Nye cybersikkerhetskrav i USA

Cybersikkerhet er en nøkkelfaktor i dagens marked for produsenter av medisinsk utstyr og andre bransjer. Jeg har tidligere skrevet om FDAs forventninger til cybersikkerhetsdokumentasjon for innleveringer av medisinsk utstyr, og snakket om dette emnet på Medical Device Playbook Toronto.

Nylig ble vi oppmerksomme på nye nettsikkerhetskrav som trer i kraft i USA for medisinsk utstyr som anses som "cyberenheter". Den amerikanske regjeringen definerer en cyberenhet, en enhet som:

• inkluderer programvare validert, installert eller autorisert av sponsoren som en enhet eller i en enhet;
• har muligheten til å koble til internett;
• inneholder slike teknologiske egenskaper validert, installert eller autorisert av sponsoren som kan være sårbare for nettsikkerhetstrusler.

Dette er desto mer interessant ettersom disse nye kravene ennå ikke har blitt kommunisert direkte fra FDA eller mye diskutert i bransjenyhetene. Jeg ønsket å dele denne informasjonen med våre lesere slik at du også kan være klar over den og proaktivt forberede deg på denne endringen.

For de i industrien som for tiden forbereder innleveringer, er dette et hett tema. Du bør sørge for at riktig dokumentasjon genereres og leveres som en del av innsendingen for å unngå forespørsler om tilleggsinformasjon og forsinkelser i innsendingsprosessen.

Nye krav

21. desember 2022 godkjente den amerikanske regjeringen en omnibus-lov¹ ( "Lov om konsoliderte bevilgninger, 2023”), som hovedsakelig handlet om å sikre finansiering av statlige aktiviteter frem til september 2023, men som også inkluderer en underseksjon som tar for seg FDAs kontroll av cybersikkerhet for medisinsk utstyr.

Dette lovforslaget omfatter svimlende 4,155 3,537 sider, og skjult blant dem, på side 510 513, er delen av nøkkelinteresse, som identifiserer et sett med cybersikkerhetskrav, regjeringen forventer å motta fra alle som sender inn en søknad eller innsending i henhold til seksjoner 515(k) , 515, 520(c), 510(f), eller XNUMX(m) i forhold til Food, Drugs and Cosmetics Act. Dette betyr at alle som sender inn et medisinsk utstyr for godkjenning eller godkjenning i henhold til IDE-, XNUMX(k), De Novo- eller PMA-veiene nå må oppgi følgende:

• (b) CYBERSIKKERHETSKRAV – Sponsoren av en søknad eller innsending beskrevet i underavsnitt 3
  • (a) skal—
    • (1) sende til sekretæren en plan for å overvåke, identifisere og adressere, etter behov, innen rimelig tid, sårbarheter og utnyttelser innen cybersikkerhet etter markedet, inkludert koordinert avsløring av sårbarheter og relaterte prosedyrer;
    • (2) designe, utvikle og vedlikeholde prosesser og prosedyrer for å gi en rimelig sikkerhet for at enheten og relaterte systemer er cybersikre, og gjøre tilgjengelige postmarkedsoppdateringer og oppdateringer til enheten og relaterte systemer for å adressere—
      • (A) på en rimelig begrunnet vanlig syklus, kjente uakseptable sårbarheter; og
      • (B) så snart som mulig ut av syklus, kritiske sårbarheter som kan forårsake ukontrollerte risikoer;
    • (3) gi sekretæren en programvarefortegnelse, inkludert kommersielle programvarekomponenter, åpen kildekode og hyllevare; og
    • (4) overholde andre krav som sekretæren kan kreve gjennom regulering for å demonstrere rimelig sikkerhet for at enheten og relaterte systemer er cybersikre.

Det står også at disse tilleggskravene vil tre i kraft 90 dager fra datoen for vedtakelse av denne loven, som setter overholdelsesdatoen til 21. mars 2023.

