Cybersäkerhet är en nyckelfaktor på dagens marknad för tillverkare av medicintekniska produkter och andra industrier. Jag har tidigare skrivit om FDA:s förväntningar på cybersäkerhetsdokumentation för inlämningar av medicinsk utrustning, och talade om detta ämne på Medical Device Playbook Toronto.
Nyligen blev vi medvetna om nya cybersäkerhetskrav som träder i kraft i USA för medicinsk utrustning som anses vara "cyberanordning". Den amerikanska regeringen definierar en cyberenhet, en enhet som:
- inkluderar programvara validerad, installerad eller auktoriserad av sponsorn som en enhet eller i en enhet;
- har förmågan att ansluta till internet;
- innehåller sådana tekniska egenskaper som validerats, installerats eller godkänts av sponsorn som kan vara sårbara för cybersäkerhetshot.
Detta är desto mer intressant eftersom dessa nya krav ännu inte har kommunicerats direkt från FDA eller diskuterats allmänt inom branschnyheterna. Jag ville dela denna information med våra läsare så att du också kan vara medveten om den och proaktivt förbereda dig för denna förändring.
För dem i branschen som för närvarande förbereder inlämningar är detta ett hett ämne. Du vill se till att rätt dokumentation genereras och tillhandahålls som en del av inlämningen för att undvika förfrågningar om ytterligare information och förseningar i inlämningsprocessen.
Nya krav
Den 21 december 2022 godkände den amerikanska regeringen ett omnibuslag1 (”Lag om konsoliderade anslag, 2023”), som främst handlade om att säkerställa finansiering för statlig verksamhet fram till september 2023, men som också innehåller ett underavsnitt som behandlar FDA:s kontroll av cybersäkerhet för medicinsk utrustning.
Detta lagförslag omfattar häpnadsväckande 4,155 3,537 sidor, och gömt bland dem, på sidan 510 513, är avsnittet av nyckelintresse, som identifierar en uppsättning cybersäkerhetskrav som regeringen förväntar sig att få från alla som skickar in en ansökan eller inlämning enligt avsnitt 515(k) , 515, 520(c), 510(f), eller XNUMX(m) i förhållande till Food, Drugs and Cosmetics Act. Detta innebär att alla som skickar in en medicinteknisk produkt för godkännande eller godkännande enligt IDE-, XNUMX(k), De Novo- eller PMA-vägarna nu måste tillhandahålla följande:
- (b) CYBERSÄKERHETSKRAV – Sponsorn av en ansökan eller inlämning som beskrivs i underavsnitt 3
- (a) ska—
- (1) lämna in en plan till sekreteraren för att inom rimlig tid övervaka, identifiera och åtgärda sårbarheter och utnyttjande av cybersäkerhet efter marknaden, inklusive samordnad avslöjande av sårbarheter och relaterade procedurer;
- (2) designa, utveckla och underhålla processer och procedurer för att tillhandahålla en rimlig säkerhet att enheten och relaterade system är cybersäkra, och göra tillgängliga uppdateringar och patchar till enheten och relaterade system efter marknaden för att åtgärda—
- (A) på en rimligt motiverad regelbunden cykel, kända oacceptabla sårbarheter; och
- (B) så snart som möjligt ur cykeln, kritiska sårbarheter som kan orsaka okontrollerade risker;
- (3) tillhandahålla sekreteraren en programvaruförteckning, inklusive kommersiella, öppen källkods- och hyllprogramvarukomponenter; och
- (4) följa sådana andra krav som sekreteraren kan kräva genom reglering för att visa rimlig säkerhet att enheten och relaterade system är cybersäkra.
- (a) ska—
Det står också att dessa ytterligare krav kommer att träda i kraft 90 DAYS från datumet för antagandet av denna lag, som sätter efterlevnadsdatumet till den 21 mars 2023.
Motstridig information:
För närvarande, som beskrivs i vårt whitepaper FDA Cybersecurity Draft Guide, den tillämpliga slutliga vägledningen från FDA beskrivs i Innehåll i Premarket Submissions for Management of Cybersecurity in Medical Devices daterad 2014. Men 2022 publicerade FDA ett uppdaterat utkast till vägledning, Cybersäkerhet i medicinsk utrustning: överväganden om kvalitetssystem och innehåll i premarket-inlämningar, vilket avsevärt utökar förväntningarna på cybersäkerhetsaktiviteter och dokumentation. 2022-versionen anses vara det aktuella tänkandet om detta ämne från FDA, medan 2014 års slutliga vägledning är den som för närvarande är i kraft och är under upprätthållande.
