Nowe wymagania dotyczące cyberbezpieczeństwa w USA

Cyberbezpieczeństwo jest kluczowym zagadnieniem na dzisiejszym rynku dla producentów urządzeń medycznych i innych branż. Pisałem wcześniej o tzw Oczekiwania FDA dotyczące dokumentacji dotyczącej cyberbezpieczeństwa do zgłoszeń urządzeń medycznych i poruszono ten temat w Medical Device Playbook Toronto.

Niedawno dowiedzieliśmy się o nowych wymaganiach dotyczących bezpieczeństwa cybernetycznego, które wchodzą w życie w Stanach Zjednoczonych dla urządzeń medycznych, które są uważane za „urządzenia cybernetyczne”. Rząd Stanów Zjednoczonych definiuje urządzenie cybernetyczne, urządzenie, które:

• obejmuje oprogramowanie zweryfikowane, zainstalowane lub autoryzowane przez sponsora jako urządzenie lub w urządzeniu;
• posiada możliwość podłączenia do Internetu;
• zawiera wszelkie cechy technologiczne zatwierdzone, zainstalowane lub autoryzowane przez sponsora, które mogą być podatne na zagrożenia cyberbezpieczeństwa.

Jest to tym bardziej interesujące, że te nowe wymagania nie zostały jeszcze przekazane bezpośrednio przez FDA ani szeroko omówione w wiadomościach branżowych. Chciałem podzielić się tą informacją z naszymi czytelnikami, abyście i Wy mogli być tego świadomi i proaktywnie przygotować się na tę zmianę.

Dla osób z branży, które obecnie przygotowują zgłoszenia, jest to gorący temat. Będziesz chciał upewnić się, że odpowiednia dokumentacja jest generowana i dostarczana w ramach przesyłania, aby uniknąć dodatkowych próśb o informacje i opóźnień w procesie przesyłania.

Nowe wymagania

21 grudnia 2022 r. rząd USA zatwierdził ustawę zbiorczą¹ ("Ustawa o środkach skonsolidowanych, 2023”), który dotyczył głównie zapewnienia finansowania działań rządowych do września 2023 r., ale zawiera również podsekcję dotyczącą kontroli cyberbezpieczeństwa urządzeń medycznych przez FDA.

Ta ustawa obejmuje oszałamiającą liczbę 4,155 stron, a wśród nich, na stronie 3,537, ukryta jest sekcja o kluczowym znaczeniu, która identyfikuje zestaw wymogów bezpieczeństwa cybernetycznego, które rząd spodziewa się otrzymać od każdego, kto złoży wniosek lub złoży wniosek zgodnie z sekcjami 510 (k) , 513, 515(c), 515(f) lub 520(m) w związku z ustawą o żywności, lekach i kosmetykach. Oznacza to, że każdy, kto przedkłada urządzenie medyczne do zatwierdzenia lub dopuszczenia w ramach ścieżek IDE, 510(k), De Novo lub PMA, jest teraz zobowiązany do dostarczenia następujących dokumentów:

• (b) WYMAGANIA DOTYCZĄCE CYBERBEZPIECZEŃSTWA — Sponsor wniosku lub zgłoszenia opisanego w podsekcji 3
  • (a) będzie—
    • (1) przedłożyć Sekretarzowi plan monitorowania, identyfikowania i reagowania, w stosownych przypadkach, w rozsądnym czasie, po wprowadzeniu na rynek luk w zabezpieczeniach cybernetycznych i nadużyć, w tym skoordynowane ujawnianie luk w zabezpieczeniach i powiązane procedury;
    • (2) projektować, rozwijać i utrzymywać procesy i procedury w celu zapewnienia wystarczającej pewności, że urządzenie i powiązane systemy są cyberbezpieczne, oraz udostępniać aktualizacje i poprawki po wprowadzeniu na rynek urządzenia i powiązanych systemów w celu:
      • (A) w rozsądnie uzasadnionym regularnym cyklu, znanych niedopuszczalnych słabych punktów; I
      • (B) jak najszybciej poza cyklem krytyczne luki, które mogą spowodować niekontrolowane ryzyko;
    • (3) dostarczyć Sekretarzowi wykaz materiałów oprogramowania, w tym komercyjne, otwarte i gotowe komponenty oprogramowania; I
    • (4) spełniać inne wymagania, których Sekretarz może wymagać w drodze rozporządzenia, aby wykazać wystarczającą pewność, że urządzenie i powiązane systemy są cyberbezpieczne.

Stwierdza również, że te dodatkowe wymagania wejdą w życie 90 dni od dnia wejścia w życie niniejszej ustawy, co określa datę spełnienia wymagań na 21 marca 2023 r.

