ABD'de Yeni Siber Güvenlik Gereksinimleri

Siber güvenlik, günümüz pazarında tıbbi cihaz üreticileri ve diğer endüstriler için önemli bir husustur. hakkında daha önce yazmıştım FDA'nın siber güvenlik dokümantasyonundan beklentileri tıbbi cihaz gönderimleri için ve Toronto Medical Device Playbook'ta bu konu hakkında konuşuldu.

Son zamanlarda, ABD'de “siber cihaz” olarak kabul edilen tıbbi cihazlar için yürürlüğe giren yeni siber güvenlik gereksinimlerinin farkına vardık. ABD hükümeti, bir siber cihazı, şu özelliklere sahip bir cihazı tanımlar:

• sponsor tarafından bir cihaz olarak veya bir cihazda doğrulanan, kurulan veya yetkilendirilen yazılımları içerir;
• internete bağlanma yeteneğine sahiptir;
• sponsor tarafından doğrulanmış, yüklenmiş veya yetkilendirilmiş ve siber güvenlik tehditlerine karşı savunmasız olabilecek bu tür teknolojik özellikleri içerir.

Bu yeni gereksinimler henüz doğrudan FDA'dan iletilmediği veya endüstri haberlerinde geniş çapta tartışılmadığı için bu daha da ilginç. Sizlerin de haberdar olması ve bu değişime proaktif olarak hazırlanmanız için bu bilgileri okuyucularımızla paylaşmak istedim.

Şu anda sunumları hazırlayan endüstridekiler için bu, sıcak bir konudur. Ek bilgi taleplerini ve gönderim sürecindeki gecikmeleri önlemek için, gönderimin bir parçası olarak doğru belgelerin oluşturulduğundan ve sağlandığından emin olmak isteyeceksiniz.

Yeni Gereksinimler

21 Aralık 2022'de ABD hükümeti bir torba yasa tasarısını onayladı.¹ ("Konsolide Ödenek Yasası, 2023ağırlıklı olarak Eylül 2023'e kadar hükümet faaliyetleri için finansman sağlamakla ilgiliydi, ancak aynı zamanda FDA'nın tıbbi cihaz siber güvenliği kontrolünü ele alan bir alt bölüm de içeriyor.

Bu yasa tasarısı şaşırtıcı bir 4,155 sayfadan oluşuyor ve bunların arasında gizli olan 3,537. sayfada, hükümetin 510(k) bölümleri kapsamında başvuru veya sunum yapan herkesten almayı beklediği bir dizi siber güvenlik gereksinimini tanımlayan önemli bir bölüm var. Gıda, İlaç ve Kozmetik Yasası ile ilgili olarak , 513, 515(c), 515(f) veya 520(m). Bu, IDE, 510(k), De Novo veya PMA yolları kapsamında bir tıbbi cihazı onay veya izin için gönderen herkesin artık aşağıdakileri sağlaması gerektiği anlamına gelir:

• (b) SİBER GÜVENLİK GEREKSİNİMLERİ—3. alt bölümde açıklanan bir başvurunun veya sunumun sponsoru
  • (a) -
    • (1) Sekretere, koordineli güvenlik açığı ifşası ve ilgili prosedürler dahil olmak üzere, uygun olduğu şekilde, makul bir süre içinde, satış sonrası siber güvenlik açıklarını ve istismarlarını izlemek, belirlemek ve ele almak için bir plan sunmak;
    • (2) cihazın ve ilgili sistemlerin siber güvenlikte olduğuna dair makul bir güvence sağlamak için süreçler ve prosedürler tasarlamalı, geliştirmeli ve sürdürmeli ve cihaza ve ilgili sistemlere pazar sonrası güncellemeler ve yamalar sağlamalı:
      • (A) makul olarak gerekçelendirilmiş düzenli bir döngüde, bilinen kabul edilemez güvenlik açıkları; Ve
      • (B) mümkün olan en kısa sürede döngü dışı, kontrol edilemeyen risklere neden olabilecek kritik güvenlik açıkları;
    • (3) Sekretere ticari, açık kaynaklı ve kullanıma hazır yazılım bileşenleri dahil olmak üzere bir yazılım malzeme listesi sağlamak; Ve
    • (4) Sekreterin, cihazın ve ilgili sistemlerin siber güvenli olduğuna dair makul güvenceyi göstermek için düzenleme yoluyla talep edebileceği diğer gerekliliklere uymak.

Ayrıca bu ek gerekliliklerin yürürlüğe gireceğini belirtmektedir. 90 gün uyum tarihini 21 Mart 2023 olarak belirleyen bu Kanunun yürürlüğe girdiği tarihten itibaren.

