Кибербезопасность является ключевым фактором на современном рынке для производителей медицинского оборудования и других отраслей. Я уже писал о Ожидания FDA от документации по кибербезопасности для отправки медицинских устройств и рассказал об этой теме в сборнике рекомендаций по медицинскому оборудованию в Торонто.
Недавно нам стало известно о новых требованиях кибербезопасности, которые вступают в силу в США для медицинских устройств, которые считаются «киберустройствами». Правительство США определяет киберустройство как устройство, которое:
- включает программное обеспечение, проверенное, установленное или авторизованное спонсором в качестве устройства или в устройстве;
- имеет возможность подключения к интернету;
- содержит любые технологические характеристики, проверенные, установленные или разрешенные спонсором, которые могут быть уязвимы для угроз кибербезопасности.
Это тем более интересно, что об этих новых требованиях еще не сообщалось напрямую от FDA и широко не обсуждалось в отраслевых новостях. Я хотел поделиться этой информацией с нашими читателями, чтобы вы тоже могли знать об этом и заранее подготовиться к этому изменению.
Для тех, кто в настоящее время готовит заявки, это горячая тема. Вы должны убедиться, что правильная документация создана и предоставлена как часть отправки, чтобы избежать дополнительных запросов информации и задержек в процессе подачи.
Новые требования
21 декабря 2022 года правительство США одобрило комплексный законопроект.1 (»Закон о сводных ассигнованиях 2023 года»), который в основном касался обеспечения финансирования деятельности правительства до сентября 2023 года, но также включает подраздел, касающийся контроля FDA за кибербезопасностью медицинских устройств.
Этот законопроект состоит из ошеломляющих 4,155 3,537 страниц, и среди них, на странице 510 513, скрыт ключевой раздел, определяющий набор требований кибербезопасности, которые правительство ожидает получить от любого, кто подает заявку или представление в соответствии с разделами 515 (k). , 515, 520(c), 510(f) или XNUMX(m) в отношении Закона о пищевых продуктах, лекарствах и косметике. Это означает, что любой, кто отправляет медицинское устройство на утверждение или разрешение в соответствии с IDE, XNUMX(k), De Novo или PMA, теперь должен предоставить следующее:
- (b) ТРЕБОВАНИЯ К КИБЕРБЕЗОПАСНОСТИ — спонсор заявки или подачи, описанной в подразделе 3.
- (а) должен—
- (1) представить секретарю план мониторинга, выявления и устранения, при необходимости, в разумные сроки уязвимостей и эксплойтов кибербезопасности после выхода на рынок, включая скоординированное раскрытие уязвимостей и соответствующие процедуры;
- (2) проектировать, разрабатывать и поддерживать процессы и процедуры для обеспечения разумной уверенности в том, что устройство и связанные с ним системы являются кибербезопасными, а также предоставлять послепродажные обновления и исправления для устройства и связанных с ним систем для устранения —
- (A) на разумно обоснованном регулярном цикле известные неприемлемые уязвимости; и
- (B) как можно скорее вывести из цикла критические уязвимости, которые могут вызвать неконтролируемые риски;
- (3) предоставить Секретарю список материалов программного обеспечения, включая коммерческие, открытые и готовые программные компоненты; и
- (4) соблюдать такие другие требования, которые Секретарь может потребовать посредством регулирования, чтобы продемонстрировать достаточную уверенность в том, что устройство и связанные с ним системы являются кибербезопасными.
- (а) должен—
В нем также говорится, что эти дополнительные требования вступят в силу 90 дней с даты вступления в силу настоящего Закона, который устанавливает дату соблюдения 21 марта 2023 года.
Противоречивая информация:
В настоящее время, как подробно описано в нашем техническом документе Проект руководства FDA по кибербезопасностиприменимое окончательное руководство FDA изложено в Содержание предварительных заявок на управление кибербезопасностью в медицинских устройствах от 2014 года. Однако в 2022 году FDA опубликовало обновленный проект руководства, Кибербезопасность в медицинских устройствах: соображения системы качества и содержание предпродажных материалов, что значительно расширяет ожидания в отношении действий и документации по кибербезопасности. Версия 2022 года считается текущим мнением FDA по этой теме, в то время как окончательное руководство 2014 года является действующим в настоящее время и находится в стадии исполнения.