Sprzeczne informacje:

Obecnie, jak opisano w naszym dokumencie Projekt wytycznych FDA dotyczących bezpieczeństwa cybernetycznego, obowiązujące ostateczne wytyczne FDA przedstawiono w Treść zgłoszeń przedsprzedażowych do zarządzania cyberbezpieczeństwem w urządzeniach medycznych z 2014 r. Jednak w 2022 r. FDA opublikowała zaktualizowany projekt wytycznych, Cyberbezpieczeństwo w wyrobach medycznych: rozważania dotyczące systemu jakości i treść zgłoszeń przed wprowadzeniem na rynek, co znacznie rozszerza oczekiwania dotyczące działań i dokumentacji w zakresie cyberbezpieczeństwa. Wersja z 2022 r. jest uważana za obecną opinię FDA na ten temat, podczas gdy ostateczna wytyczna z 2014 r. to ta, która obecnie obowiązuje i jest egzekwowana.

FDA potwierdziła, że ​​zamierzają sfinalizować projekt wytycznych na 2022 r.CDRH Proponowane wytyczne na rok budżetowy 2023 (rok budżetowy 2023) | FDA), jednak nie znamy jeszcze żadnych konkretnych dat publikacji ani szczegółów dotyczących zakresu zmian ani tego, w jaki sposób ostateczne wytyczne zostaną zmienione w porównaniu z projektem z 2022 r.

Obowiązki przedstawione w projekcie zbiorczym mieszczą się w połowie drogi między wersjami wytycznych z 2014 i 2022 r., przy czym obowiązki zostały rozszerzone z obecnie obowiązujących, ale nie tak szeroko, jak te określone w projekcie z 2022 r.

Plan po wprowadzeniu do obrotu oraz aspekty związane z procesami i procedurami są częściowo uwzględnione w aktualnych ostatecznych wytycznych, ale nie dosłownie słowo w słowo. Dodanie zestawienia materiałów oprogramowania (sBOM) jest nowością w obecnych ostatecznych wytycznych, ale zostało uwzględnione w projekcie wytycznych na 2022 r. Ostatnim wymogiem wydaje się być ogólne stwierdzenie, które umożliwia FDA i odpowiednim organom rządowym dostosowanie się do najlepszych praktyk zgodnie z wymaganiami.

FDA zaleca korzystanie z pakietu eSTAR w celu zapewnienia prawidłowej zawartości. Obecny szablon, wersja 2-2, wymaga jedynie następujących dokumentów związanych z cyberbezpieczeństwem: plik(i) zarządzania ryzykiem, plan zarządzania cyberbezpieczeństwem lub plan ciągłego wsparcia oraz odniesienie do treści związanych z cyberbezpieczeństwem na etykiecie. Należy spodziewać się aktualizacji tego szablonu w celu odzwierciedlenia wszelkich dodatkowych wymagań.

Projekt ustawy wyraźnie wymienia wytyczne zatytułowane „Treść przedsprzedażowych zgłoszeń do zarządzania cyberbezpieczeństwem w urządzeniach medycznych” (lub dokument zastępujący) oraz obowiązki FDA dotyczące ich przeglądu i aktualizowania na podstawie informacji zwrotnych od „producentów urządzeń, świadczeniodawcy opieki zdrowotnej, osoby trzecie obsługujące urządzenia, rzecznicy pacjentów i inne odpowiednie zainteresowane strony”. Ale termin na ten aspekt ustawy nie jest późniejszy niż dwa lata, co jest sprzeczne z 90-dniowym oczekiwaniem.

Pozostałe pytania:

W tym miejscu dochodzimy do sedna problemu: jak branża reaguje na te sprzeczne wymagania?

W ustawie stwierdza się, że FDA powinna zapewnić zasoby nie później niż 180 dni po wejściu w życie ustawy, w tym zaktualizować stronę internetową FDA dotyczącą cyberbezpieczeństwa. Ale znowu, to przychodzi po terminie dla przemysłu.

Będziemy musieli poczekać, aby zobaczyć, kiedy zostanie to oficjalnie przekazane przemysłowi poprzez aktualizację wytycznych lub w inny sposób. Miejmy nadzieję, że wkrótce stanie się to jasne, co do tych oczekiwań.

¹ An rachunek zbiorczy jest propozycją prawo który obejmuje wiele różnych lub niezwiązanych ze sobą tematów Rachunek zbiorczy – Wikipedia

Obraz: Zdjęcie CanStock

Helena Simons jest Zapewnienie jakości Menedżer w firmie StarFish Medical. Wykształcenie Helen jest w inżynierii mechanicznej, z doświadczeniem w rozwoju produktów i rozwoju QMS w wielu branżach, od produktów konsumenckich i przemysłowych po urządzenia medyczne, IVD i urządzenia kombinowane.



---

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
• Źródło: https://starfishmedical.com/blog/new-cybersecurity-requirements-in-the-us/