A segurança cibernética é uma consideração importante no mercado atual para fabricantes de dispositivos médicos e outras indústrias. Já escrevi sobre o Expectativas da FDA para documentação de segurança cibernética para envios de dispositivos médicos e falou sobre esse tópico no Medical Device Playbook Toronto.
Recentemente, tomamos conhecimento de novos requisitos de segurança cibernética que estão entrando em vigor nos EUA para dispositivos médicos considerados “dispositivos cibernéticos”. O governo dos EUA define um dispositivo cibernético, um dispositivo que:
- inclui software validado, instalado ou autorizado pelo patrocinador como um dispositivo ou em um dispositivo;
- tem a capacidade de se conectar à internet;
- contém quaisquer características tecnológicas validadas, instaladas ou autorizadas pelo patrocinador que possam ser vulneráveis a ameaças de segurança cibernética.
Isso é ainda mais interessante porque esses novos requisitos ainda não foram comunicados diretamente pelo FDA ou amplamente discutidos nas notícias do setor. Eu queria compartilhar esta informação com nossos leitores para que você também possa estar ciente disso e se preparar proativamente para esta mudança.
Para aqueles na indústria que atualmente preparam envios, este é um tema quente. Você deve garantir que a documentação correta seja gerada e fornecida como parte do envio para evitar solicitações de informações adicionais e atrasos no processo de envio.
Novos requisitos
Em 21 de dezembro de 2022, o governo dos EUA aprovou um projeto de lei abrangente1 ("Lei de Dotações Consolidadas, 2023”), que tratava predominantemente de garantir financiamento para atividades governamentais até setembro de 2023, mas também inclui uma subseção abordando o controle do FDA sobre segurança cibernética de dispositivos médicos.
Este projeto de lei compreende impressionantes 4,155 páginas e, oculta entre elas, na página 3,537, está a seção de interesse principal, que identifica um conjunto de requisitos de segurança cibernética que o governo espera receber de qualquer pessoa que envie uma solicitação ou submissão sob as seções 510 (k) , 513, 515(c), 515(f) ou 520(m) em relação à Lei de Alimentos, Medicamentos e Cosméticos. Isso significa que qualquer pessoa que enviar um dispositivo médico para aprovação ou liberação sob as vias IDE, 510(k), De Novo ou PMA agora deve fornecer o seguinte:
- (b) REQUISITOS DE CIBERSEGURANÇA—O patrocinador de um aplicativo ou envio descrito na subseção 3
- (a) deve—
- (1) apresentar ao Secretário um plano para monitorar, identificar e abordar, conforme apropriado, em um prazo razoável, vulnerabilidades e explorações de segurança cibernética pós-comercialização, incluindo divulgação coordenada de vulnerabilidades e procedimentos relacionados;
- (2) projetar, desenvolver e manter processos e procedimentos para fornecer uma garantia razoável de que o dispositivo e sistemas relacionados são ciberseguros e disponibilizar atualizações pós-comercialização e patches para o dispositivo e sistemas relacionados para abordar—
- (A) em um ciclo regular razoavelmente justificado, vulnerabilidades inaceitáveis conhecidas; e
- (B) o mais rápido possível fora do ciclo, vulnerabilidades críticas que podem causar riscos descontrolados;
- (3) fornecer ao Secretário uma lista de materiais de software, incluindo componentes de software comercial, de código aberto e de prateleira; e
- (4) cumprir com outros requisitos que o Secretário possa exigir por meio de regulamentação para demonstrar garantia razoável de que o dispositivo e os sistemas relacionados são ciberseguros.
- (a) deve—
Ele também afirma que esses requisitos adicionais entrarão em vigor 90 dias a partir da data de promulgação desta Lei, que fixa a data de cumprimento em 21 de março de 2023.
Informações conflitantes:
Atualmente, conforme detalhado em nosso whitepaper Projeto de Orientação sobre Segurança Cibernética da FDA, a orientação final aplicável do FDA é descrita em Conteúdo de envios de pré-mercado para gerenciamento de segurança cibernética em dispositivos médicos datado de 2014. No entanto, em 2022, o FDA publicou um projeto de orientação atualizado, Segurança cibernética em dispositivos médicos: considerações do sistema de qualidade e conteúdo de envios de pré-mercado, o que expande significativamente a expectativa de atividades e documentação de segurança cibernética. A versão de 2022 é entendida como o pensamento atual do FDA sobre esse assunto, enquanto a orientação final de 2014 é a que está em vigor e está em vigor.
