Principes réglementaires pour la cybersécurité des dispositifs médicaux

3 minutes de lecture

Avec la convergence des technologies et la connectivité des dispositifs médicaux à divers réseaux, le risque d'exploitation de la cybersécurité augmente, ce qui affecte le fonctionnement du dispositif. Il est donc essentiel de disposer d'un système efficace de cybersécurité des dispositifs médicaux afin d'éviter les cyberattaques et de garantir la sécurité du fonctionnement des dispositifs médicaux. Il est conseillé à tous les acteurs du secteur des dispositifs médicaux d'harmoniser leurs approches en matière de cybersécurité tout au long du cycle de vie des dispositifs médicaux, depuis la conception du produit, les activités de gestion des risques, l'étiquetage des dispositifs, les exigences en matière de soumission réglementaire jusqu'au partage d'informations et aux activités post-commercialisation.

Il existe des principes réglementaires généraux pour la cybersécurité des dispositifs lors de leur développement, de leur réglementation, de leur utilisation et de leur contrôle. Ces principes sont censés avoir un impact positif sur la sécurité des patients lorsqu'ils sont respectés et mis en œuvre sans faille. Analysons-les ici.

Considérations préalables à la mise sur le marché : Il existe quelques éléments qu'un fabricant doit prendre en compte lors de la conception et du développement d'un dispositif médical avant sa mise sur le marché, et qui sont certainement appelés éléments de pré-commercialisation :

Concevoir des dispositifs de sécurité pour le produit
L'application de stratégies de gestion des risques reconnues
Tests de sécurité
Fourniture d'informations utiles aux utilisateurs pour qu'ils puissent utiliser l'appareil en toute sécurité
Un plan global pour les activités postérieures à la mise sur le marché

Gestion des risques pour le cycle de vie total du produit (TPLC) : Tout au long du cycle de vie d'un dispositif médical, les fabricants doivent envisager de s'imprégner de principes de gestion des risques solides, qui abordent les aspects liés à la sécurité et à la sûreté. Dans le processus de gestion des risques d'un dispositif médical, les éléments suivants doivent être pris en compte :

Un risque de cybersécurité qui a une incidence sur la sécurité et les performances essentielles du dispositif et
affecte négativement les opérations cliniques ou entraîne des erreurs diagnostiques ou thérapeutiques

Les fabricants doivent suivre les étapes suivantes dans le cadre de leur processus de gestion des risques :

Identifier toutes les vulnérabilités en matière de cybersécurité
Estimer et évaluer les risques associés
Maîtriser les risques à un niveau acceptable
surveiller et évaluer l'efficacité des contrôles des risques
Communiquer les risques aux principales parties prenantes par le biais d'une information coordonnée

L'étiquetage : En ce qui concerne les risques de cybersécurité, l'étiquetage joue un rôle important dans la communication aux utilisateurs finaux des informations relatives à la sécurité. Il comprend les éléments suivants :

Instructions relatives aux appareils et spécifications des produits concernant les contrôles de cybersécurité recommandés
appropriées à l'environnement d'utilisation prévu
Description des fonctions de sauvegarde et de restauration et procédures de récupération des configurations
Liste des ports réseau et autres interfaces qui sont censés recevoir et/ou envoyer des données,
description de la fonctionnalité du port et indication si les ports sont entrants ou sortants
Des diagrammes de système suffisamment détaillés pour les utilisateurs finaux

Documentation pour les soumissions réglementaires : Les fabricants de dispositifs médicaux doivent clairement documenter et résumer les activités liées à la cybersécurité. Pour évaluer le dispositif médical avant sa mise sur le marché, l'autorité de réglementation peut exiger ce type de documentation, en fonction de la classe de risque du dispositif, ou la demander pendant la phase post-commercialisation du cycle de vie du produit. Une documentation claire doit être soumise par le fabricant et doit décrire les caractéristiques de conception du dispositif, les activités de gestion des risques, les essais, l'étiquetage et les preuves d'un plan de surveillance et de réponse aux menaces émergentes tout au long du cycle de vie du produit.

Considérations postérieures à la mise sur le marché : Avec le temps, les vulnérabilités évoluent et les contrôles conçus et mis en œuvre avant la mise sur le marché peuvent s'avérer inadéquats pour maintenir un profil de risque acceptable. C'est pourquoi il est très important et nécessaire d'adopter une approche postérieure à la mise sur le marché, dans laquelle de multiples parties prenantes jouent un rôle clé. L'approche post-commercialisation couvre différents éléments, notamment le fonctionnement du dispositif dans l'environnement prévu, le partage d'informations, la divulgation coordonnée des vulnérabilités, l'amélioration des capacités de sécurité, la correction des vulnérabilités, la réponse aux incidents et les dispositifs existants. Selon la classe du dispositif, un rapport de surveillance post-commercialisation doit être préparé, résumant les résultats et les conclusions de toutes les analyses de données du marché.