Çelişen Bilgiler:

Şu anda teknik incelememizde ayrıntılı olarak açıklandığı gibi FDA Siber Güvenlik Taslak Kılavuzu, FDA'nın uygulanabilir nihai kılavuzu şu şekilde özetlenmiştir: Tıbbi Cihazlarda Siber Güvenlik Yönetimi için Pazar Öncesi Sunumların İçeriği 2014 tarihli. Ancak, 2022'de FDA güncellenmiş bir taslak kılavuz yayınladı, Tıbbi Cihazlarda Siber Güvenlik: Kalite Sistemi Hususları ve Pazar Öncesi Sunumların İçeriği, siber güvenlik faaliyetleri ve dokümantasyon beklentisini önemli ölçüde genişletiyor. 2022 versiyonu, FDA'nın bu konudaki mevcut düşüncesi olarak anlaşılırken, 2014 nihai kılavuzu şu anda yürürlükte ve yürürlükte olan kılavuzdur.

FDA, 2022'te önceliklendirmek için hedef kılavuzlarını ilettiklerinde, bu yıl 2023 taslak yönergelerini tamamlamayı planladıklarını doğruladı (CDRH 2023 Mali Yılı (2023 MY) için Önerilen Yönergeler | FDA), ancak düzenlemelerin kapsamı veya nihai kılavuzun 2022 taslağı ile karşılaştırıldığında nasıl revize edileceği hakkında herhangi bir belirli yayın tarihini veya ayrıntısını henüz görmedik.

Torba yasa tasarısında ana hatları çizilen yükümlülükler, kılavuzun 2014 ve 2022 sürümleri arasında yarı yolda kalıyor; yükümlülükler şu anda yürürlükte olanlardan genişletiliyor, ancak 2022 taslağında belirtilenler kadar kapsamlı değil.

Piyasaya arz sonrası plan ile süreçler ve prosedür yönleri kısmen mevcut nihai kılavuzda yer almaktadır, ancak kelimesi kelimesine açıkça kapsanmamıştır. Bir yazılım malzeme listesinin (sBOM'ler) eklenmesi, mevcut nihai kılavuzda yenidir ancak 2022 taslak kılavuzunda ele alınmıştır. Son gereklilik, FDA ve ilgili hükümet organlarının gerektiği gibi en iyi uygulamalara uyum sağlamasına izin veren bir tümünü yakalama ifadesi gibi görünmektedir.

FDA, doğru içeriğin sağlandığından emin olmak için gönderimlerde eSTAR paketinin kullanılmasını önerir. Mevcut şablon, sürüm 2-2, siber güvenlikle ilgili olarak yalnızca şu belgeleri ister: risk yönetimi dosyaları, siber güvenlik yönetim planı veya sürekli destek planı ve etiketlemede siber güvenlik içeriğine bir referans. Bu şablonun ek gereksinimleri yansıtacak şekilde güncellenmesini beklemeliyiz.

Tasarı, "Tıbbi Cihazlarda Siber Güvenlik Yönetimi için Pazar Öncesi Sunumların İçeriği" (veya bir halef belgesi) başlıklı kılavuzdan ve FDA'nın bunu gözden geçirme ve "cihaz üreticileri, sağlık" dan gelen geri bildirimlerle güncel tutma yükümlülüklerinden açıkça bahsediyor. bakım sağlayıcılar, üçüncü taraf cihaz hizmet sağlayıcıları, hasta savunucuları ve diğer uygun paydaşlar.” Ancak tasarının bu yönüyle ilgili süre sınırı, 90 gün beklentisiyle çelişen iki yılı geçmiyor.

Kalan Sorular:

İşte konunun can alıcı noktasına geldiğimiz yer burasıdır, endüstri bu çelişen gereksinimlere nasıl yanıt veriyor?

Tasarı, FDA'nın siber güvenlikle ilgili web sitesinin güncellenmesi de dahil olmak üzere, yasanın yürürlüğe girmesinden en geç 180 gün sonra kaynak sağlaması gerektiğini belirtiyor. Ancak yine, bu endüstri için son teslim tarihinden sonra gelir.

Bunun, kılavuzdaki bir güncelleme veya başka yollarla sektöre resmi olarak ne zaman iletileceğini görmek için beklememiz gerekecek. Umarım bu, yakında bu beklentilerle ilgili netlik getirecektir.

¹ An omnibus faturası önerilen bir hukuk bir dizi farklı veya ilgisiz konuyu kapsayan Torba yasa tasarısı - Wikipedia

Resim: CanStock Fotoğrafı

Helen Simons bir Kalite güvencesi StarFish Medical'de müdür. Helen'in eğitimi, tüketici ve endüstriyel ürünlerden tıbbi cihazlara, IVD ve kombinasyon cihazlarına kadar birçok sektörde ürün geliştirme ve KYS geliştirme geçmişiyle Makine mühendisliği alanındadır.



---

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. Buradan Erişin.
• Kaynak: https://starfishmedical.com/blog/new-cybersecurity-requirements-in-the-us/