Risorse
/
Blog
/
Articolo
Articolo del blog

Nuovi standard in Med Dev Cybersecurity

Aumentare gli standard di sicurezza informatica per i dispositivi medici richiede la conformità dei produttori alle nuove normative globali.

Scritto da:
Pubblicato il:
11 marzo 2024

Il paesaggio coinvolgente di dispositivi medici Regolamenti di sicurezza informatica

La gestione di una società di dispositivi medici della sicurezza informatica dei suoi prodotti è stata una significativa attesa tra le autorità di regolamentazione per molti anni.

Per aiutare con questo negli Stati Uniti, la FDA ha pubblicato la sua prima guida sulla sicurezza informatica del dispositivo medico nel 2005. Ha coperto Cybersecurity per dispositivi medici in rete contenenti software Off-the-Shelf (OTS).

Questo è stato seguito nel 2014 con la guida su Contenuto delle sottomissioni Premarket per la gestione della sicurezza informatica in Medical Devi Uidance su Gestione del mercato della sicurezza informatica in dispositivi medici Anche se utile, le raccomandazioni di questi documenti sono state giudicate insufficienti e non molto rigorose.

Tuttavia, dal passaggio del 2023 Legge sugli stanziamenti consolidati del governo degli Stati Uniti e FDA 2023 guida aggiornata su C ybersecurity in dispositivi medici: Considerazioni del sistema di qualità e contenuto delle sottomissioni di premercato, il cybersecurity bar è stato sollevato. La guida del premercato del 2023 sostituisce la guida del premercato 2014, che era stata aggiornata in bozze di moduli nel 2018 e 2022.

Nel corso degli anni, la guida pre-mercato della FDA ha attraversato una significativa evoluzione dal documento di 9-pagina un po 'limitata 2014 alla guida ora completa 57-pagina 2023.

Il 2023 Consolidated Appropriations Act transizionò ciò che storicamente è stato un approccio meno formale “raccomandazioni” nella guida della FDA sulla sicurezza informatica del dispositivo medico a requisiti o legge basati sullo statuto attraverso il passaggio della legge.

Per esempio, per legge, la sezione 3305 della legge sugli stanziamenti consolidati richiede che lo sponsor (ad esempio, una società di dispositivi medici) di una domanda o di una presentazione (ad esempio, una presentazione di 510(k) premercato) sia:

  1. Inviare un piano per monitorare, identificare e affrontare vulnerabilità e exploit di sicurezza informatica post-market, compresa la divulgazione di vulnerabilità coordinata e procedure correlate;
  2. Progettare, sviluppare e mantenere processi e procedure per fornire una ragionevole garanzia che il dispositivo e i sistemi correlati sono cybersicuro, e rendere disponibili aggiornamenti e patch post-market al dispositivo e sistemi correlati per affrontare:
    • Su un ciclo regolare ragionevolmente giustificato, noti vulnerabilità inaccettabili
    • E appena possibile fuori ciclo, vulnerabilità critiche che potrebbero causare rischi incontrollati
  3. Fornire al Segretario una bolletta software di materiali, tra cui componenti commerciali, open source e software off-the-shelf; e
  4. rispettare tali altri requisiti come il Segretario può richiedere attraverso la regolazione per dimostrare la ragionevole certezza che il dispositivo e i sistemi correlati sono cyber-sicuro.

Global Shift verso il rafforzamento del dispositivo medico Cybersecurity

Particolarmente notevole nel Consolidated Appropriations Act sono i requisiti per il piano di sicurezza informatica post-mercato e la bolletta software dei materiali, che storicamente non sono stati enfatizzati nelle sottomissioni normative degli Stati Uniti. Questi richiedono uno sforzo importante dalle prime fasi di sviluppo di un dispositivo medico. Inoltre, dalla guida del premercato del 2023, le sottomissioni del premercato dovranno ora includere i risultati dei test di penetrazione e degli esercizi di modellazione delle minacce, che comportano anche notevoli sforzi e costi.

Le aspettative più elevate per la sicurezza informatica non sono solo limitate agli Stati Uniti.La direttiva UE 2022/2555 sulla sicurezza dei sistemi di rete e di informazione (“NIS2”) ora manda misure di gestione del rischio di sicurezza informatica e requisiti di segnalazione per i produttori di prodotti medici, compresi i prodotti chimici (API), farmaci e dispositivi medici.

Come per gli Stati Uniti, Australia Therapeutic Goods Administration 2022 Dispositivo medico guida per la sicurezza informatica per l'industria richiede un approccio completo del ciclo di vita del prodotto (TPLC) alla gestione della sicurezza informatica. Richiede anche test di penetrazione e modellazione delle minacce come parte del processo di gestione/valutazione del rischio di un dispositivo.

E Singapore ha annunciato nel 2022 che prevede di schierare un Cybersecurity Labelling Scheme per dispositivi medici - CLS-MD. Lo schema di etichettatura è attualmente in un “sandbox” o periodo di prova. Lo schema si basa su dispositivi medici che vengono valutati secondo quattro livelli di disposizioni e valutazioni sulla sicurezza informatica.

L'etichetta di sicurezza informatica per dispositivi medici fornirebbe un'indicazione del livello di sicurezza nei dispositivi medici. Sebbene attualmente volontario, questo nuovo schema dimostra la seria preoccupazione del governo di Singapore per la sicurezza informatica del dispositivo medico.

Oltre agli esempi sopra ci sono un sacco di maggiore consapevolezza sulla necessità di mantenere i dispositivi medici “ciber safe” in tutto il mondo, comprese le iniziative globali dall’Internazionale Forum dei regolatori del dispositivo medico produrre documenti tecnici eccellenti Principi e pratiche per dispositivi medici Cybersecurity,Principi e pratiche per la sicurezza informatica dei dispositivi medici Legacy e Principi e pratiche per Software Bill of Materials for Medical Device Cybersecurity.

Se si sta sviluppando o già avere un dispositivo medico con software, soprattutto se il dispositivo può essere collegato elettronicamente ad altri dispositivi o ad una rete, allora è necessario prendere la sicurezza informatica seriamente e comprendere pienamente i requisiti di sicurezza informatica e le aspettative in qualsiasi regione si è o sarà la vendita a. Se desiderate il supporto per navigare la vostra conformità di sicurezza informatica globale, non esitate a raggiungere fuori Pure Global per assistenza.

Iscriviti alla newsletter
Iscriviti per ricevere la nostra newsletter mensile alla tua casella di posta.
Sottoscrivendo, accetti il nostroTermini e condizioni.
Grazie! La vostra presentazione è stata ricevuta!
Oops! Qualcosa è andato storto durante la presentazione del modulo.
Leggi tutto

Parliamo,
Ovunque tu sia.

Se siete alla ricerca di maggiori informazioni o pronti a collaborare con noi, siamo qui per guidarvi attraverso ogni fase del processo normativo.

Contattaci