FDA bekräftade att de har för avsikt att slutföra 2022 års utkast till riktlinjer i år när de kommunicerade sina målriktlinjer att prioritera 2023 (CDRH:s förslag till riktlinjer för räkenskapsåret 2023 (FY2023) | FDA), men vi har ännu inte sett några specifika publiceringsdatum eller detaljer om omfattningen av redigeringarna eller hur den slutliga vägledningen kommer att revideras jämfört med 2022-utkastet.
Skyldigheterna som beskrivs i omnibuspropositionen faller halvvägs mellan 2014 och 2022 års versioner av vägledningen, där skyldigheterna utökas från de som för närvarande tillämpas men inte lika omfattande som de som beskrivs i 2022 års utkast.
Planen efter utsläppandet på marknaden samt process- och förfarandeaspekterna täcks delvis av den nuvarande slutliga vägledningen men inte uttryckligen ord mot ord. Tillägget av en mjukvaruförteckning (sBOMs) är nytt i den nuvarande slutliga vägledningen men täcks av 2022 års utkast till vägledning. Det sista kravet verkar vara ett sammanfattande uttalande som tillåter FDA och relevanta statliga organ att anpassa sig till bästa praxis efter behov.
FDA rekommenderar användning av eSTAR-paketet för inlämningar för att säkerställa att rätt innehåll tillhandahålls. Den nuvarande mallen, version 2-2, begär endast följande dokument i relation till cybersäkerhet: riskhanteringsfil(er), cybersäkerhetshanteringsplan eller plan för fortsatt stöd och en hänvisning till cybersäkerhetsinnehåll i märkningen. Vi bör förvänta oss att denna mall uppdateras för att återspegla eventuella ytterligare krav.
Lagförslaget nämner uttryckligen vägledningen med titeln ''Innehåll i premarket-inlämningar för hantering av cybersäkerhet i medicinska anordningar'' (eller ett efterföljande dokument) och FDA:s skyldigheter att granska den och hålla den uppdaterad med feedback från "enhetstillverkare, hälsa vårdgivare, tredjepartstjänsteleverantörer, patientförespråkare och andra lämpliga intressenter." Men tidsfristen för denna aspekt av lagförslaget är inte senare än två år, vilket strider mot 90 dagars förväntan.
Återstående frågor:
Det är här vi kommer till frågans kärna, hur reagerar industrin på dessa motstridiga krav?
Lagförslaget säger att FDA bör tillhandahålla resurser senast 180 dagar efter att lagen träder i kraft, inklusive uppdatering av FDA:s webbplats om cybersäkerhet. Men återigen, detta kommer efter deadline för industrin.
Vi får vänta och se när detta officiellt kommuniceras till industrin, antingen genom en uppdatering av vägledningen eller på annat sätt. Förhoppningsvis kommer detta snart att hända för att skapa klarhet angående dessa förväntningar.
1 An omnibus räkning är ett föreslaget lag som täcker ett antal olika eller orelaterade ämnen Omnibus bill – Wikipedia
Bild: CanStock Foto
Helen Simons är en Kvalitetssäkring Manager på StarFish Medical. Helens utbildning är inom maskinteknik, med en bakgrund av produktutveckling och QMS-utveckling inom flera branscher med konsument- och industriprodukter till medicintekniska produkter, IVD och kombinationsenheter.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. Tillgång här.