FDA подтвердило, что они намерены завершить работу над проектом руководящих принципов 2022 года в этом году, когда они сообщили о своих целевых ориентирах для определения приоритетов в 2023 году (Рекомендации CDRH на 2023 финансовый год (2023 финансовый год) | FDA), однако нам еще предстоит увидеть какие-либо конкретные даты публикации или подробности о масштабах правок или о том, как окончательное руководство будет пересмотрено по сравнению с проектом 2022 года.
Обязательства, изложенные в сводном законопроекте, находятся на полпути между версиями руководства 2014 и 2022 годов, при этом обязательства расширены по сравнению с теми, которые в настоящее время применяются, но не так широко, как те, которые изложены в проекте 2022 года.
Пострегистрационный план и аспекты процессов и процедур частично охвачены текущим окончательным руководством, но не дословно. Добавление спецификации программного обеспечения (sBOM) является новым в текущем окончательном руководстве, но оно рассматривается в проекте руководства 2022 года. Последнее требование, по-видимому, является универсальным заявлением, позволяющим FDA и соответствующим государственным органам адаптироваться к передовой практике по мере необходимости.
Управление по санитарному надзору за качеством пищевых продуктов и медикаментов США (FDA) рекомендует использовать пакет eSTAR для подачи документов, чтобы обеспечить предоставление правильного содержимого. Текущий шаблон версии 2–2 требует только следующих документов, касающихся кибербезопасности: файл(ы) управления рисками, план управления кибербезопасностью или план дальнейшей поддержки, а также ссылку на содержание кибербезопасности в маркировке. Мы должны ожидать, что этот шаблон будет обновлен, чтобы отразить любые дополнительные требования.
В законопроекте прямо упоминается руководство, озаглавленное «Содержание предпродажных материалов для управления кибербезопасностью в медицинских устройствах» (или последующий документ), и обязательства FDA по его пересмотру и обновлению с учетом отзывов «производителей устройств, поставщики медицинских услуг, сторонние поставщики услуг по обслуживанию устройств, защитники интересов пациентов и другие соответствующие заинтересованные стороны». Но срок по этому аспекту законопроекта составляет не более двух лет, что противоречит ожидаемому 90-дневному сроку.
Оставшиеся вопросы:
Здесь мы подходим к сути вопроса, как промышленность реагирует на эти противоречивые требования?
В законопроекте говорится, что FDA должно предоставить ресурсы не позднее, чем через 180 дней после вступления закона в силу, включая обновление веб-сайта FDA по кибербезопасности. Но опять же, это происходит после крайнего срока для промышленности.
Нам придется подождать, чтобы увидеть, когда об этом будет официально сообщено отрасли либо путем обновления руководства, либо другими способами. Надеюсь, это скоро произойдет, чтобы внести ясность в отношении этих ожиданий.
