블로그 글

Med Dev 사이버 보안의 새로운 표준

의료기기에 대한 사이버 보안 표준을 높이려면 제조업체가 새로운 글로벌 규정을 준수해야 합니다.

작성자:
게시일:
2024년 3월 11일

의료기기 사이버보안 규정의 변화하는 환경

의료기기 회사의 제품 사이버 보안 관리는 규제 당국에서 수년 동안 상당한 기대를 불러일으켰습니다.

US에서 이를 돕기 위해 FDA은 2005년에 의료기기 사이버 보안에 대한 첫 번째 지침인 OTS(기성품) 소프트웨어가 포함된 네트워크 의료기기를 위한 사이버 보안을 발표했습니다.

이는 2014년 의료기기의 사이버 보안 관리를 위한 시판 전 제출 내용에 대한 지침과 의료기기 사이버보안의 시판 후 관리에 대한 지침으로 이어졌습니다. 유용하기는 하지만, 이 문서의 권장 사항은 불충분하고 엄격하지 않은 것으로 판단되었습니다.

그러나 2023 US 정부통합예산법이 통과되고 의료기기의 사이버 보안: 품질 시스템 고려 사항 및 시판 전 제출 내용에 대한 FDA의 2023년 업데이트 지침이 발표된 이후 사이버 보안 기준이 높아졌습니다. 2023년 시판 전 지침은 2018년과 2022년에 초안 형식으로 업데이트된 2014년 시판 전 지침을 대체합니다.

수년에 걸쳐 FDA의 시판 전 지침은 다소 제한된 9페이지의 2014년 문서에서 현재 포괄적인 57페이지의 2023년 지침으로 크게 발전했습니다.

2023년 통합 세출법은 의료기기 사이버 보안에 대한 FDA의 지침에서 역사적으로 덜 공식적인 "권고 사항" 접근 방식을 법 통과를 통해 법령 기반 요구 사항 또는 법률로 전환했습니다.

예를 들어, 법률에 따라 통합예산법(Consolidated Appropriations Act) 섹션 3305에서는 신청 또는 제출(예: 510(k) 시판 전 제출)의 후원자(예: 의료기기 회사)가 다음을 수행하도록 요구합니다.

  1. 조정된 취약성 공개 및 관련 절차를 포함하여 시판 후 사이버 보안 취약성 및 악용을 모니터링, 식별 및 해결하기 위한 계획을 제출합니다.
  2. 장치 및 관련 시스템이 사이버 보안을 유지한다는 합리적인 보증을 제공하고 다음 문제를 해결하기 위해 장치 및 관련 시스템에 대한 시판 후 업데이트 및 패치를 제공하는 프로세스 및 절차를 설계, 개발 및 유지합니다.
    • 합리적으로 정당한 정기적인 주기로 알려진 허용할 수 없는 취약점
    • 그리고 통제할 수 없는 위험을 초래할 수 있는 심각한 취약점은 가능한 한 빨리 발생합니다.
  3. 상업용, 오픈 소스 및 기성 소프트웨어 구성 요소를 포함한 소프트웨어 자재 명세서를 장관에게 제공합니다. 그리고
  4. 장치 및 관련 시스템이 사이버 보안을 유지한다는 합리적인 보증을 입증하기 위해 장관이 규정을 통해 요구할 수 있는 기타 요구 사항을 준수합니다.

의료기기 사이버 보안 강화를 향한 글로벌 변화

통합예산법에서 특히 주목할 만한 점은 역사적으로 US 규제 제출에서 강조되지 않았던 시판 후 사이버 보안 계획 및 소프트웨어 BOM에 대한 요구 사항입니다. 이를 위해서는 의료기기 개발 초기 단계부터 많은 노력이 필요합니다. 또한 2023년 시판 전 지침에 따라 이제 시판 전 제출에는 상당한 노력과 비용이 소요되는 침투 테스트 및 위협 모델링 연습의 결과가 포함되어야 합니다.

사이버 보안에 대한 더 높은 기대치는 US에만 국한되지 않습니다. 네트워크 및 정보 시스템 보안에 관한 EU의 2022/2555 지침(NIS2)은 이제 화학물질(API), 의약품, 의료기기를 포함한 의료 제품 제조업체에 대한 사이버 보안 위험 관리 조치 및 보고 요구 사항을 의무화합니다.

US와 유사하게, 호주 의약품청(Therapeutic Goods Administration)의 2022년 산업용 의료기기 사이버 보안 지침은 사이버 보안 관리에 대한 전체 제품 수명주기(TPLC) 접근 방식을 요구합니다. 또한 장치의 위험 관리/평가 프로세스의 일부로 침투 테스트 및 위협 모델링이 필요합니다.

그리고 싱가포르는 2022년에 의료기기에 대한 사이버보안 라벨링 제도 - CLS-MD를 도입할 계획이라고 발표했습니다. 라벨링 체계는 현재 "샌드박스" 또는 시험 기간에 있습니다. 이 제도는 사이버 보안 조항 및 평가의 4가지 수준에 따라 평가되는 의료기기를 기반으로 합니다.

의료기기의 사이버보안 라벨은 의료기기의 보안 수준을 나타냅니다. 현재는 자발적이지만 이 새로운 계획은 의료기기 사이버 보안에 대한 싱가포르 정부의 심각한 우려를 보여줍니다.

위의 예 외에도 전 세계적으로 의료기기를 "사이버 안전"하게 유지해야 할 필요성에 대한 인식이 높아지고 있으며, 여기에는 국제 의료기기 규제기관 포럼의 글로벌 이니셔티브도 포함됩니다. 이 포럼은 의료기기 사이버보안의 원칙과 실무, 레거시 의료기기의 사이버 보안에 대한 원칙 및 실무, 그리고 의료기기 사이버보안을 위한 소프트웨어 BOM의 원칙 및 실무와 같은 우수한 기술 문서를 생산하고 있습니다.

소프트웨어가 포함된 의료기기를 개발 중이거나 이미 보유하고 있는 경우, 특히 해당 기기가 다른 장치나 네트워크에 전자적으로 연결될 수 있는 경우에는 사이버 보안을 진지하게 받아들이고 귀하가 판매 중이거나 판매할 지역에 관계없이 사이버 보안 요구 사항 및 기대치를 완전히 이해해야 합니다. 글로벌 사이버 보안 규정 준수를 탐색하는 데 도움이 필요한 경우 언제든지 Pure Global에 문의하여 도움을 받으세요.

뉴스레터 구독
월간 뉴스레터를 이메일로 받아보세요.
구독하면 이용약관에 동의하는 것입니다.
감사합니다. 제출이 접수되었습니다.
양식을 제출하는 중 문제가 발생했습니다.
더 읽기

어디에 계시든,
상담해 드립니다.

더 많은 정보가 필요하든 협업을 시작할 준비가 되었든, 규제 절차의 모든 단계를 안내합니다.

문의하기