امریکہ میں سائبرسیکیوریٹی کے نئے تقاضے

میڈیکل ڈیوائس بنانے والوں اور دیگر صنعتوں کے لیے آج کی مارکیٹ میں سائبرسیکیوریٹی ایک اہم چیز ہے۔ میں نے پہلے بھی اس کے بارے میں لکھا ہے۔ سائبر سیکیورٹی دستاویزات کے لیے ایف ڈی اے کی توقعات میڈیکل ڈیوائس جمع کرانے کے لیے، اور میڈیکل ڈیوائس پلے بک ٹورنٹو میں اس موضوع کے بارے میں بات کی گئی۔

حال ہی میں، ہم سائبرسیکیوریٹی کے نئے تقاضوں سے آگاہ ہوئے جو امریکہ میں ان طبی آلات کے لیے لاگو ہو رہی ہیں جنہیں "سائبر ڈیوائسز" سمجھا جاتا ہے۔ امریکی حکومت سائبر ڈیوائس کی تعریف کرتی ہے، ایک ایسا آلہ جو:

• اسپانسر کے ذریعہ بطور ڈیوائس یا ڈیوائس میں توثیق شدہ، انسٹال یا مجاز سافٹ ویئر شامل ہے۔
• انٹرنیٹ سے منسلک کرنے کی صلاحیت ہے؛
• اسپانسر کے ذریعہ توثیق شدہ، نصب یا مجاز کسی بھی ایسی تکنیکی خصوصیات پر مشتمل ہے جو سائبر سیکیورٹی کے خطرات کا شکار ہوسکتی ہے۔

یہ سب زیادہ دلچسپ ہے کیونکہ ان نئی ضروریات کو ابھی تک براہ راست ایف ڈی اے سے نہیں بتایا گیا ہے یا انڈسٹری کی خبروں میں وسیع پیمانے پر بحث نہیں کی گئی ہے۔ میں یہ معلومات اپنے قارئین کے ساتھ شیئر کرنا چاہتا تھا تاکہ آپ بھی اس سے آگاہ ہو سکیں اور اس تبدیلی کے لیے مستعدی سے تیاری کر سکیں۔

صنعت میں ان لوگوں کے لیے جو فی الحال گذارشات کی تیاری کر رہے ہیں، یہ ایک گرما گرم موضوع ہے۔ آپ اس بات کو یقینی بنانا چاہیں گے کہ درست دستاویزات تیار کی گئی ہیں اور جمع کرانے کے حصے کے طور پر فراہم کی گئی ہیں تاکہ اضافی معلومات کی درخواستوں اور جمع کرانے کے عمل میں تاخیر سے بچا جا سکے۔

نئے تقاضے

21 دسمبر 2022 کو امریکی حکومت نے ایک اومنی بس بل کی منظوری دی۔¹ ("کنسولیڈیٹڈ اپروپریشنز ایکٹ، 2023”)، جو بنیادی طور پر ستمبر 2023 تک حکومتی سرگرمیوں کے لیے فنڈنگ ​​کو یقینی بنانے کے بارے میں تھا، لیکن اس میں میڈیکل ڈیوائس سائبر سیکیورٹی پر FDA کے کنٹرول سے متعلق ایک ذیلی سیکشن بھی شامل ہے۔

یہ بل حیرت انگیز طور پر 4,155 صفحات پر مشتمل ہے، اور ان کے درمیان صفحہ 3,537 پر چھپا ہوا کلیدی دلچسپی کا حصہ ہے، جو سائبر سیکیورٹی کے تقاضوں کے ایک سیٹ کی نشاندہی کرتا ہے، حکومت سیکشن 510(k) کے تحت درخواست یا جمع کروانے والے سے وصول کرنے کی توقع رکھتی ہے۔ , 513, 515(c), 515(f), یا 520(m) فوڈ، ڈرگس اینڈ کاسمیٹکس ایکٹ کے سلسلے میں۔ اس کا مطلب ہے کہ جو کوئی بھی IDE, 510(k), De Novo یا PMA پاتھ ویز کے تحت منظوری یا کلیئرنس کے لیے میڈیکل ڈیوائس جمع کرا رہا ہے اسے اب درج ذیل چیزیں فراہم کرنے کی ضرورت ہے۔