- Källa: https://starfishmedical.com/blog/new-cybersecurity-requirements-in-the-us/
- 1
- 2014
- 2022
- 2023
- a
- förmåga
- Om oss
- tvärs
- Agera
- aktiviteter
- anpassa
- Dessutom
- Annat
- ytterligare information
- adress
- adresse
- förespråkar
- Efter
- Alla
- tillåta
- bland
- och
- någon
- tillämplig
- Ansökan
- lämpligt
- anslag
- godkännande
- godkänd
- aspekt
- aspekter
- försäkran
- tillgänglig
- undvika
- bakgrund
- Där vi får lov att vara utan att konstant prestera,
- BÄST
- bästa praxis
- mellan
- Bill
- föra
- vilken
- Orsak
- byta
- egenskaper
- klarhet
- COM
- kombination
- komma
- kommande
- kommersiella
- jämfört
- Efterlevnad
- komponenter
- Bekräfta
- Motstridig
- Kontakta
- övervägande
- överväganden
- anses
- Konsumenten
- innehåll
- fortsätter
- kontroll
- samordnas
- kunde
- omfattas
- omfattar
- kritisk
- Aktuella
- För närvarande
- cyber
- Cybersäkerhet
- Datum
- daterad
- Datum
- dag
- Dagar
- December
- fördröjningar
- demonstrera
- beskriven
- Designa
- detaljerad
- detaljer
- utveckla
- Utveckling
- anordning
- enheter
- DID
- direkt
- avslöjande
- diskuteras
- Visa
- flera
- dokumentera
- dokumentation
- dokument
- utkast
- Läkemedel
- Utbildning
- effekt
- antingen
- tillämpning
- Teknik
- säkerställa
- säkerställa
- Eter (ETH)
- expanderade
- expanderar
- förvänta
- förväntan
- förväntningar
- förväntar
- bedrifter
- Höst
- FDA
- återkoppling
- slutlig
- avsluta
- Fiskal
- efter
- livsmedelsproduktion
- kraft
- från
- finansiering
- genereras
- Regeringen
- statliga
- riktlinjer
- hända
- Hälsa
- Hälsovård
- dold
- Förhoppningsvis
- HET
- Hur ser din drömresa ut
- Men
- html
- HTTPS
- identifierar
- identifiera
- in
- innefattar
- Inklusive
- industriell
- industrier
- industrin
- Industry News
- informationen
- installerad
- Avser
- intresse
- intressant
- Internet
- fråga
- IT
- Ha kvar
- Nyckel
- känd
- märkning
- Efternamn
- BEGRÄNSA
- bibehålla
- göra
- ledning
- chef
- Tillverkare
- Mars
- marknad
- material
- max-bredd
- betyder
- mekanisk
- maskinteknik
- medicinsk
- medicinsk utrustning
- medicintekniska produkter
- Övervaka
- mer
- multipel
- Nya
- nyheter
- Novo
- antal
- bindningar
- Officiellt
- ONE
- öppen källkod
- Övriga
- skisse
- utsikterna
- paket
- del
- Plåster
- Patienten
- Planen
- plato
- Platon Data Intelligence
- PlatonData
- Spelaren
- möjlig
- praxis
- Förbered
- förbereda
- tidigare
- prioritera
- förfaranden
- process
- processer
- Produkt
- produktutveckling
- Produkter
- föreslagen
- skydd
- ge
- förutsatt
- leverantörer
- Offentliggörande
- publicerade
- Puts
- kvalitet
- frågor
- läsare
- rimlig
- motta
- rekommenderar
- reflektera
- om
- regelbunden
- reglering
- relaterad
- förhållande
- relevanta
- förfrågningar
- kräver
- Obligatorisk
- krav
- Krav
- Resurser
- Svara
- översyn
- Risk
- riskhanterings
- risker
- §
- sektioner
- Senaten
- September
- in
- Dela
- skall
- signifikant
- Enkelt
- So
- Mjukvara
- Alldeles strax
- specifik
- sponsra
- intressenter
- Sjöstjärna
- .
- Stater
- underkastelse
- Inlagor
- skicka
- sådana
- stödja
- system
- System
- Målet
- teknisk
- mall
- Smakämnen
- deras
- Tänkande
- i år
- hot
- Genom
- tid
- till
- dagens
- alltför
- ämne
- ämnen
- toronto
- under
- förstått
- Uppdatering
- uppdaterad
- Uppdateringar
- uppdatering
- us
- USAs regering
- användning
- validerade
- version
- Video
- sårbarheter
- sårbarhet
- Sårbara
- vänta
- ville
- Webbplats
- som
- medan
- whitepaper
- VEM
- brett
- wikipedia
- kommer
- inom
- ord
- skriven
- år
- år
- Youtube
- zephyrnet
