Нові вимоги до кібербезпеки в США

Кібербезпека є ключовим фактором на сучасному ринку для виробників медичного обладнання та інших галузей. Я раніше писав про Очікування FDA щодо документації з кібербезпеки для подання медичних пристроїв і говорив про цю тему в Medical Device Playbook Toronto.

Нещодавно нам стало відомо про нові вимоги до кібербезпеки, які набувають чинності в США для медичних пристроїв, які вважаються «кіберпристроями». Уряд США визначає кіберпристрій, пристрій, який:

• включає програмне забезпечення, перевірене, встановлене або авторизоване спонсором як пристрій або в пристрої;
• є можливість підключення до інтернету;
• містить будь-які такі технологічні характеристики, перевірені, встановлені або дозволені спонсором, які можуть бути вразливими до загроз кібербезпеці.

Це тим більше цікаво, що ці нові вимоги ще не повідомлялися безпосередньо від FDA або широко не обговорювалися в галузевих новинах. Я хотів поділитися цією інформацією з нашими читачами, щоб ви також могли знати про це та завчасно підготуватися до цих змін.

Для тих, хто в галузі зараз готує подання, це гаряча тема. Щоб уникнути додаткових запитів на інформацію та затримок у процесі подання, потрібно переконатися, що правильна документація створена та надана як частина подання.

Нові вимоги

21 грудня 2022 року уряд США схвалив омнібусний законопроект¹ ("Закон про консолідовані асигнування, 2023 р”), який стосувався переважно забезпечення фінансування діяльності уряду до вересня 2023 року, але також містить підрозділ, присвячений контролю FDA за кібербезпекою медичних пристроїв.

Цей законопроект складається з приголомшливих 4,155 сторінок, і серед них, на сторінці 3,537, прихований ключовий розділ, який визначає набір вимог до кібербезпеки, які уряд очікує отримати від будь-кого, хто подає заявку або подає заяву відповідно до розділів 510(k) , 513, 515(c), 515(f) або 520(m) стосовно Закону про харчові продукти, ліки та косметику. Це означає, що будь-хто, хто подає медичний пристрій на схвалення або дозвіл відповідно до IDE, 510(k), De Novo або PMA, тепер повинен надати наступне:

• (b) ВИМОГИ ЩОДО КІБЕРБЕЗПЕКИ — Спонсор заявки або подання, описаних у підрозділі 3
  • (a) має—
    • (1) подавати Секретарю план моніторингу, виявлення та усунення, за необхідності, у розумний час постринкових уразливостей кібербезпеки та експлойтів, включаючи скоординоване розкриття вразливостей та відповідні процедури;
    • (2) розробляти, розробляти та підтримувати процеси та процедури, щоб забезпечити розумну впевненість у тому, що пристрій і пов’язані системи є кіберзахищеними, а також надавати післяпродажні оновлення та виправлення для пристрою та пов’язаних систем для вирішення:
      • (A) у розумно обґрунтованому регулярному циклі, відомі неприйнятні вразливості; і
      • (B) якнайшвидший вихід із циклу, критичні вразливості, які можуть спричинити неконтрольовані ризики;
    • (3) надати Секретарю перелік матеріалів щодо програмного забезпечення, включаючи комерційні компоненти програмного забезпечення з відкритим вихідним кодом і готові компоненти програмного забезпечення; і
    • (4) відповідати таким іншим вимогам, які може вимагати Міністр згідно з нормативними актами, щоб продемонструвати розумну впевненість у тому, що пристрій і відповідні системи є кіберзахищеними.

Там також зазначено, що ці додаткові вимоги набудуть чинності 90 днів з дати набрання чинності цим Законом, що встановлює дату набрання чинності 21 березня 2023 року.

