Securitatea cibernetică este un aspect cheie pe piața actuală pentru producătorii de dispozitive medicale și alte industrii. Am scris anterior despre Așteptările FDA pentru documentația de securitate cibernetică pentru trimiterile de dispozitive medicale și a vorbit despre acest subiect la Medical Device Playbook Toronto.
Recent, am luat cunoștință de noile cerințe de securitate cibernetică care intră în vigoare în SUA pentru dispozitivele medicale care sunt considerate „dispozitive cibernetice”. Guvernul SUA definește un dispozitiv cibernetic, un dispozitiv care:
- include software validat, instalat sau autorizat de către sponsor ca dispozitiv sau într-un dispozitiv;
- are capacitatea de a se conecta la internet;
- conține orice astfel de caracteristici tehnologice validate, instalate sau autorizate de către sponsor care ar putea fi vulnerabile la amenințările de securitate cibernetică.
Acest lucru este cu atât mai interesant cu cât aceste noi cerințe nu au fost încă comunicate direct de la FDA sau discutate pe larg în știrile din industrie. Am vrut să împărtășesc aceste informații cu cititorii noștri, astfel încât și dumneavoastră să puteți fi conștienți de ele și să vă pregătiți în mod proactiv pentru această schimbare.
Pentru cei din industrie care pregătesc în prezent trimiteri, acesta este un subiect fierbinte. Veți dori să vă asigurați că documentația potrivită este generată și furnizată ca parte a trimiterii, pentru a evita solicitările de informații suplimentare și întârzierile în procesul de trimitere.
Cerințe noi
Pe 21 decembrie 2022, guvernul SUA a aprobat un proiect de lege omnibus1 („Legea privind creditele consolidate, 2023”), care a vizat în principal asigurarea finanțării activităților guvernamentale până în septembrie 2023, dar include și o subsecțiune care abordează controlul FDA asupra securității cibernetice a dispozitivelor medicale.
Acest proiect de lege cuprinde 4,155 de pagini și, ascunsă printre ele, la pagina 3,537, se află secțiunea de interes cheie, care identifică un set de cerințe de securitate cibernetică, pe care guvernul se așteaptă să le primească de la oricine depune o cerere sau trimitere în conformitate cu secțiunile 510(k) , 513, 515(c), 515(f) sau 520(m) în legătură cu Legea pentru alimente, medicamente și produse cosmetice. Aceasta înseamnă că oricine prezintă un dispozitiv medical pentru aprobare sau autorizare în conformitate cu căile IDE, 510(k), De Novo sau PMA trebuie acum să furnizeze următoarele:
- (b) CERINȚE DE SECURITATE CIBERNICĂ — Sponsorul unei cereri sau al unei cereri descrise în subsecțiunea 3
- (a) va-
- (1) să prezinte Secretarului un plan pentru a monitoriza, identifica și aborda, după caz, într-un timp rezonabil, vulnerabilitățile și exploatările de securitate cibernetică după comercializare, inclusiv dezvăluirea coordonată a vulnerabilităților și procedurile aferente;
- (2) să proiecteze, să dezvolte și să întrețină procese și proceduri pentru a oferi o asigurare rezonabilă că dispozitivul și sistemele aferente sunt sigure cibernetice și să pună la dispoziție actualizări și corecții post-market pentru dispozitiv și sistemele aferente pentru a aborda:
- (A) pe un ciclu normal justificat rezonabil, vulnerabilități cunoscute inacceptabile; și
- (B) cât mai curând posibil în afara ciclului, vulnerabilități critice care ar putea provoca riscuri necontrolate;
- (3) să furnizeze Secretarului o listă de materiale software, inclusiv componente software comerciale, open-source și disponibile pe raft; și
- (4) să respecte alte cerințe pe care secretarul le poate solicita prin reglementări pentru a demonstra o asigurare rezonabilă că dispozitivul și sistemele aferente sunt securizate cibernetice.
- (a) va-
De asemenea, se precizează că aceste cerințe suplimentare vor intra în vigoare 90 zile de la data intrării în vigoare a prezentei legi, care pune data conformării la 21 martie 2023.
