Nouvelles normes en cybersécurité Med Dev
L'augmentation des normes de cybersécurité pour les dispositifs médicaux exige que les fabricants se conforment aux nouvelles réglementations mondiales.
Le paysage en évolution du Règlement sur la cybersécurité des instruments médicaux
Une entreprise d'appareils médicaux de gestion de ses produits La cybersécurité est une attente importante parmi les autorités réglementaires depuis de nombreuses années.
Pour y contribuer aux États-Unis, la FDA a publié ses premières directives sur la cybersécurité des dispositifs médicaux en 2005. Elle était couverte Cybersécurité pour les dispositifs médicaux en réseau contenant des logiciels hors-sol (OTS).
Ceci a été suivi en 2014 avec des directives sur Contenu des présentations préalables à la commercialisation pour la gestion de la cybersécurité à Medical Devi uidance sur Gestion postcommercialisation de la cybersécurité dans les matériels médicaux Bien que utiles, les recommandations de ces documents ont été jugées insuffisantes et peu rigoureuses.
Cependant, depuis le passage de la 2023 Loi sur les crédits consolidés du gouvernement américain 2023 Mise à jour des directives sur C ybersecurity in Medical Device s: Considérations du système qualité et contenu des présentations préalables à la commercialisation, la barre de cybersécurité a été soulevée. L'orientation préalable à la commercialisation de 2023 remplace l'orientation préalable à la commercialisation de 2014, qui avait été mise à jour sous forme d'ébauches en 2018 et en 2022.
Au fil des ans, l'orientation précommercialisation de la FDA a connu une évolution significative, passant du document de 9 pages de 2014 à l'orientation maintenant complète de 57 pages de 2023.
La Loi de 2023 sur les crédits consolidés a fait passer ce qui a toujours été une approche moins formelle des recommandations de la FDA en matière de cybersécurité des instruments médicaux aux exigences législatives ou à la loi par l'adoption de la Loi.
Par exemple, en vertu de la loi, l'article 3305 de la Loi sur les crédits consolidés exige que le promoteur (p. ex., une compagnie de matériel médical) d'une demande ou d'une présentation (p. ex., une présentation préalable à la mise en marché de 510k):
- Soumettre un plan pour surveiller, identifier et traiter les vulnérabilités et les exploits liés à la cybersécurité après la mise en marché, y compris la divulgation coordonnée de la vulnérabilité et les procédures connexes;
- Concevoir, élaborer et maintenir des processus et des procédures afin de fournir une assurance raisonnable que l'appareil et les systèmes connexes sont cybersécurisés, et mettre à la disposition de l'appareil et des systèmes connexes des mises à jour et des correctifs après la mise en marché afin de traiter:
- Sur un cycle régulier raisonnablement justifié, vulnérabilités inacceptables connues
- Et dès que possible hors cycle, vulnérabilités critiques qui pourraient causer des risques incontrôlés
- fournir au secrétaire une facture de matériel logiciel, y compris des composants logiciels commerciaux, de source ouverte et de source externe;
- se conformer aux autres exigences que le secrétaire peut exiger par règlement afin de démontrer une assurance raisonnable que l'appareil et les systèmes connexes sont cybersécurité.
Changement global vers le renforcement de la cybersécurité des dispositifs médicaux
Les exigences relatives au plan de cybersécurité post-commercialisation et au logiciel-bill of materials, qui n'ont pas toujours été soulignées dans les mémoires réglementaires américains, sont particulièrement importantes dans la Loi sur les crédits consolidés. Ceux-ci nécessitent des efforts considérables dès les premières étapes du développement d'un dispositif médical. De plus, à partir des lignes directrices de 2023 avant la mise en marché, les présentations préalables à la mise en marché devront maintenant inclure les résultats d'essais de pénétration et d'exercices de modélisation des menaces, qui impliquent également des efforts et des coûts considérables.
Les attentes plus élevées en matière de cybersécurité ne se limitent pas seulement aux États-Unis.La directive UE 2022/2555 sur la sécurité des réseaux et des systèmes d'information Désormais, les fabricants de produits médicaux, y compris les produits chimiques, les produits pharmaceutiques et les instruments médicaux, doivent prendre des mesures de gestion des risques en matière de cybersécurité et faire rapport à ce sujet.
Similaire aux USA, Australie Administration des produits thérapeutiques 2022 Directive sur la cybersécurité des appareils médicaux pour l'industrie demande une approche globale du cycle de vie des produits (TPLC) pour la gestion de la cybersécurité. Il préconise également des essais de pénétration et la modélisation des menaces dans le cadre d'un processus de gestion/évaluation des risques.
Et Singapour a annoncé en 2022 qu'il prévoit de déployer un Système d'étiquetage de cybersécurité pour les dispositifs médicaux - CLS-MD. Le schéma d'étiquetage se trouve actuellement dans une période d'essai. Ce système repose sur la notation des dispositifs médicaux selon quatre niveaux de dispositions et d'évaluations en matière de cybersécurité.
L'étiquette de cybersécurité pour les instruments médicaux indiquerait le niveau de sécurité des instruments médicaux. Bien qu'il soit actuellement volontaire, ce nouveau programme démontre que le gouvernement de Singapour est gravement préoccupé par la cybersécurité des dispositifs médicaux.
En plus des exemples ci-dessus, il y a beaucoup de sensibilisation à la nécessité de garder les dispositifs médicaux sûrs dans le monde entier, y compris les initiatives mondiales de l'International Forum des régulateurs des matériels médicaux de produire d'excellents documents techniques sur Principes et pratiques de cybersécurité des instruments médicaux,Principes et pratiques pour la cybersécurité des matériels médicaux hérités et Principes et pratiques pour le logiciel Bill of Materials for Medical Device Cybersecurity.
Si vous développez ou avez déjà un appareil médical avec un logiciel, surtout si l'appareil peut être connecté électroniquement à d'autres appareils ou à un réseau, alors vous devez prendre la cybersécurité au sérieux et comprendre pleinement les exigences et les attentes en matière de cybersécurité dans n'importe quelle région où vous êtes ou vous vendez. Si vous souhaitez un soutien pour la navigation de votre conformité globale à la cybersécurité, n'hésitez pas à communiquer avec Pure Global d'assistance.
Parlons,
N'importe où vous êtes.
Que vous cherchiez plus d'information ou que vous soyez prêt à travailler en partenariat avec nous, nous sommes là pour vous guider à chaque étape du processus réglementaire.
Contactez-nous

