Nove zahteve glede kibernetske varnosti v ZDA

Kibernetska varnost je ključna točka današnjega trga za proizvajalce medicinskih pripomočkov in druge industrije. O tem sem že pisal Pričakovanja FDA glede dokumentacije o kibernetski varnosti za predložitev medicinskih pripomočkov in o tej temi govoril na Medical Device Playbook Toronto.

Pred kratkim smo se seznanili z novimi zahtevami glede kibernetske varnosti, ki začenjajo veljati v ZDA za medicinske pripomočke, ki se štejejo za »kibernetske naprave«. Vlada ZDA definira kibernetsko napravo, napravo, ki:

• vključuje programsko opremo, ki jo je potrdil, namestil ali odobril sponzor kot napravo ali v napravi;
• ima možnost povezave z internetom;
• vsebuje kakršne koli tehnološke lastnosti, ki jih je potrdil, namestil ali odobril sponzor in bi lahko bile ranljive za grožnje kibernetski varnosti.

To je še toliko bolj zanimivo, ker o teh novih zahtevah še ni neposredno obvestila FDA ali o njih široko razpravljali v novicah industrije. To informacijo sem želel deliti z našimi bralci, da se boste tudi vi tega zavedali in se proaktivno pripravili na to spremembo.

Za tiste v industriji, ki trenutno pripravljajo vloge, je to vroča tema. Zagotoviti boste morali, da je prava dokumentacija ustvarjena in zagotovljena kot del oddaje, da se izognete dodatnim zahtevam po informacijah in zamudam v postopku oddaje.

Nove zahteve

21. decembra 2022 je vlada ZDA potrdila zbirni predlog zakona¹ ("Zakon o konsolidiranih proračunskih sredstvih, 2023”), ki se je nanašal predvsem na zagotavljanje financiranja vladnih dejavnosti do septembra 2023, vendar vključuje tudi pododdelek, ki obravnava nadzor FDA nad kibernetsko varnostjo medicinskih naprav.

Ta predlog zakona obsega osupljivih 4,155 strani in med njimi, na strani 3,537, je skrit del ključnega pomena, ki opredeljuje nabor zahtev glede kibernetske varnosti, ki jih vlada pričakuje od vsakogar, ki odda vlogo ali predložitev v skladu z razdelki 510(k). , 513, 515(c), 515(f) ali 520(m) v zvezi z Zakonom o hrani, zdravilih in kozmetiki. To pomeni, da mora vsakdo, ki predloži medicinski pripomoček v odobritev ali odobritev v skladu s potemi IDE, 510(k), De Novo ali PMA, zdaj zagotoviti naslednje:

• (b) ZAHTEVE GLEDE KIBERTSKE VARNOSTI – Sponzor vloge ali predložitve, opisane v pododdelku 3
  • (a) bo—
    • (1) sekretarju predloži načrt za spremljanje, prepoznavanje in obravnavo, kot je primerno, v razumnem času postmarketinških ranljivosti in izkoriščanja kibernetske varnosti, vključno z usklajenim razkritjem ranljivosti in s tem povezanimi postopki;
    • (2) načrtovanje, razvoj in vzdrževanje procesov in postopkov za zagotavljanje razumnega zagotovila, da so naprava in povezani sistemi kibernetsko varni, ter dajanje na voljo postmarketinških posodobitev in popravkov za napravo in povezane sisteme za obravnavo—
      • (A) v razumno utemeljenem rednem ciklu, znane nesprejemljive ranljivosti; in
      • (B) čimprejšnji izstop iz cikla, kritične ranljivosti, ki bi lahko povzročile nenadzorovana tveganja;
    • (3) sekretarju zagotovi seznam programske opreme, vključno s komercialnimi, odprtokodnimi in standardnimi programskimi komponentami; in
    • (4) izpolnjevati druge zahteve, ki jih minister lahko zahteva z uredbo, da dokaže razumno zagotovilo, da so naprava in povezani sistemi kibernetsko varni.

Navaja tudi, da bodo te dodatne zahteve začele veljati 90 dni od dneva uveljavitve tega zakona, kar pomeni datum uskladitve 21. marec 2023.