A FDA confirmou que pretende finalizar o rascunho das diretrizes de 2022 este ano, quando comunicou suas metas de orientação para priorizar em 2023 (Orientações propostas pelo CDRH para o ano fiscal de 2023 (EF2023) | FDA), no entanto, ainda não vimos nenhuma data de publicação específica ou detalhes sobre a extensão das edições ou como a orientação final será revisada em comparação com o rascunho de 2022.
As obrigações descritas no projeto de lei omnibus ficam no meio do caminho entre as versões de 2014 e 2022 da orientação, com as obrigações sendo expandidas daquelas atualmente em vigor, mas não tão extensivamente quanto as descritas no rascunho de 2022.
O plano pós-mercado e os aspectos de processos e procedimentos são parcialmente cobertos pela orientação final atual, mas não explicitamente palavra por palavra. A adição de uma lista de materiais de software (sBOMs) é nova na orientação final atual, mas é abordada no projeto de orientação de 2022. O último requisito parece ser uma declaração abrangente que permite que o FDA e os órgãos governamentais relevantes se adaptem às melhores práticas conforme necessário.
A FDA recomenda o uso do pacote eSTAR para envios para garantir que o conteúdo correto seja fornecido. O modelo atual, versão 2-2, solicita apenas os seguintes documentos em relação à segurança cibernética: arquivo(s) de gerenciamento de risco, plano de gerenciamento de segurança cibernética ou plano de suporte contínuo e uma referência ao conteúdo de segurança cibernética na rotulagem. Devemos esperar que este modelo seja atualizado para refletir quaisquer requisitos adicionais.
O projeto de lei menciona explicitamente a orientação intitulada ''Conteúdo de envios de pré-comercialização para gerenciamento de segurança cibernética em dispositivos médicos'' (ou um documento sucessor) e as obrigações do FDA de revisá-lo e mantê-lo atualizado com feedback de "fabricantes de dispositivos, profissionais de saúde prestadores de cuidados de saúde, prestadores de serviços de dispositivos terceirizados, advogados de pacientes e outras partes interessadas apropriadas”. Mas o prazo para esse aspecto do projeto de lei não é superior a dois anos, o que entra em conflito com a expectativa de 90 dias.
Questões Restantes:
É aqui que chegamos ao cerne da questão: como a indústria responde a esses requisitos conflitantes?
O projeto de lei afirma que o FDA deve fornecer recursos no prazo máximo de 180 dias após a entrada em vigor do ato, incluindo a atualização do site do FDA sobre segurança cibernética. Mas, novamente, isso ocorre após o prazo para a indústria.
Teremos que esperar para ver quando isso será comunicado oficialmente à indústria por meio de uma atualização das orientações ou por outros meios. Esperamos que isso aconteça em breve para trazer clareza sobre essas expectativas.
1 An fatura de ônibus é uma proposta lei que cobre uma série de tópicos diversos ou não relacionados Projeto de lei Omnibus – Wikipédia
Imagem: Can Stock Photo
Helen Simões é um Garantia da Qualidade Gerente da StarFish Medical. A educação de Helen é em engenharia mecânica, com experiência em desenvolvimento de produtos e desenvolvimento de QMS em vários setores, com produtos de consumo e industriais para dispositivos médicos, IVD e dispositivos combinados.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- Platoblockchain. Inteligência Metaverso Web3. Conhecimento Ampliado. Acesse aqui.
