FDA w sprawie treści zgłoszeń przed wprowadzeniem na rynek związanych z cyberbezpieczeństwem

Spis treści

Najnowsza wersja dokumentu została wydana w październiku 2014 r. Ze względu na swój charakter prawny, wytyczne FDA same w sobie nie wprowadzają żadnych wymagań, ale zawierają dodatkowe wyjaśnienia i zalecenia, które powinny zostać uwzględnione przez zainteresowane strony. Agencja stwierdza ponadto, że można zastosować podejście alternatywne, pod warunkiem że jest ono zgodne z odpowiednimi wymogami regulacyjnymi i zostało wcześniej zatwierdzone przez organ. FDA zastrzega sobie również prawo do wprowadzenia zmian w zawartych w niej zaleceniach, jeśli uzna to za zasadnie konieczne w celu uwzględnienia zmian w obowiązującym ustawodawstwie.

Tło regulacyjne 

Agencja dostrzega rosnące znaczenie kwestii cyberbezpieczeństwa związanych z wyrobami medycznymi wprowadzanymi na rynek amerykański. Obecnie coraz więcej urządzeń medycznych wymaga połączenia z sieciami lokalnymi i/lub globalnymi, aby zapewnić ich normalne działanie. Wiele wyrobów medycznych uczestniczy także w wymianie informacji dotyczących pacjentów, które mają charakter wrażliwy. Dlatego ważne jest, aby stosowanie takich wyrobów nie powodowało nieuzasadnionego ryzyka dla pacjentów. Aby pomóc producentom wyrobów medycznych i innym stronom w identyfikacji potencjalnych zagrożeń związanych z kwestiami cyberbezpieczeństwa, FDA wydała niniejsze wytyczne podkreślające najważniejsze aspekty, które należy wziąć pod uwagę na wszystkich etapach cyklu życia produktu, od opracowania po wprowadzenie na rynek konserwacja. Dokument zawiera także dodatkowe wyjaśnienia dotyczące wymogów regulacyjnych dotyczących informacji, jakie powinni przekazywać producenci wyrobów medycznych przy ubieganiu się o dopuszczenie swoich produktów do obrotu. 

Zakres niniejszych wytycznych FDA obejmuje informacje, które należy uwzględnić we zgłoszeniach przed wprowadzeniem na rynek w zakresie kwestii związanych z cyberbezpieczeństwem. Według dokumentu, skuteczne zarządzanie cyberbezpieczeństwem ma na celu zmniejszenie ryzyka dla pacjentów poprzez zmniejszenie prawdopodobieństwa, że ​​funkcjonalność urządzenia zostanie celowo lub niezamierzenie zagrożona w wyniku nieodpowiedniego cyberbezpieczeństwa. 

Zalecenia zawarte w poradniku można zastosować do takich typów zgłoszeń przed wprowadzeniem na rynek, jak:

W pierwszej kolejności FDA podaje definicje najważniejszych terminów i pojęć stosowanych w kontekście zagadnień związanych z cyberbezpieczeństwem, m.in.:

• Uwierzytelnianie – czynność polegająca na weryfikacji tożsamości użytkownika, procesu lub urządzenia jako warunek wstępny umożliwienia dostępu do urządzenia, jego danych, informacji lub systemów.
• Bezpieczeństwo cybernetyczne - proces zapobiegania nieuprawnionemu dostępowi, modyfikacji, niewłaściwemu użyciu lub odmowie użycia lub nieuprawnionemu użyciu informacji, które są przechowywane, dostępne lub przesyłane z urządzenia medycznego do odbiorcy zewnętrznego. 
• Szyfrowanie - kryptograficzna transformacja danych do postaci, która ukrywa ich pierwotne znaczenie, aby zapobiec ich poznaniu lub wykorzystaniu. 

Podstawowe zasady 

W wytycznych opisano dalej ogólne zasady, na których opiera się obecne podejście regulacyjne. Zgodnie z dokumentem producent wyrobu medycznego powinien odpowiadać za środki i kontrole niezbędne do zapewnienia, że ​​wyrób medyczny spełnia obowiązujące wymagania regulacyjne w zakresie cyberbezpieczeństwa oraz działa w sposób bezpieczny i skuteczny. 

Organ przyznaje jednak, że ogólnie rzecz biorąc, cyberbezpieczeństwo wyrobów medycznych powinno należeć do wspólnej odpowiedzialności wszystkich zaangażowanych stron. Potencjalne problemy z cyberbezpieczeństwem mogą mieć wpływ na normalne działanie urządzenia medycznego i skutkować utratą danych, a nawet szkodami dla zdrowia pacjenta. 

