FDA om cybersikkerhetsrelatert innhold i innsendinger før markedet

Innholdsfortegnelse

Den siste versjonen av dokumentet ble utgitt i oktober 2014. På grunn av sin juridiske natur introduserer ikke FDA-veiledningen noen krav i seg selv, men gir ytterligere avklaringer og anbefalinger som må vurderes av de involverte partene. I tillegg uttaler Byrået at en alternativ tilnærming kan brukes, forutsatt at en slik tilnærming er i samsvar med de respektive regulatoriske kravene og er godkjent av myndigheten på forhånd. FDA forbeholder seg også retten til å gjøre endringer i anbefalingene gitt deri dersom det anses rimelig nødvendig for å gjenspeile endringer i gjeldende lovgivning.

Forskriftsmessig bakgrunn 

Byrået erkjenner den økende betydningen av cybersikkerhetssaker knyttet til medisinsk utstyr som er plassert på det amerikanske markedet. I dag krever stadig flere medisinske enheter tilkobling til lokale og/eller globale nettverk for å sikre normal drift. Tallrike medisinske enheter er også involvert i utveksling med pasientrelatert informasjon som er sensitiv i sin natur. Det er derfor viktig å sikre at bruk av slike enheter ikke fører til uberettiget risiko for pasientene. For å hjelpe produsenter av medisinsk utstyr og andre parter med å identifisere potensielle risikoer forbundet med cybersikkerhetsproblemer, har FDA utstedt denne veiledningen som fremhever de viktigste aspektene som må tas i betraktning i alle stadier av produktets livssyklus fra utvikling til ettermarkedsføring. vedlikehold. Dokumentet gir også ytterligere avklaringer angående regulatoriske krav til informasjonen som skal gis av produsentene av medisinsk utstyr når de søker om markedsføringsgodkjenning for deres produkter. 

Omfanget av denne FDA-veiledningen dekker informasjonen som skal inkluderes i innsendinger før markedet når det gjelder cybersikkerhetsrelaterte saker. I følge dokumentet, Effektiv cybersikkerhetsstyring er ment å redusere risikoen for pasienter ved å redusere sannsynligheten for at enhetens funksjonalitet med vilje eller utilsiktet kompromitteres av utilstrekkelig cybersikkerhet. 

Anbefalingene gitt i veiledningen kan brukes for slike typer forhåndsmarkedsinnleveringer som:

For det første gir FDA definisjonene av de viktigste begrepene og konseptene som brukes i sammenheng med cybersikkerhetsrelaterte saker, inkludert følgende:

• Godkjenning - handlingen med å bekrefte identiteten til en bruker, prosess eller enhet som en forutsetning for å tillate tilgang til enheten, dens data, informasjon eller systemer.
• Cybersikkerhet – prosessen med å forhindre uautorisert tilgang, modifikasjon, misbruk eller nektelse av bruk, eller uautorisert bruk av informasjon som lagres, får tilgang til eller overføres fra et medisinsk utstyr til en ekstern mottaker. 
• Kryptering - kryptografisk transformasjon av data til en form som skjuler dataens opprinnelige betydning for å forhindre at de blir kjent eller brukt. 

Grunnleggende prinsipper 

Veiledningen beskriver videre de generelle prinsippene som dagens reguleringstilnærming er basert på. I henhold til dokumentet skal produsenten av medisinsk utstyr være ansvarlig for tiltakene og kontrollene som er nødvendige for å sikre at det medisinske utstyret oppfyller gjeldende forskriftskrav når det gjelder cybersikkerhet og fungerer på en sikker og effektiv måte. 

Myndigheten erkjenner imidlertid at cybersikkerhet for medisinsk utstyr generelt sett bør være et delt ansvar for alle involverte parter. Potensielle cybersikkerhetsproblemer kan påvirke normal drift av en medisinsk enhet og føre til tap av data eller til og med skade på pasientens helse. 

På grunn av viktigheten av cybersikkerhetsspørsmål, bør de tas i betraktning av produsentene av medisinsk utstyr helt fra begynnelsen – fra det første utviklingsstadiet, da dette vil redusere denne risikoen mest effektivt. Spesielt uttaler Byrået at produsenter bør etablere designinndata for enheten deres relatert til cybersikkerhet og etablere en cybersikkerhetssårbarhet og administrasjonstilnærming som en del av programvarevalideringen og risikoanalysen som kreves av 21 CFR 820.30(g). 

