Monter la barre en matière de cybersécurité des dispositifs médicaux avant commercialisation


La décision de la Food and Drug Administration d’incorporer des « réglementations sur les systèmes de qualité » dans son dernier projet de directives pour la cybersécurité des dispositifs médicaux avant commercialisation est un développement important dans le cadre des attentes de sécurité de l’agence pour les fabricants, déclare le Dr Suzanne Schwartz de la FDA.

« Nous avons affirmé depuis de nombreuses années l’importance de penser à la cybersécurité du début à la fin, tout au long de la vie d’utilisation d’un produit », a-t-elle déclaré dans une interview avec Information Security Media Group.

« Et par conséquent, cela doit être considéré sous l’égide des considérations des systèmes de qualité », dit-elle. « Bien que nous ayons mentionné les réglementations sur les systèmes de qualité dans notre [premarket medical device cybersecurity] conseils en 2014, il est devenu clair pour nous au fur et à mesure que nous évoluions… et que l’écosystème mûrissait davantage – qu’il devient beaucoup plus nécessaire d’appeler le QSR comme quelque chose auquel les fabricants doivent réfléchir tôt, dès qu’ils conçoivent leurs appareils », elle dit.

« Ces directives constituent une sorte de passage pour les fabricants de dispositifs médicaux via le QSR en ce qui concerne leur soumission avant la commercialisation et ce que le [cybersecurity] les attentes sont des fabricants. »

Guide de projet remanié

Le projet de directives de la FDA publié le 6 avril, « Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions », couvre un large éventail de problèmes de conception, d’étiquetage et de documentation des dispositifs de cybersécurité que la FDA s’attend à voir traités par les fabricants dans leurs soumissions de précommercialisation. à l’agence.

Le nouveau projet de directives, pour lequel la FDA accepte les commentaires du public jusqu’au 7 juillet, remplace le projet de directives antérieur publié par la FDA en 2018. Ce projet de directives de 2018 proposait des mises à jour d’une directive finale publiée par la FDA en 2014, qui répondait aux attentes en matière de cybersécurité avant la commercialisation. à l’époque, dit la FDA.

Cependant, une fois le nouveau projet de directives de 2022 finalisé, il remplacera les directives de cybersécurité de 2014 de la FDA pour les dispositifs médicaux de précommercialisation, a déclaré Schwartz.

Feuille de route pour répondre aux attentes

Alors que les documents d’orientation de la FDA sont considérés comme non contraignants, le dernier projet de document – une fois finalisé – est destiné à fournir une feuille de route sur la manière dont les fabricants de dispositifs médicaux peuvent satisfaire aux exigences des réglementations QSR et de sécurité des patients de la FDA, et aborder les considérations de cybersécurité dans leurs soumissions de précommercialisation à la agence, selon Schwartz.

« Les directives fournissent ce que nous pensons être la feuille de route pour une plus grande efficacité pour répondre aux attentes de la FDA en matière de cybersécurité médicale avant la commercialisation », a-t-elle déclaré.

« Le non-respect des directives du côté de la précommercialisation soulèvera peut-être des questions supplémentaires que le [FDA] équipes d’examen [might] revenir à [manufacturers] avec cela, il faut beaucoup d’allers-retours pour obtenir des réponses à ces questions. »

Dans l’interview (voir le lien audio sous la photo), Schwartz évoque également :

  • Une législation bipartite – la loi Protecting and Transforming Cyber ​​Health Care, ou PATCH Act – récemment présentée au Congrès – qui, si elle est promulguée, pourrait habiliter la FDA à exiger des fabricants d’appareils qu’ils mettent en œuvre certaines exigences en matière de cybersécurité ;
  • La décision de la FDA d’abandonner une proposition précédente demandant aux fabricants d’inclure une « nomenclature des matériaux de cybersécurité » pour leurs appareils de précommercialisation en faveur d’un appel aux fabricants pour qu’ils fournissent une « nomenclature des logiciels » à la FDA et aux clients ;
  • Comment le projet de directives aborde la modélisation des menaces et les différents niveaux de risque de cybersécurité et les problèmes de sécurité des patients connexes pour différents types de dispositifs médicaux, tels que les dispositifs cardiaques implantables, les pompes à perfusion et d’autres produits ;
  • Une proposition pour les fabricants de fournir une documentation sur la cybersécurité pour les produits « d’exemption de dispositifs expérimentaux » qui sont utilisés dans des études cliniques avant la soumission à la FDA pour une autorisation de précommercialisation ;
  • D’autres changements importants dans le dernier projet de directives de la FDA par rapport aux directives antérieures de la FDA sur la cybersécurité pour la précommercialisation des dispositifs médicaux publiées en 2018 ;
  • Les dernières directives post-commercialisation de la FDA publiées en 2016 sur la manière dont les fabricants de dispositifs médicaux devraient contribuer à maintenir la cybersécurité des dispositifs connectés au réseau une fois qu’ils sont utilisés ;
  • La recrudescence des attaques de rançongiciels et d’autres cybermenaces en constante évolution auxquelles sont confrontés le secteur de la santé et de la santé publique.

Schwartz est le directeur du Bureau des partenariats stratégiques et de l’innovation technologique au Center for Devices and Radiological Health de la FDA, ou CDRH. Son travail dans le domaine de la cybersécurité des dispositifs médicaux comprend la sensibilisation, l’éducation, la sensibilisation, le partenariat et la création de coalitions au sein du secteur de la santé et de la santé publique, ainsi que la promotion de collaborations entre d’autres agences gouvernementales et le secteur privé. Elle préside également le groupe de travail sur la cybersécurité du CDRH, chargé de formuler la politique de cybersécurité des dispositifs médicaux de la FDA, et a été coprésidente du Conseil de coordination du gouvernement pour le secteur des infrastructures essentielles des soins de santé et de la santé publique.



Source

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.