Yêu cầu an ninh mạng mới ở Hoa Kỳ

An ninh mạng là vấn đề quan trọng cần cân nhắc trong thị trường ngày nay đối với các nhà sản xuất thiết bị y tế và các ngành công nghiệp khác. Trước đây tôi đã viết về Kỳ vọng của FDA đối với tài liệu an ninh mạng để gửi thiết bị y tế và nói về chủ đề này tại Medical Device Playbook Toronto.

Gần đây, chúng tôi đã biết về các yêu cầu an ninh mạng mới sắp có hiệu lực ở Hoa Kỳ đối với các thiết bị y tế được coi là “thiết bị mạng”. Chính phủ Hoa Kỳ định nghĩa một thiết bị mạng, một thiết bị:

• bao gồm phần mềm được nhà tài trợ xác thực, cài đặt hoặc ủy quyền dưới dạng thiết bị hoặc trong thiết bị;
• có khả năng kết nối internet;
• chứa bất kỳ đặc điểm công nghệ nào được xác thực, cài đặt hoặc ủy quyền bởi nhà tài trợ có thể dễ bị đe dọa bởi các mối đe dọa an ninh mạng.

Điều này càng thú vị hơn vì những yêu cầu mới này vẫn chưa được thông báo trực tiếp từ FDA hoặc được thảo luận rộng rãi trong các tin tức của ngành. Tôi muốn chia sẻ thông tin này với độc giả của chúng tôi để bạn cũng có thể biết về nó và chủ động chuẩn bị cho sự thay đổi này.

Đối với những người trong ngành hiện đang chuẩn bị đệ trình, đây là một chủ đề nóng. Bạn sẽ muốn đảm bảo rằng tài liệu phù hợp được tạo và cung cấp như một phần của quá trình gửi để tránh các yêu cầu bổ sung thông tin và sự chậm trễ trong quá trình gửi.

Yêu cầu mới

Vào ngày 21 tháng 2022 năm XNUMX, chính phủ Hoa Kỳ đã thông qua dự luật về xe buýt¹ (“Đạo luật phân bổ hợp nhất, năm 2023”), chủ yếu là về việc đảm bảo tài trợ cho các hoạt động của chính phủ cho đến tháng 2023 năm XNUMX, nhưng cũng bao gồm một tiểu mục đề cập đến sự kiểm soát của FDA đối với an ninh mạng thiết bị y tế.

Dự luật này bao gồm 4,155 trang đáng kinh ngạc và ẩn giữa chúng, trên trang 3,537, là phần được quan tâm chính, xác định một tập hợp các yêu cầu an ninh mạng, chính phủ mong muốn nhận được từ bất kỳ ai nộp đơn hoặc đệ trình theo mục 510(k) , 513, 515(c), 515(f) hoặc 520(m) liên quan đến Đạo luật Thực phẩm, Dược phẩm và Mỹ phẩm. Điều này có nghĩa là bất kỳ ai đang gửi thiết bị y tế để phê duyệt hoặc phê duyệt theo các lộ trình IDE, 510(k), De Novo hoặc PMA đều phải cung cấp những thông tin sau:

• (b) YÊU CẦU VỀ AN NINH MẠNG—Nhà tài trợ của đơn đăng ký hoặc hồ sơ nộp được mô tả trong tiểu mục 3
  • (a) sẽ—
    • (1) đệ trình lên Bộ trưởng kế hoạch giám sát, xác định và giải quyết, khi thích hợp, trong thời gian hợp lý, các lỗ hổng và khai thác an ninh mạng sau khi đưa ra thị trường, bao gồm cả việc phối hợp tiết lộ lỗ hổng và các thủ tục liên quan;
    • (2) thiết kế, phát triển và duy trì các quy trình và thủ tục để cung cấp sự đảm bảo hợp lý rằng thiết bị và các hệ thống liên quan là an toàn mạng, đồng thời cung cấp các bản cập nhật và bản vá sau khi đưa ra thị trường cho thiết bị và các hệ thống liên quan để giải quyết—
      • (A) theo một chu kỳ thường xuyên được chứng minh hợp lý, các lỗ hổng không thể chấp nhận được đã biết; Và
      • (B) hết chu kỳ càng sớm càng tốt, các lỗ hổng nghiêm trọng có thể gây ra rủi ro không kiểm soát được;
    • (3) cung cấp cho Bộ trưởng danh mục tài liệu phần mềm, bao gồm các thành phần phần mềm thương mại, mã nguồn mở và có sẵn; Và
    • (4) tuân thủ các yêu cầu khác mà Bộ trưởng có thể yêu cầu thông qua quy định để chứng minh sự đảm bảo hợp lý rằng thiết bị và các hệ thống liên quan là an ninh mạng.

Nó cũng nói rằng những yêu cầu bổ sung này sẽ có hiệu lực 90 ngày kể từ ngày ban hành Đạo luật này, trong đó đặt ngày tuân thủ là ngày 21 tháng 2023 năm XNUMX.