Informații conflictuale:
În prezent, așa cum este detaliat în cartea noastră albă Ghid preliminar al FDA privind securitatea cibernetică, ghidul final aplicabil de la FDA este subliniat în Conținutul trimiterilor înainte de comercializare pentru gestionarea securității cibernetice în dispozitivele medicale din 2014. Cu toate acestea, în 2022, FDA a publicat un proiect de ghid actualizat, Securitatea cibernetică în dispozitivele medicale: considerații privind sistemul de calitate și conținutul trimiterilor înainte de comercializare, care extinde semnificativ așteptările pentru activitățile și documentarea de securitate cibernetică. Versiunea din 2022 este înțeleasă a fi gândirea curentă cu privire la acest subiect din partea FDA, în timp ce îndrumarea finală din 2014 este cea în vigoare și aflată în aplicare.
FDA a confirmat că intenționează să finalizeze proiectul de orientări pentru 2022 în acest an, când și-a comunicat orientările țintă pe care să le acorde prioritate în 2023 (Ghidurile propuse de CDRH pentru anul fiscal 2023 (FY2023) | FDA), cu toate acestea, nu am văzut încă date specifice de publicare sau detalii despre amploarea editărilor sau cum vor fi revizuite îndrumările finale în comparație cu proiectul din 2022.
Obligațiile prezentate în proiectul de lege omnibus se încadrează la jumătatea drumului dintre versiunile 2014 și 2022 ale ghidului, obligațiile fiind extinse de la cele aflate în prezent în aplicare, dar nu la fel de amplu ca cele prezentate în proiectul din 2022.
Planul post-piață și aspectele legate de procese și proceduri sunt parțial acoperite de ghidul final actual, dar nu în mod explicit cuvânt cu cuvânt. Adăugarea unei liste de materiale software (sBOM) este nouă în ghidul final actual, dar este acoperită în proiectul de ghid pentru 2022. Ultima cerință pare să fie o declarație generală care să permită FDA și organismelor guvernamentale relevante să se adapteze la cele mai bune practici, după cum este necesar.
FDA recomandă utilizarea pachetului eSTAR pentru trimiteri pentru a se asigura că este furnizat conținutul corect. Șablonul actual, versiunea 2-2, solicită doar următoarele documente în legătură cu securitatea cibernetică: fișier(e) de gestionare a riscurilor, planul de management al securității cibernetice sau planul de asistență continuă și o referință la conținutul de securitate cibernetică din etichetare. Ar trebui să ne așteptăm ca acest șablon să fie actualizat pentru a reflecta orice cerințe suplimentare.
Proiectul de lege menționează în mod explicit ghidul intitulat „Conținutul trimiterilor înainte de comercializare pentru gestionarea securității cibernetice în dispozitivele medicale” (sau un document succesor) și obligațiile FDA de a-l revizui și de a-l actualiza cu feedback de la „producătorii de dispozitive, sănătatea furnizorii de servicii de îngrijire, furnizorii de dispozitive terți, susținătorii pacienților și alte părți interesate adecvate.” Dar termenul limită pentru acest aspect al proiectului de lege nu este mai târziu de doi ani, ceea ce este în conflict cu așteptarea de 90 de zile.
Întrebări rămase:
Aici ajungem la miezul problemei, cum răspunde industria la aceste cerințe contradictorii?
Proiectul de lege prevede că FDA ar trebui să furnizeze resurse în cel mult 180 de zile de la intrarea în vigoare a actului, inclusiv actualizarea site-ului FDA privind securitatea cibernetică. Dar din nou, acest lucru vine după termenul limită pentru industrie.
Va trebui să așteptăm să vedem când acest lucru va fi comunicat oficial industriei, fie printr-o actualizare a ghidului, fie prin alte mijloace. Sperăm că acest lucru se va întâmpla în curând pentru a aduce claritate cu privire la aceste așteptări.
1 An factură omnibus este o propunere drept care acoperă o serie de subiecte diverse sau fără legătură Factură omnibus – Wikipedia
Imagine: CanStock Photo
Helen Simons este Asigurarea Calității Manager la StarFish Medical. Educația lui Helen este în inginerie mecanică, cu un fundal în dezvoltarea de produse și dezvoltarea QMS în mai multe industrii, cu produse de larg consum și industriale până la dispozitive medicale, IVD și dispozitive combinate.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- Platoblockchain. Web3 Metaverse Intelligence. Cunoștințe amplificate. Accesați Aici.