Connaissant certains des principes de la cybersécurité des dispositifs, il est recommandé aux fabricants de mettre en œuvre un cadre réglementaire défini pour la cybersécurité des dispositifs médicaux. Avec l'augmentation du nombre de dispositifs médicaux connectés à l'internet et à d'autres réseaux, il existe un risque que des pirates informatiques se livrent à des activités malveillantes. Il est donc conseillé aux fabricants de dispositifs médicaux de rester vigilants et de suivre les meilleurs principes réglementaires en matière de cybersécurité. Votre gamme de dispositifs médicaux présente-t-elle des lacunes en matière de cybersécurité ? Consultez un expert en la matière. Restez informé. Restez en conformité.

Aspect	ÉTATS-UNIS	L'UE	Australie	Chine	EAU
Autorité de régulation	FDA	EFSA et autorités des États membres	FSANZ	SAMR & NHC	ESMA & MOHAP
Principaux règlements régissant la conformité	Federal Food, Drug, and Cosmetic Act (FFDCA) ; 21 CFR Part 110 (Current Good Manufacturing Practices)	Règlement (CE) n° 178/2002 (législation alimentaire générale) ; règlement (UE) n° 1169/2011 concernant l'information des consommateurs sur les denrées alimentaires.	Code des normes alimentaires (Australia New Zealand Food Standards Code)	Loi sur la sécurité alimentaire de la République populaire de Chine (révisée en 2015) ; normes GB pour la sécurité alimentaire	UAE.S GSO 9:2017 (Exigences générales du CCG pour les denrées alimentaires préemballées)
L'autorisation préalable à la mise sur le marché est-elle nécessaire ?	Pas d'approbation préalable à la mise sur le marché, sauf pour les nouveaux ingrédients, les additifs colorants ou les allégations spécifiques	Pas d'autorisation préalable à la mise sur le marché pour les denrées alimentaires générales, mais les nouveaux aliments ou les allégations de santé doivent être approuvés par l'EFSA.	Pas d'autorisation préalable à la mise sur le marché, sauf s'il s'agit d'un nouvel aliment ou d'une allégation de santé	L'enregistrement préalable à la mise sur le marché est requis pour les nouveaux aliments, les aliments diététiques ou les produits contenant de nouveaux ingrédients.	Une autorisation préalable à la mise sur le marché est requise pour certains aliments, produits de santé et produits contenant de nouveaux ingrédients.
Conformité de l'étiquetage des denrées alimentaires transformées / Exigences en matière d'étiquetage	Étiquetage obligatoire conformément aux directives de la FDA (valeur nutritive, déclaration des ingrédients, allergènes)	Doit être conforme au règlement de l'UE sur l'information alimentaire (1169/2011) ; comprend l'étiquetage des allergènes, de la nutrition et de l'origine.	Doit respecter le code des normes alimentaires de la FSANZ pour l'étiquetage ; des tableaux nutritionnels, des allergènes et des listes d'ingrédients sont requis.	Doit respecter la norme GB 7718-2011 (normes nationales de sécurité alimentaire) pour l'étiquetage, les informations nutritionnelles obligatoires, les allergènes et la durée de conservation.	Doit respecter l'OSG 9:2017 pour l'étiquetage des denrées alimentaires préemballées ; l'étiquetage en arabe, les allergènes et les informations nutritionnelles sont requis.
Calendrier d'inscription	Pas de délai fixe : les produits peuvent entrer sur le marché une fois qu'ils sont conformes.	Pas d'enregistrement formel, sauf s'il s'agit d'un nouvel aliment ; l'approbation de l'EFSA pour les allégations de santé prend de 12 à 18 mois.	Pas d'enregistrement formel, sauf s'il s'agit d'un nouvel aliment ou d'une allégation de santé	En général, 12 à 24 mois pour les nouveaux aliments, moins longtemps pour les aliments transformés ordinaires.	L'approbation peut prendre de 6 à 12 mois pour certains produits. Les aliments transformés ordinaires peuvent être mis sur le marché une fois que l'étiquette a été approuvée.

Services de réglementation des médicaments

Services de réglementation des dispositifs médicaux

Consommateurs

Freyr Digital

Garder une longueur d'avance grâce à nos solutions logicielles réglementaires innovantes

Principes réglementaires pour la cybersécurité des dispositifs médicaux

Principes réglementaires pour la cybersécurité des dispositifs médicaux

S'abonner au blog de Freyr

Blog récent

Tags du blog

Blogs associés

Comment pouvons-nous vous aider ?

Veuillez nous faire part de vos besoins et nous vous contacterons.