1 An сводный счет является предложенным закон который охватывает ряд разнообразных или не связанных между собой тем Омнибусный законопроект — Википедия
Изображение: Фото CanStock
Хелен Саймонс - это Гарантия качества Менеджер в StarFish Medical. Хелен имеет образование в области машиностроения, имеет опыт разработки продуктов и разработки СМК в различных отраслях промышленности, от потребительских и промышленных товаров до медицинских устройств, IVD и комбинированных устройств.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
- Источник: https://starfishmedical.com/blog/new-cybersecurity-requirements-in-the-us/
- 1
- 2014
- 2022
- 2023
- a
- способность
- О нас
- через
- Действие (Act):
- активно
- приспосабливать
- дополнение
- дополнительный
- Дополнительная информация
- адрес
- адресация
- адвокаты
- После
- Все
- Позволяющий
- среди
- и
- кто угодно
- отношение
- Применение
- соответствующий
- ассигнования
- утверждение
- утвержденный
- внешний вид
- аспекты
- гарантия
- доступен
- избежать
- фон
- не являетесь
- ЛУЧШЕЕ
- лучшие практики
- между
- Билл
- приносить
- заботится
- Вызывать
- изменение
- характеристика
- ясность
- COM
- сочетание
- как
- приход
- коммерческая
- сравненный
- Соответствие закону
- компоненты
- подтвердить
- противоречивый
- Свяжитесь
- рассмотрение
- соображения
- считается
- потребитель
- содержание
- продолжающийся
- контроль
- согласованный
- может
- покрытый
- чехлы
- критической
- Текущий
- В настоящее время
- кибер-
- Информационная безопасность
- Время
- датированный
- Финики
- день
- Дней
- Декабрь
- задержки
- демонстрировать
- описано
- Проект
- подробный
- подробнее
- развивать
- Разработка
- устройство
- Устройства
- DID
- непосредственно
- раскрытие
- обсуждается
- Дисплей
- Разное
- документ
- документации
- Документация
- проект
- Наркотики
- Обучение
- эффект
- или
- принуждение
- Проект и
- обеспечивать
- обеспечение
- Эфир (ETH)
- расширенный
- раскрываться
- ожидать
- ожидание
- ожидания
- надеется
- использует
- Осень
- FDA
- Обратная связь
- окончательный
- завершать
- Фискальный
- после
- питание
- Форс-мажор
- от
- финансирование
- генерируется
- Правительство
- правительственный
- методические рекомендации
- происходить
- Медицина
- Товары для здоровья
- Скрытый
- С надеждой
- ГОРЯЧИЙ
- Как
- Однако
- HTML
- HTTPS
- идентифицирует
- определения
- in
- включает в себя
- В том числе
- промышленность
- промышленности
- промышленность
- Новости
- информация
- установлен
- Намереваясь
- интерес
- интересный
- Интернет
- вопрос
- IT
- Сохранить
- Основные
- известный
- навешивания ярлыков
- Фамилия
- ОГРАНИЧЕНИЯ
- поддерживать
- сделать
- управление
- менеджер
- Производители
- Март
- рынок
- материалы
- макс-ширина
- означает
- механический
- машиностроение
- основным медицинским
- медицинский прибор
- медицинские приборы
- монитор
- БОЛЕЕ
- с разными
- Новые
- Новости
- Новое
- номер
- обязательства
- Официально
- ONE
- с открытым исходным кодом
- Другие контрактные услуги
- изложенные
- Outlook
- пакет
- часть
- Патчи
- пациент
- план
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- игрок
- возможное
- практиками
- Подготовить
- подготовка
- предварительно
- расставлять приоритеты
- Процедуры
- процесс
- Процессы
- Продукт
- разработка продукта
- Продукция
- предложило
- защиту
- обеспечивать
- при условии
- поставщики
- Публикация
- опубликованный
- Оферты
- Вопросы
- читатели
- разумный
- Получать
- рекомендует
- отражать
- по
- регулярный
- "Регулирование"
- Связанный
- связь
- соответствующие
- Запросы
- требовать
- обязательный
- требование
- Требования
- Полезные ресурсы
- Реагируйте
- обзоре
- Снижение
- управление рисками
- рисках,
- Раздел
- разделах
- Сенат
- сентябрь
- набор
- Поделиться
- должен
- существенно
- просто
- So
- Software
- Скоро
- конкретный
- спонсор
- заинтересованных сторон
- морская звезда
- заявление
- Области
- представление
- Материалы
- отправить
- такие
- поддержка
- система
- системы
- цель
- технологический
- шаблон
- Ассоциация
- их
- мышление
- В этом году
- угрозы
- Через
- время
- в
- Сегодняшних
- слишком
- тема
- Темы
- Торонто
- под
- понимать
- Обновление ПО
- обновление
- Updates
- обновление
- us
- правительство США
- использование
- подтверждено
- версия
- Видео
- Уязвимости
- уязвимость
- Уязвимый
- ждать
- стремятся
- Вебсайт
- который
- в то время как
- Руководство пользователя
- КТО
- широко
- Википедия.
- будете
- в
- Word
- письменный
- год
- лет
- YouTube
- зефирнет