Суперечлива інформація:

Наразі, як описано в нашому офіційному документі Проект інструкції з кібербезпеки FDA, відповідні остаточні вказівки FDA викладено в Вміст передпродажних матеріалів для управління кібербезпекою в медичних пристроях датований 2014 р. Однак у 2022 р. FDA опублікувала оновлений проект інструкцій, Кібербезпека в медичних пристроях: питання щодо системи якості та вміст передпродажних матеріалів, що значно розширює очікування щодо діяльності та документації з кібербезпеки. Вважається, що версія 2022 року є поточною думкою FDA щодо цієї теми, тоді як остаточна інструкція 2014 року є чинною та виконується наразі.

FDA дійсно підтвердило, що вони мають намір завершити проект настанов на 2022 рік цього року, коли вони повідомили про свої цільові вказівки щодо визначення пріоритетів у 2023 році (CDRH пропонує вказівки на 2023 фінансовий рік (2023 фінансовий рік) | FDA), однак ми ще не побачили жодних конкретних дат публікації чи деталей щодо масштабу редагувань або того, як остаточні вказівки будуть переглянуті порівняно з проектом 2022 року.

Зобов’язання, викладені в загальному законопроекті, знаходяться посередині між версіями керівництва 2014 та 2022 років, причому зобов’язання розширені з тих, що зараз виконуються, але не настільки широко, як ті, що викладені в проекті 2022 року.

Постринковий план, процеси та процедурні аспекти частково охоплюються поточними остаточними інструкціями, але не дослівно. Додавання номенклатури матеріалів програмного забезпечення (sBOM) є новим у поточних остаточних інструкціях, але розглядається в проекті інструкцій 2022 року. Остання вимога, здається, є загальною заявою, що дозволяє FDA та відповідним урядовим органам адаптуватися до найкращих практик за потреби.

FDA рекомендує використовувати пакет eSTAR для подання, щоб забезпечити правильний вміст. Поточний шаблон, версія 2-2, запитує лише такі документи щодо кібербезпеки: файл(и) управління ризиками, план управління кібербезпекою або план постійної підтримки та посилання на вміст кібербезпеки в мітках. Слід очікувати, що цей шаблон буде оновлено, щоб відобразити будь-які додаткові вимоги.

У законопроекті прямо згадується вказівка ​​під назвою «Вміст передпродажних матеріалів для управління кібербезпекою в медичних пристроях» (або наступний документ) і зобов’язання FDA переглядати її та підтримувати її в актуальному стані з урахуванням відгуків «виробників пристроїв, охорони здоров’я». постачальники послуг, сторонні постачальники послуг з обслуговування пристроїв, адвокати пацієнтів та інші відповідні зацікавлені сторони». Але часовий ліміт щодо цього аспекту законопроекту становить не пізніше двох років, що суперечить очікуванням у 90 днів.

Питання, що залишилися:

Ось тут ми підходимо до суті питання: як промисловість реагує на ці суперечливі вимоги?

Законопроект передбачає, що FDA має надати ресурси не пізніше ніж через 180 днів після набрання чинності актом, включаючи оновлення веб-сайту FDA щодо кібербезпеки. Але знову ж таки, це відбувається після крайнього терміну для промисловості.

Нам доведеться почекати, щоб побачити, коли про це буде офіційно повідомлено промисловості через оновлення керівництва чи іншим способом. Сподіваюся, що це незабаром станеться, щоб прояснити ці очікування.

¹ An омнібусний законопроект є запропонованим закон який охоплює низку різноманітних або не пов’язаних між собою тем Омнібусний законопроект – Вікіпедія

Зображення: Фото CanStock

Хелен Сімонс це Гарантія якості Менеджер StarFish Medical. Хелен має освіту в галузі машинобудування, має досвід розробки продукції та розробки системи управління якістю в багатьох галузях промисловості від споживчих і промислових товарів до медичних пристроїв, IVD та комбінованих пристроїв.



---

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
• джерело: https://starfishmedical.com/blog/new-cybersecurity-requirements-in-the-us/