• (b) سائبرسیکیوریٹی کے تقاضے - ذیلی دفعہ 3 میں بیان کردہ درخواست یا جمع کرانے کا کفیل
  • (a) کرے گا -
    • (1) سکریٹری کو مناسب وقت میں، پوسٹ مارکیٹ سائبرسیکیوریٹی کے خطرات اور کارناموں کی نگرانی، شناخت اور ان سے نمٹنے کے لیے ایک منصوبہ پیش کریں، بشمول مربوط خطرے کے انکشاف اور متعلقہ طریقہ کار؛
    • (2) ایک معقول یقین دہانی فراہم کرنے کے لیے طریقہ کار اور طریقہ کار کو ڈیزائن، تیار کرنا، اور برقرار رکھنا کہ ڈیوائس اور متعلقہ سسٹم سائبر سیکیور ہیں، اور آلہ اور متعلقہ سسٹمز کو ایڈریس کرنے کے لیے پوسٹ مارکیٹ اپ ڈیٹس اور پیچ دستیاب کریں—
      • (A) معقول طور پر جائز باقاعدہ سائیکل پر، جانا جاتا ہے ناقابل قبول خطرات؛ اور
      • (B) جتنی جلدی ممکن ہو سائیکل سے باہر، اہم کمزوریاں جو بے قابو خطرات کا سبب بن سکتی ہیں؛
    • (3) سیکرٹری کو مواد کا ایک سافٹ ویئر بل فراہم کریں، بشمول تجارتی، اوپن سورس، اور آف دی شیلف سافٹ ویئر کے اجزاء؛ اور
    • (4) اس طرح کے دیگر تقاضوں کی تعمیل کریں جیسا کہ سیکرٹری کو ضابطے کے ذریعے اس معقول یقین دہانی کا مظاہرہ کرنے کی ضرورت ہو سکتی ہے کہ ڈیوائس اور متعلقہ سسٹم سائبر محفوظ ہیں۔

اس میں یہ بھی کہا گیا ہے کہ یہ اضافی تقاضے لاگو ہوں گے۔ 90 دنوں اس ایکٹ کے نفاذ کی تاریخ سے، جس کی تعمیل کی تاریخ 21 مارچ 2023 ہے۔

متضاد معلومات:

فی الحال، جیسا کہ ہمارے وائٹ پیپر میں تفصیل سے بتایا گیا ہے۔ ایف ڈی اے سائبرسیکیوریٹی ڈرافٹ گائیڈنس، FDA سے قابل اطلاق حتمی رہنمائی میں بیان کیا گیا ہے۔ طبی آلات میں سائبرسیکیوریٹی کے انتظام کے لیے پری مارکیٹ کی گذارشات کا مواد تاہم، 2014 میں، ایف ڈی اے نے ایک تازہ ترین مسودہ رہنمائی شائع کیا، طبی آلات میں سائبرسیکیوریٹی: کوالٹی سسٹم کے تحفظات اور پری مارکیٹ گذارشات کا مواد، جو سائبرسیکیوریٹی سرگرمیوں اور دستاویزات کی توقع پر نمایاں طور پر توسیع کرتا ہے۔ 2022 ورژن کو FDA کی طرف سے اس موضوع پر موجودہ سوچ سمجھا جاتا ہے، جبکہ 2014 کی حتمی رہنمائی وہ ہے جو اس وقت نافذ العمل اور زیر عمل ہے۔

ایف ڈی اے نے اس بات کی تصدیق کی کہ وہ اس سال 2022 کے مسودے کے رہنما خطوط کو حتمی شکل دینے کا ارادہ کر رہے ہیں جب انہوں نے 2023 میں ترجیح دینے کے لیے اپنے ہدف کی رہنمائیوں کو بتایا (CDRH مالی سال 2023 (FY2023) کے لیے مجوزہ رہنمائیاں | ایف ڈی اے)، تاہم ہمیں ابھی تک اشاعت کی کوئی مخصوص تاریخیں یا ترمیم کی حد کے بارے میں تفصیلات یا 2022 کے مسودے کے مقابلے میں حتمی رہنمائی پر نظر ثانی کیسے کی جائے گی۔

اومنیبس بل میں بیان کردہ ذمہ داریاں رہنمائی کے 2014 اور 2022 ورژن کے درمیان آدھے راستے پر آتی ہیں، ذمہ داریوں کو اس وقت نافذ کرنے والوں سے بڑھایا جاتا ہے لیکن اتنا وسیع نہیں جتنا کہ 2022 کے مسودے میں بیان کیا گیا ہے۔