Motstridende informasjon:

Foreløpig, som beskrevet i vår whitepaper FDA Cybersecurity Draft-veiledning, er den gjeldende endelige veiledningen fra FDA skissert i Innhold i premarket-innleveringer for styring av cybersikkerhet i medisinske enheter datert 2014. Imidlertid publiserte FDA i 2022 et oppdatert utkast til veiledning, Cybersikkerhet i medisinsk utstyr: vurderinger av kvalitetssystem og innhold i innsendinger før markedet, som i betydelig grad utvider forventningene til cybersikkerhetsaktiviteter og dokumentasjon. 2022-versjonen er forstått å være den nåværende tenkningen om dette emnet fra FDA, mens den endelige veiledningen for 2014 er den som for øyeblikket er i kraft og er under håndhevelse.

FDA bekreftet at de har til hensikt å fullføre 2022-utkastet til retningslinjer i år da de kommuniserte sine målretningslinjer for å prioritere i 2023 (CDRH foreslåtte retningslinjer for regnskapsåret 2023 (FY2023) | FDA), men vi har ennå ikke sett noen spesifikke publiseringsdatoer eller detaljer om omfanget av redigeringene eller hvordan den endelige veiledningen vil bli revidert sammenlignet med 2022-utkastet.

Forpliktelsene som er skissert i omnibus-lovforslaget faller halvveis mellom 2014- og 2022-versjonene av veiledningen, med forpliktelsene utvidet fra de som for øyeblikket håndheves, men ikke så omfattende som de som er skissert i 2022-utkastet.

Ettermarkedsplanen og prosessene og prosedyreaspektene er delvis dekket av gjeldende sluttveiledning, men ikke eksplisitt ord for ord. Tillegget av en programvareliste (sBOMs) er nytt for den nåværende endelige veiledningen, men dekkes i 2022-utkastet til veiledningen. Det siste kravet ser ut til å være en oversikt som lar FDA og relevante statlige organer tilpasse seg beste praksis etter behov.

FDA anbefaler bruk av eSTAR-pakken for innsendinger for å sikre at riktig innhold leveres. Den gjeldende malen, versjon 2-2, ber kun om følgende dokumenter i forhold til cybersikkerhet: risikostyringsfil(er), styringsplan for cybersikkerhet eller plan for fortsatt støtte, og en referanse til cybersikkerhetsinnhold i merkingen. Vi bør forvente at denne malen oppdateres for å gjenspeile eventuelle tilleggskrav.

Lovforslaget nevner eksplisitt veiledningen med tittelen ''Innhold i forhåndsmarkedsinnleveringer for håndtering av cybersikkerhet i medisinske enheter'' (eller et etterfølgerdokument) og FDA-forpliktelsene til å gjennomgå den og holde den oppdatert med tilbakemelding fra "enhetsprodusenter, helse omsorgsleverandører, tredjeparts enhetstjenester, pasientforkjempere og andre relevante interessenter.» Men fristen på dette aspektet av lovforslaget er ikke senere enn to år, noe som er i strid med 90 dagers forventningen.

Gjenstående spørsmål:

Det er her vi kommer til kjernen av problemet, hvordan reagerer industrien på disse motstridende kravene?

Lovforslaget sier at FDA skal stille med ressurser senest 180 dager etter at loven trådte i kraft, inkludert oppdatering av FDAs nettsted om cybersikkerhet. Men igjen, dette kommer etter fristen for industri.

Vi må vente å se når dette blir offisielt kommunisert til industrien enten ved en oppdatering av veiledningen eller på andre måter. Forhåpentligvis vil dette snart skje for å bringe klarhet angående disse forventningene.

¹ An omnibusregning er et foreslått lov som dekker en rekke forskjellige eller ikke-relaterte emner Omnibus-regning – Wikipedia

Bilde: CanStock Foto

Helen Simons er en Kvalitetssikring Manager hos StarFish Medical. Helens utdannelse er i maskinteknikk, med bakgrunn fra produktutvikling og QMS-utvikling på tvers av flere bransjer med forbruker- og industriprodukter til medisinsk utstyr, IVD og kombinasjonsenheter.



---

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. Tilgang her.
• kilde: https://starfishmedical.com/blog/new-cybersecurity-requirements-in-the-us/