Thông tin mâu thuẫn:

Hiện tại, như chi tiết trong whitepaper của chúng tôi Hướng dẫn dự thảo an ninh mạng của FDA, hướng dẫn cuối cùng có thể áp dụng từ FDA được nêu trong Nội dung đệ trình tiếp thị trước để quản lý an ninh mạng trong thiết bị y tế ngày 2014. Tuy nhiên, vào năm 2022, FDA đã xuất bản một hướng dẫn dự thảo cập nhật, An ninh mạng trong các thiết bị y tế: Cân nhắc về hệ thống chất lượng và nội dung của các lần gửi trước khi tiếp thị, mở rộng đáng kể kỳ vọng về các hoạt động và tài liệu an ninh mạng. Phiên bản năm 2022 được hiểu là suy nghĩ hiện tại về chủ đề này từ FDA, trong khi hướng dẫn cuối cùng năm 2014 là hướng dẫn hiện đang có hiệu lực và đang được thực thi.

FDA đã xác nhận rằng họ đang có ý định hoàn thiện các hướng dẫn dự thảo năm 2022 trong năm nay khi họ truyền đạt các hướng dẫn mục tiêu của mình để ưu tiên vào năm 2023 (Các Hướng dẫn Đề xuất của CDRH cho Năm Tài chính 2023 (FY2023) | FDA), tuy nhiên, chúng tôi vẫn chưa thấy bất kỳ ngày xuất bản hoặc thông tin chi tiết cụ thể nào về mức độ chỉnh sửa hoặc cách hướng dẫn cuối cùng sẽ được sửa đổi so với dự thảo năm 2022.

Các nghĩa vụ được nêu trong dự luật tổng hợp nằm giữa các phiên bản hướng dẫn năm 2014 và 2022, với các nghĩa vụ được mở rộng từ những nghĩa vụ hiện đang được thực thi nhưng không rộng rãi như những nghĩa vụ được nêu trong dự thảo năm 2022.

Kế hoạch hậu thị trường cũng như các quy trình và khía cạnh thủ tục được đề cập một phần trong hướng dẫn cuối cùng hiện tại nhưng không rõ ràng từng chữ. Việc bổ sung hóa đơn phần mềm (sBOM) là điểm mới trong hướng dẫn cuối cùng hiện tại nhưng được đề cập trong hướng dẫn dự thảo năm 2022. Yêu cầu cuối cùng dường như là một tuyên bố tổng quát cho phép FDA và các cơ quan chính phủ có liên quan thích ứng với các phương pháp hay nhất theo yêu cầu.

FDA khuyến nghị sử dụng gói eSTAR để gửi nhằm đảm bảo cung cấp nội dung chính xác. Mẫu hiện tại, phiên bản 2-2, chỉ yêu cầu các tài liệu sau liên quan đến an ninh mạng: (các) tệp quản lý rủi ro, kế hoạch quản lý an ninh mạng hoặc kế hoạch hỗ trợ liên tục và tham chiếu đến nội dung an ninh mạng trong nhãn. Chúng tôi mong đợi mẫu này được cập nhật để phản ánh bất kỳ yêu cầu bổ sung nào.

Dự luật đề cập rõ ràng đến hướng dẫn có tên ''Nội dung đệ trình tiếp thị trước để quản lý an ninh mạng trong thiết bị y tế'' (hoặc tài liệu kế thừa) và nghĩa vụ của FDA là xem xét và cập nhật thông tin phản hồi từ “các nhà sản xuất thiết bị, sức khỏe nhà cung cấp dịch vụ chăm sóc, nhà cung cấp dịch vụ thiết bị bên thứ ba, người ủng hộ bệnh nhân và các bên liên quan thích hợp khác.” Nhưng thời hạn về khía cạnh này của dự luật không quá hai năm, điều này mâu thuẫn với kỳ vọng 90 ngày.

Câu hỏi còn lại:

Đây là lúc chúng ta đi đến mấu chốt của vấn đề, làm thế nào để ngành công nghiệp đáp ứng các yêu cầu mâu thuẫn này?

Dự luật quy định rằng FDA phải cung cấp các nguồn lực không muộn hơn 180 ngày sau khi đạo luật có hiệu lực, bao gồm cả việc cập nhật trang web của FDA về an ninh mạng. Nhưng một lần nữa, điều này xảy ra sau thời hạn của ngành.

Chúng ta sẽ phải chờ xem khi nào điều này được thông báo chính thức tới ngành bằng cách cập nhật hướng dẫn hoặc bằng các phương tiện khác. Hy vọng rằng điều này sẽ sớm xảy ra để mang lại sự rõ ràng về những kỳ vọng này.

¹ An hóa đơn omnibus là một đề xuất pháp luật bao gồm một số chủ đề đa dạng hoặc không liên quan Dự luật Omnibus - Wikipedia

hình ảnh: Có ThểẢnh Chứng Khoán

Helen Simons là một Đảm bảo chất lượng Quản lý tại StarFish Medical. Giáo dục của Helen là về Kỹ thuật cơ khí, với nền tảng về phát triển sản phẩm và phát triển QMS trên nhiều ngành từ sản phẩm tiêu dùng và công nghiệp đến thiết bị y tế, IVD và thiết bị kết hợp.



---

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến ​​thức. Truy cập Tại đây.
• nguồn: https://starfishmedical.com/blog/new-cybersecurity-requirements-in-the-us/