt alleen om de volgende documenten met betrekking tot cyberbeveiliging: risicobeheerbestand(en), cyberbeveiligingsbeheerplan of plan voor voortdurende ondersteuning, en een verwijzing naar cyberbeveiligingsinhoud binnen de labeling. We mogen verwachten dat dit sjabloon wordt bijgewerkt om eventuele aanvullende vereisten weer te geven.
Het wetsvoorstel vermeldt expliciet de leidraad getiteld ''Inhoud van premarket-inzendingen voor beheer van cyberbeveiliging in medische hulpmiddelen'' (of een vervolgdocument) en de FDA-verplichtingen om deze te herzien en up-to-date te houden met feedback van "fabrikanten van apparaten, gezondheid zorgverleners, externe apparaatbeheerders, pleitbezorgers van patiënten en andere relevante belanghebbenden. Maar de tijdslimiet voor dit aspect van de rekening is niet later dan twee jaar, wat in strijd is met de verwachting van 90 dagen.
Resterende vragen:
Dit is waar we bij de kern van het probleem komen: hoe reageert de industrie op deze tegenstrijdige eisen?
In het wetsvoorstel staat dat de FDA uiterlijk 180 dagen na de inwerkingtreding van de wet middelen moet verstrekken, inclusief het bijwerken van de website van de FDA over cyberbeveiliging. Maar nogmaals, dit komt na de deadline voor de industrie.
We zullen moeten afwachten wanneer dit officieel aan de industrie wordt meegedeeld, hetzij door een update van de richtlijnen, hetzij op andere manieren. Hopelijk zal dit snel gebeuren om duidelijkheid te scheppen over deze verwachtingen.
1 An omnibus rekening is een voorstel wet dat een aantal uiteenlopende of niet-gerelateerde onderwerpen behandelt Omnibusrekening - Wikipedia
Afbeelding: CanStock-foto
Helen Simons is een Kwaliteitsborging Manager bij StarFish Medical. Helen's opleiding is werktuigbouwkunde, met een achtergrond van productontwikkeling en QMS-ontwikkeling in meerdere industrieën, van consumenten- en industriële producten tot medische apparaten, IVD en combinatieapparaten.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
- Bron: https://starfishmedical.com/blog/new-cybersecurity-requirements-in-the-us/
- 1
- 2014
- 2022
- 2023
- a
- vermogen
- Over
- over
- Handelen
- activiteiten
- aanpassen
- toevoeging
- Extra
- Extra informatie
- adres
- aanpakken
- voorstanders
- Na
- Alles
- Het toestaan
- te midden van
- en
- iedereen
- toepasselijk
- Aanvraag
- passend
- kredieten
- goedkeuring
- goedgekeurd
- verschijning
- aspecten
- zekerheid
- Beschikbaar
- vermijd
- achtergrond
- wezen
- BEST
- 'best practices'
- tussen
- Bill
- brengen
- verzorging
- Veroorzaken
- verandering
- kenmerken
- helderheid
- COM
- combinatie van
- hoe
- komst
- commercieel
- vergeleken
- nakoming
- componenten
- Bevestigen
- Tegenstrijdig
- Verbinden
- overweging
- overwegingen
- beschouwd
- consument
- content
- voortgezette
- onder controle te houden
- gecoördineerd
- kon
- bedekt
- heeft betrekking op
- kritisch
- Actueel
- Op dit moment
- cyber
- Cybersecurity
- Datum
- gedateerd
- Data
- dag
- dagen
- December
- vertragingen
- tonen
- beschreven
- Design
- gedetailleerd
- gegevens
- ontwikkelen
- Ontwikkeling
- apparaat
- systemen
- DEED
- direct
- onthulling
- besproken
- Display
- diversen
- document
- documentatie
- documenten
- draft
- Drugs
- Onderwijs
- effect
- beide
- handhaving
- Engineering
- verzekeren
- zorgen
- Ether (ETH)
- uitgebreid
- breidt uit
- verwachten
- verwachting
- verwachtingen
- verwacht
- exploits
- Vallen
- FDA
- feedback
- finale
- afronden
- Fiscale
- volgend
- eten
- Dwingen
- oppompen van
- financiering
- gegenereerde
- Overheid
- regerings-
- richtlijnen
- gebeuren
- Gezondheid
- Gezondheidszorg
- verborgen
- Hopelijk
- Populair
- Hoe
- Echter
- HTML
- HTTPS
- identificeert
- identificeren
- in
- omvat
- Inclusief
- industrieel
- industrieën
- -industrie
- industry News
- informatie
- geïnstalleerd
- van plan
- belang
- interessant
- Internet
- kwestie
- IT
- Houden
- sleutel
- bekend
- etikettering
- Achternaam*
- LIMIT
- onderhouden
- maken
- management
- manager
- Fabrikanten
- Maart
- Markt
- materieel
- max-width
- middel
- mechanisch
- machinebouw
- medisch
- Medisch apparaat
- medische
- monitor
- meer
- meervoudig
- New
- nieuws
- Nieuw
- aantal
- verplichtingen
- Officieel
- EEN
- open source
- Overige
- geschetst
- Outlook
- pakket
- deel
- Patches
- patiënt
- plan
- Plato
- Plato gegevensintelligentie
- PlatoData
- speler
- mogelijk
- praktijken
- Voorbereiden
- voorbereiding
- die eerder
- prioriteren
- procedures
- processen
- Product
- productontwikkeling
- Producten
- voorgestelde
- bescherming
- zorgen voor
- mits
- providers
- Publicatie
- gepubliceerde
- puts
- kwaliteit
- Contact
- lezers
- redelijk
- ontvangen
- beveelt
- reflecteren
- met betrekking tot
- regelmatig
- Regulatie
- verwant
- relatie
- relevante
- verzoeken
- vereisen
- nodig
- vereiste
- Voorwaarden
- Resources
- Reageren
- beoordelen
- Risico
- risicobeheer
- risico's
- sectie
- secties
- Senaat
- September
- reeks
- Delen
- moet
- aanzienlijk
- Eenvoudig
- So
- Software
- Spoedig
- specifiek
- sponsor
- stakeholders
- Zeester
- Statement
- Staten
- voorlegging
- Inzending
- voorleggen
- dergelijk
- ondersteuning
- system
- Systems
- doelwit
- technologisch
- sjabloon
- De
- hun
- het denken
- dit jaar
- bedreigingen
- Door
- niet de tijd of
- naar
- vandaag
- ook
- onderwerp
- onderwerpen
- toronto
- voor
- begrijpelijk
- bijwerken
- bijgewerkt
- updates
- bijwerken
- us
- de regering van de Verenigde Staten
- .
- gevalideerd
- versie
- Video
- kwetsbaarheden
- kwetsbaarheid
- Kwetsbaar
- wachten
- gezocht
- Website
- welke
- en
- whitepaper
- WIE
- wijd
- Wikipedia
- wil
- binnen
- Woord
- geschreven
- jaar
- jaar
- youtube
- zephyrnet