Tilnærmingen til administrasjon av nettsikkerhet som skal brukes av produsenten av medisinsk utstyr skal dekke følgende aspekter: 

• Identifisering av eksisterende og potensielle cybersikkerhetsproblemer og sårbarheter;
• Analyse av virkningen som de nevnte sårbarhetene potensielt kan forårsake på driften av selve enheten, så vel som på helsen og sikkerheten til pasientene;
• Vurdering av forventet sannsynlighet for problemene knyttet til slike sårbarheter;
• Identifisering av risikonivåer, fastsettelse av strategier og tilnærminger som kan brukes for å redusere slike risikoer;
• Vurdering av gjenværende risiko knyttet til cybersikkerhet, samt risikoakseptkriterier. 

Viktige cybersikkerhetsfunksjoner 

For å hjelpe produsenter av medisinsk utstyr med å implementere prinsippene beskrevet ovenfor, gir veiledningen anbefalinger angående de spesielle funksjonene knyttet til cybersikkerhet, nemlig:

• Identifisere, 
• Beskytte,
• oppdage,
• Svar, og
• Gjenopprette.  

Dokumentet beskriver videre i detalj hver av disse funksjonene og hvordan de skal implementeres av produsenten av medisinsk utstyr. 

1. Identifiser og beskytt. Byrået uttaler at medisinsk utstyr som kan kobles til andre enheter, lokale eller globale nettverk, eller til og med media krever mest oppmerksomhet når det gjelder cybersikkerhet i motsetning til de som ikke er koblet til på noen måte. De spesielle cybersikkerhetstiltakene og kontrollene som skal brukes avhenger av en rekke faktorer, inkludert tiltenkt bruk av det aktuelle medisinske utstyret, miljøet det skal brukes i og identifiserte sårbarheter. Sannsynligheten for at disse sårbarhetene vil bli utnyttet og risikoen forbundet med dette, inkludert å forårsake potensiell skade på pasienter, bør også vurderes. Samtidig skal produsenten etablere en optimal balanse mellom å sikre enhetens sikkerhet når det gjelder cybersikkerhetsrelaterte forhold og produktets generelle brukbarhet. I denne sammenheng oppfordres produsenter av medisinsk utstyr til å gi begrunnelse for sikkerhetsfunksjonene implementert i produktene deres. 

2. Oppdag, svar, gjenopprett. Produsentene skal utvikle og innføre funksjoner som oppdager sikkerhetsproblemer som finner sted og gi all nødvendig informasjon til potensielle bruksområder. Slik informasjon bør beskrive handlingene i tilfelle ulike cybersikkerhetsproblemer oppstår. Byrået understreker i tillegg at funksjonene som er implementert av produsenten bør være tilstrekkelige til å sikre normal drift av et medisinsk utstyr selv om det oppstår et cybersikkerhetsproblem. Bortsett fra dette bør det være en teknisk mulighet for en autentisert privilegert bruker til å gjenopprette konfigurasjonen til enheten. 

Oppsummert beskriver denne FDA-veiledningen i detalj de viktigste aspektene som må vurderes av produsentene av medisinsk utstyr i sammenheng med cybersikkerhetsspørsmål. Dokumentet skisserer hovedansvaret til produsenten og gir noen anbefalinger som må tas i betraktning på de ulike stadiene i en utviklingsprosess for medisinsk utstyr. 

kilder:

https://www.fda.gov/media/86174/download 

Hvordan kan RegDesk hjelpe?

RegDesk er en neste generasjons nettbasert programvare for medisinsk utstyr og IVD-selskaper. Vår banebrytende plattform bruker maskinlæring for å tilby regulatorisk intelligens, applikasjonsforberedelse, innlevering og godkjenningsadministrasjon globalt. Våre kunder har også tilgang til vårt nettverk av over 4000 eksperter over hele verden for å få bekreftelse på kritiske spørsmål. Programmer som normalt tar 6 måneder å forberede, kan nå utarbeides innen 6 dager ved bruk av RegDesk Dash (TM). Global ekspansjon har aldri vært så enkelt.</s> </s> </s> </s> </s> </s> </s> </s> </s> </s> </s> </s>