مارکیٹ کے بعد کا منصوبہ اور عمل اور طریقہ کار کے پہلو جزوی طور پر موجودہ حتمی رہنمائی میں شامل ہیں لیکن واضح طور پر لفظ بہ لفظ نہیں۔ مواد کے سافٹ ویئر بل (sBOMs) کا اضافہ موجودہ حتمی رہنمائی میں نیا ہے لیکن 2022 کے مسودے کی رہنمائی میں اس کا احاطہ کیا گیا ہے۔ آخری ضرورت ایک کیچ آل سٹیٹمنٹ دکھائی دیتی ہے جو FDA اور متعلقہ سرکاری اداروں کو ضرورت کے مطابق بہترین طریقوں کے مطابق ڈھالنے کی اجازت دیتی ہے۔

FDA اس بات کو یقینی بنانے کے لیے کہ درست مواد کی فراہمی کو یقینی بنانے کے لیے گذارشات کے لیے eSTAR پیکیج کے استعمال کی سفارش کرتا ہے۔ موجودہ ٹیمپلیٹ، ورژن 2-2، سائبر سیکیورٹی کے سلسلے میں صرف درج ذیل دستاویزات کی درخواست کرتا ہے: رسک مینجمنٹ فائل(ز)، سائبر سیکیورٹی مینجمنٹ پلان یا سپورٹ جاری رکھنے کا منصوبہ، اور لیبلنگ کے اندر سائبر سیکیورٹی مواد کا حوالہ۔ ہمیں کسی بھی اضافی تقاضوں کی عکاسی کرنے کے لیے اس سانچے کو اپ ڈیٹ کرنے کی توقع کرنی چاہیے۔

اس بل میں واضح طور پر ''میڈیکل ڈیوائسز میں سائبرسیکیوریٹی کے نظم و نسق کے لیے پری مارکیٹ کی گذارشات کے مواد'' (یا جانشین دستاویز) کے عنوان سے رہنمائی اور FDA کی ذمہ داریوں کا ذکر کیا گیا ہے کہ وہ اس کا جائزہ لیں اور اسے "ڈیوائس مینوفیکچررز، ہیلتھ کی طرف سے آراء کے ساتھ تازہ ترین رکھیں۔ دیکھ بھال فراہم کرنے والے، فریق ثالث کے آلہ کار، مریض کے وکیل، اور دیگر مناسب اسٹیک ہولڈرز۔" لیکن بل کے اس پہلو پر وقت کی حد دو سال سے زیادہ نہیں ہے جو 90 دن کی توقع سے متصادم ہے۔

باقی سوالات:

یہ وہ جگہ ہے جہاں ہم مسئلے کی جڑ پر آتے ہیں، صنعت ان متضاد تقاضوں کا کیا جواب دیتی ہے؟

بل میں کہا گیا ہے کہ ایف ڈی اے کو ایکٹ کے نافذ ہونے کے 180 دن بعد وسائل فراہم کرنے چاہئیں، بشمول سائبر سیکیورٹی پر ایف ڈی اے کی ویب سائٹ کو اپ ڈیٹ کرنا۔ لیکن پھر، یہ صنعت کے لیے آخری تاریخ کے بعد آتا ہے۔

ہمیں یہ دیکھنے کے لیے انتظار کرنا پڑے گا کہ کب یہ صنعت کو باضابطہ طور پر رہنمائی کی تازہ کاری کے ذریعے یا دوسرے ذرائع سے مطلع کیا جاتا ہے۔ امید ہے کہ یہ جلد ہی ان توقعات کے بارے میں واضح کرنے کے لئے ہوگا۔

¹ An اومنی بس بل ایک مجوزہ ہے قانون جو متعدد متنوع یا غیر متعلقہ موضوعات کا احاطہ کرتا ہے۔ اومنی بس بل - ویکیپیڈیا

تصویر: کین اسٹاک فوٹو

ہیلن سائمنز ہے ایک کوالٹی کی گارنٹی اسٹار فش میڈیکل میں منیجر۔ ہیلن کی تعلیم مکینیکل انجینئرنگ میں ہے، جس کا پس منظر پروڈکٹ ڈویلپمنٹ اور QMS ڈویلپمنٹ کے ساتھ متعدد صنعتوں میں کنزیومر اور انڈسٹریل پروڈکٹس سے لے کر میڈیکل ڈیوائسز، IVD اور کمبی نیشن ڈیوائسز کے ساتھ ہے۔



---

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• پلیٹو بلاک چین۔ Web3 Metaverse Intelligence. علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://starfishmedical.com/blog/new-cybersecurity-requirements-in-the-us/