- Sursa: https://starfishmedical.com/blog/new-cybersecurity-requirements-in-the-us/
- 1
- 2014
- 2022
- 2023
- a
- capacitate
- Despre Noi
- peste
- act
- activităţi de
- adapta
- plus
- Suplimentar
- informatii suplimentare
- adresa
- adresare
- avocaţi
- După
- TOATE
- Permiterea
- între
- și
- oricine
- aplicabil
- aplicație
- adecvat
- credite
- aprobare
- aprobat
- aspect
- aspecte
- asigurare
- disponibil
- evita
- fundal
- fiind
- CEL MAI BUN
- Cele mai bune practici
- între
- Proiect de lege
- aduce
- pasă
- Provoca
- Schimbare
- Caracteristici
- claritate
- COM
- combinaţie
- cum
- venire
- comercial
- comparație
- conformitate
- componente
- Confirma
- În conflict
- Conectați
- considerare
- Considerații
- luate în considerare
- consumator
- conţinut
- continuarea
- Control
- coordonat
- ar putea
- acoperit
- acoperă
- critic
- Curent
- În prezent
- Cyber
- Securitate cibernetică
- Data
- datat
- Date
- zi
- Zi
- decembrie
- întârzieri
- demonstra
- descris
- Amenajări
- detaliat
- detalii
- dezvolta
- Dezvoltare
- dispozitiv
- Dispozitive
- FĂCUT
- direct
- dezvăluire
- discutat
- Afişa
- diferit
- document
- documentaţie
- documente
- proiect
- Droguri
- Educaţie
- efect
- oricare
- executare
- Inginerie
- asigura
- asigurare
- Eter (ETH)
- extins
- se extinde
- aștepta
- aşteptare
- aşteptări
- se așteaptă
- exploit
- Cădea
- fda
- feedback-ul
- final
- finalizarea
- Fiscal
- următor
- alimente
- Forţarea
- din
- de finanțare
- generată
- Guvern
- guvernamental
- orientări
- întâmpla
- Sănătate
- Sănătate
- Ascuns
- In speranta
- FIERBINTE
- Cum
- Totuși
- HTML
- HTTPS
- identifică
- identifica
- in
- include
- Inclusiv
- industrial
- industrii
- industrie
- industria de știri
- informații
- instalat
- Intenționând
- interes
- interesant
- Internet
- problema
- IT
- A pastra
- Cheie
- cunoscut
- etichetare
- Nume
- LIMITĂ
- menține
- face
- administrare
- manager
- Producătorii
- Martie
- Piață
- Materiale
- max-width
- mijloace
- mecanic
- Inginerie Mecanică
- medical
- aparat medical
- dispozitive medicale
- monitor
- mai mult
- multiplu
- Nou
- ştiri
- Nou
- număr
- obligațiuni
- Oficial
- ONE
- open-source
- Altele
- a subliniat
- Perspectivă
- pachet
- parte
- Patch-uri
- pacient
- plan
- Plato
- Informații despre date Platon
- PlatoData
- player
- posibil
- practicile
- Pregăti
- pregătirea
- în prealabil
- prioritiza
- Proceduri
- proces
- procese
- Produs
- dezvoltare de produs
- Produse
- propus
- protecţie
- furniza
- prevăzut
- furnizori
- Publicare
- publicat
- puts
- calitate
- Întrebări
- cititori
- rezonabil
- a primi
- recomandă
- reflecta
- cu privire la
- regulat
- Regulament
- legate de
- relație
- cereri de
- necesita
- necesar
- cerință
- Cerinţe
- Resurse
- Răspunde
- revizuiască
- Risc
- de gestionare a riscurilor
- Riscurile
- Secțiune
- secțiuni
- Senat
- Septembrie
- set
- Distribuie
- să
- semnificativ
- simplu
- So
- Software
- Curând
- specific
- patrona
- părțile interesate
- Stea de mare
- Declarație
- Statele
- supunere
- Subscrieri
- prezenta
- astfel de
- a sustine
- sistem
- sisteme
- Ţintă
- tehnologic
- șablon
- lor
- Gândire
- în acest an
- amenințări
- Prin
- timp
- la
- azi
- de asemenea
- subiect
- subiecte
- Toronto
- în
- înțeles
- Actualizează
- actualizat
- actualizări
- actualizarea
- us
- guvernul SUA
- utilizare
- validate
- versiune
- Video
- Vulnerabilitățile
- vulnerabilitate
- vulnerabil
- aștepta
- dorit
- website
- care
- în timp ce
- Hartie alba
- OMS
- pe larg
- Wikipedia
- voi
- în
- Cuvânt
- scris
- an
- ani
- youtube
- zephyrnet