Ze względu na wagę kwestii cyberbezpieczeństwa, producenci wyrobów medycznych powinni o nich pamiętać już od samego początku – począwszy od początkowego etapu rozwoju, gdyż w ten sposób najskuteczniej zminimalizuje się tego typu ryzyko. W szczególności Agencja stwierdza, że producenci powinni ustalić elementy konstrukcyjne swoich urządzeń związane z cyberbezpieczeństwem oraz opracować podejście do podatności na zagrożenia cyberbezpieczeństwa i zarządzania nimi w ramach walidacji oprogramowania i analizy ryzyka wymaganej przez 21 CFR 820.30 (g). 

Podejście do zarządzania cyberbezpieczeństwem, które ma stosować producent wyrobu medycznego, obejmuje następujące aspekty: 

• Identyfikacja istniejących i potencjalnych problemów i podatności na cyberbezpieczeństwo;
• Analiza wpływu, jaki powyższe podatności mogą potencjalnie wywołać na działanie samego urządzenia, a także na zdrowie i bezpieczeństwo pacjentów;
• Ocena oczekiwanego prawdopodobieństwa wystąpienia problemów związanych z takimi podatnościami;
• Identyfikacja poziomów ryzyka, określenie strategii i podejść, które można zastosować w celu ograniczenia tego ryzyka;
• Ocena ryzyk szczątkowych związanych z cyberbezpieczeństwem oraz kryteriów akceptacji ryzyka. 

Kluczowe funkcje cyberbezpieczeństwa 

Aby pomóc producentom wyrobów medycznych we wdrażaniu opisanych powyżej zasad, w poradniku zawarto zalecenia dotyczące poszczególnych funkcji związanych z cyberbezpieczeństwem, a mianowicie:

• Zidentyfikować, 
• Ochraniać,
• Wykryć,
• Odpowiedz i
• Wyzdrowieć.  

W dokumencie szczegółowo opisano każdą z tych funkcji oraz sposób ich wdrożenia przez producenta urządzenia medycznego. 

1. Identyfikuj i chroń. Agencja stwierdza, że ​​najwięcej uwagi z punktu widzenia cyberbezpieczeństwa wymagają urządzenia medyczne, które można podłączyć do innych urządzeń, sieci lokalnych, globalnych, a nawet mediów, w porównaniu do tych, które nie są w żaden sposób połączone. Konkretne środki i kontrole cyberbezpieczeństwa, które należy zastosować, zależą od wielu czynników, w tym od przeznaczenia danego wyrobu medycznego, środowiska, w którym będzie ono używane, oraz zidentyfikowanych luk w zabezpieczeniach. Należy również wziąć pod uwagę prawdopodobieństwo wykorzystania tych luk i związane z tym ryzyko, w tym wyrządzenie potencjalnej szkody pacjentom. Jednocześnie producent ustali optymalną równowagę pomiędzy zapewnieniem bezpieczeństwa urządzenia pod kątem cyberbezpieczeństwa a ogólną użytecznością produktu. W tym kontekście zachęca się producentów wyrobów medycznych do uzasadnienia funkcji bezpieczeństwa zastosowanych w ich produktach. 

2. Wykryj, reaguj, odzyskaj. Producenci opracowują i wprowadzają funkcje wykrywające występujące problemy bezpieczeństwa i dostarczające wszelkich niezbędnych informacji o potencjalnych zastosowaniach. Informacje takie powinny opisywać działania w przypadku pojawienia się różnych problemów związanych z cyberbezpieczeństwem. Agencja dodatkowo podkreśla, że ​​zaimplementowane przez producenta funkcje powinny wystarczyć, aby zapewnić normalne działanie wyrobu medycznego nawet w przypadku wystąpienia problemu cyberbezpieczeństwa. Poza tym powinna istnieć techniczna możliwość odzyskania konfiguracji urządzenia przez uwierzytelnionego uprzywilejowanego użytkownika. 

Podsumowując, niniejsze wytyczne FDA szczegółowo opisują najważniejsze aspekty, które producenci wyrobów medycznych powinni wziąć pod uwagę w kontekście zagadnień cyberbezpieczeństwa. Dokument określa główne obowiązki producenta i zawiera zalecenia, które należy wziąć pod uwagę na różnych etapach procesu rozwoju wyrobu medycznego. 

Źródła:

https://www.fda.gov/media/86174/download 

W jaki sposób RegDesk może pomóc?

RegDesk to internetowe oprogramowanie nowej generacji dla firm zajmujących się urządzeniami medycznymi i IVD. Nasza najnowocześniejsza platforma wykorzystuje uczenie maszynowe do globalnego zarządzania informacjami regulacyjnymi, przygotowaniem, przesyłaniem i zatwierdzaniem aplikacji. Nasi klienci mają również dostęp do naszej sieci ponad 4000 ekspertów ds. Zgodności na całym świecie, aby uzyskać weryfikację krytycznych pytań. Aplikacje, których przygotowanie zwykle zajmuje 6 miesięcy, można teraz przygotować w ciągu 6 dni za pomocą RegDesk Dash (TM). Globalna ekspansja nigdy nie była tak prosta.Wcześniejsze