- Fonte: https://starfishmedical.com/blog/new-cybersecurity-requirements-in-the-us/
- 1
- 2014
- 2022
- 2023
- a
- habilidade
- Sobre
- em
- Aja
- atividades
- adaptar
- Adição
- Adicional
- Informação adicional
- endereço
- endereçando
- defensores
- Depois de
- Todos os Produtos
- Permitindo
- entre
- e
- qualquer um
- relevante
- Aplicação
- apropriado
- dotações
- aprovação
- aprovou
- aspecto
- aspectos
- garantia
- disponível
- evitar
- fundo
- ser
- MELHOR
- melhores práticas
- entre
- Projeto de lei
- trazer
- Cuidado
- Causar
- alterar
- características
- clareza
- COM
- combinação
- como
- vinda
- comercial
- comparado
- compliance
- componentes
- Confirmar
- Conflitante
- CONTATE-NOS
- consideração
- Considerações
- considerado
- consumidor
- conteúdo
- continuar
- ao controle
- coordenado
- poderia
- coberto
- cobre
- crítico
- Atual
- Atualmente
- cibernético
- Cíber segurança
- Data
- datado
- Datas
- dia
- dias
- Dezembro
- atrasos
- demonstrar
- descrito
- Design
- detalhado
- detalhes
- desenvolver
- Desenvolvimento
- dispositivo
- Dispositivos/Instrumentos
- DID
- diretamente
- divulgação
- discutido
- Ecrã
- diferente
- documento
- documentação
- INSTITUCIONAIS
- rascunho
- Drogas
- Educação
- efeito
- ou
- aplicação
- Engenharia
- garantir
- assegurando
- Éter (ETH)
- expandido
- expande
- esperar
- expectativa
- expectativas
- espera
- façanhas
- Cair
- fda
- retornos
- final
- finalizar
- Fiscal
- seguinte
- comida
- força
- da
- financiamento
- gerado
- Governo
- governamental
- orientações
- acontecer
- Saúde
- Assistência médica
- oculto
- Esperançosamente
- HOT
- Como funciona o dobrador de carta de canal
- Contudo
- HTML
- HTTPS
- identifica
- identificar
- in
- inclui
- Incluindo
- industrial
- indústrias
- indústria
- Notícias da indústria
- INFORMAÇÕES
- instalado
- Pretendendo
- interesse
- interessante
- Internet
- emitem
- IT
- Guarda
- Chave
- conhecido
- marcação
- Sobrenome
- LIMITE
- a manter
- fazer
- de grupos
- Gerente
- Fabricantes
- Março
- mercado
- materiais
- max-width
- significa
- mecânico
- Engenharia Mecânica
- médico
- Aparelho médico
- dispositivos médicos
- Monitore
- mais
- múltiplo
- Novo
- notícias
- Novo
- número
- títulos
- Oficialmente
- ONE
- open source
- Outros
- delineado
- Outlook
- pacote
- parte
- Patches
- paciente
- plano
- platão
- Inteligência de Dados Platão
- PlatãoData
- jogador
- possível
- práticas
- Preparar
- preparação
- anteriormente
- Prioritizar
- procedimentos
- processo
- processos
- Produto
- desenvolvimento de produtos
- Produtos
- proposto
- proteção
- fornecer
- fornecido
- fornecedores
- Publicação
- publicado
- Coloca
- qualidade
- Frequentes
- leitores
- razoável
- receber
- recomenda
- refletir
- em relação a
- regular
- Regulamento
- relacionado
- relação
- relevante
- pedidos
- requerer
- requeridos
- requerimento
- Requisitos
- Recursos
- Responder
- rever
- Risco
- gestão de risco
- riscos
- Seção
- seções
- Senado
- Setembro
- conjunto
- Partilhar
- rede de apoio social
- de forma considerável
- simples
- So
- Software
- Em breve
- específico
- patrocinador
- partes interessadas
- Estrela do Mar
- Declaração
- Unidos
- submissão
- Submissões
- enviar
- tal
- ajuda
- .
- sistemas
- Target
- tecnológica
- modelo
- A
- deles
- Pensando
- este ano
- ameaças
- Através da
- tempo
- para
- hoje
- também
- tópico
- Temas
- Toronto
- para
- Entendido
- Atualizar
- Atualizada
- Atualizações
- atualização
- us
- governo dos Estados Unidos
- usar
- validado
- versão
- Vídeo
- vulnerabilidades
- vulnerabilidade
- Vulnerável
- esperar
- querido
- Site
- qual
- enquanto
- Whitepaper
- QUEM
- largamente
- Wikipedia
- precisarão
- dentro
- Word
- escrito
- ano
- anos
- Youtube
- zefirnet