Nasprotujoče si informacije:

Trenutno, kot je podrobno opisano v naši beli knjigi Osnutek smernic FDA za kibernetsko varnost, veljavne končne smernice FDA so opisane v Vsebina predprodajnih vlog za upravljanje kibernetske varnosti v medicinskih pripomočkih iz leta 2014. Vendar je leta 2022 FDA objavila posodobljen osnutek smernic, Kibernetska varnost v medicinskih pripomočkih: premisleki o sistemu kakovosti in vsebina predložitev pred trženjem, ki bistveno razširja pričakovanja glede dejavnosti in dokumentacije kibernetske varnosti. Različica iz leta 2022 velja za trenutno razmišljanje FDA o tej temi, medtem ko so končne smernice iz leta 2014 tiste, ki so trenutno v veljavi in ​​se izvajajo.

FDA je potrdila, da nameravajo letos dokončati osnutek smernic za leto 2022, ko so sporočili svoje ciljne smernice, ki jih je treba prednostno obravnavati leta 2023 (Predlagane smernice CDRH za proračunsko leto 2023 (FY 2023) | FDA), vendar še nismo videli nobenih posebnih datumov objave ali podrobnosti o obsegu popravkov ali o tem, kako bodo končne smernice revidirane v primerjavi z osnutkom iz leta 2022.

Obveznosti, opisane v zbirnem predlogu zakona, sodijo na pol poti med različicama smernic iz leta 2014 in 2022, pri čemer so obveznosti razširjene od tistih, ki se trenutno izvajajo, vendar ne tako obsežno kot tiste, ki so opisane v osnutku iz leta 2022.

Načrt po dajanju na trg ter vidike postopkov in postopkov so delno zajeti v trenutnih končnih smernicah, vendar ne izrecno dobesedno. Dodatek seznama materialov programske opreme (sBOM) je nov v trenutnih končnih smernicah, vendar je zajet v osnutku smernic za leto 2022. Zdi se, da je zadnja zahteva vseobsegajoča izjava, ki FDA in ustreznim vladnim organom omogoča, da se po potrebi prilagodijo najboljšim praksam.

FDA priporoča uporabo paketa eSTAR za oddajo, da se zagotovi pravilna vsebina. Trenutna predloga, različica 2–2, zahteva le naslednje dokumente v zvezi s kibernetsko varnostjo: datoteke za upravljanje tveganja, načrt upravljanja kibernetske varnosti ali načrt za stalno podporo in sklicevanje na vsebino kibernetske varnosti v označevanju. Pričakovati je treba, da bo ta predloga posodobljena, da bo odražala vse dodatne zahteve.

Predlog zakona izrecno omenja smernice z naslovom "Vsebina predprodajnih predložitev za upravljanje kibernetske varnosti v medicinskih pripomočkih" (ali dokument, ki ga nasledi) in obveznosti FDA, da jih pregleda in posodablja s povratnimi informacijami "proizvajalcev naprav, zdravstvenih izvajalci zdravstvenih storitev, serviserji naprav tretjih oseb, zagovorniki bolnikov in druge ustrezne zainteresirane strani.« Toda rok za ta vidik zakona ni pozneje kot dve leti, kar je v nasprotju s pričakovanim 90-dnevnim rokom.

Preostala vprašanja:

Tukaj pridemo do bistva vprašanja, kako se industrija odziva na te nasprotujoče si zahteve?

Predlog zakona navaja, da mora FDA zagotoviti sredstva najpozneje 180 dni po začetku veljavnosti zakona, vključno s posodobitvijo spletnega mesta FDA o kibernetski varnosti. Ampak spet, to pride po roku za industrijo.

Morali bomo počakati, da vidimo, kdaj bo to uradno obveščeno industriji bodisi s posodobitvijo smernic ali na drug način. Upajmo, da se bo to kmalu zgodilo in razjasnilo ta pričakovanja.

¹ An omnibus račun je predlagan zakon ki pokriva številne različne ali nepovezane teme Omnibus račun – Wikipedia

Slika: Fotografija CanStock

Helen Simons je Zagotavljanje kakovosti Vodja pri StarFish Medical. Helenina izobrazba je na področju strojništva z ozadjem razvoja izdelkov in razvoja QMS v več panogah od potrošniških in industrijskih izdelkov do medicinskih pripomočkov, IVD in kombiniranih naprav.



---

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• Platoblockchain. Web3 Metaverse Intelligence. Razširjeno znanje. Dostopite tukaj.
• vir: https://starfishmedical.com/blog/new-cybersecurity-requirements-in-the-us/