Sauvegarde de la cybersécurité des dispositifs médicaux en Corée du Sud

5 minutes de lecture

La technologie continue de progresser, tout comme les dispositifs médicaux utilisés pour maintenir la vie. En Corée du Sud, divers types de dispositifs médicaux capables de communiquer ont été mis au point, mais ce développement s'accompagne d'un risque de menaces pour la cybersécurité, telles que le piratage des dispositifs médicaux et les fuites d'informations. Ces menaces ne s'appliquent pas seulement à la perte de biens, mais aussi à la vie des patients, et c'est pourquoi la sauvegarde de la cybersécurité des dispositifs médicaux est une préoccupation essentielle.

Pour répondre à ces préoccupations, le gouvernement sud-coréen a établi des lignes directrices pour l'approbation de la cybersécurité (Guide-0995-03 2023.07.13) et l'examen des dispositifs médicaux. La réglementation sud-coréenne sur les dispositifs médicaux vise à garantir la gestion de la sécurité des dispositifs médicaux capables de communiquer, et souligne à son tour l'importance de la cybersécurité pour les dispositifs médicaux.

Pourquoi des lignes directrices en matière de cybersécurité sont-elles nécessaires ?

Les dispositifs médicaux sont souvent implantés dans le corps des patients pour assurer des fonctions vitales, ce qui signifie que toute menace à la cybersécurité pourrait avoir des conséquences désastreuses, voire fatales. Les lignes directrices sur la cybersécurité des dispositifs médicaux visent à prévenir de telles menaces en garantissant la sécurité des dispositifs et la protection des données qu'ils transmettent.

Principaux éléments à prendre en compte pour l'adoption de nouvelles lignes directrices et de nouveaux guides

Les principales considérations à garder à l'esprit lors de l'adoption de nouvelles lignes directrices et de nouveaux guides sur la cybersécurité sont qu'il est important de clarifier la cible du dispositif médical, d'appliquer le dispositif en fonction de ses caractéristiques et de sécuriser la gestion de la sécurité si le dispositif est capable de communiquer. Les lignes directrices, qui visent à assurer une harmonisation internationale, reprennent et appliquent les principes et les lignes directrices sur la cybersécurité des dispositifs médicaux définis par l'International Medical Device Regulators Forum (IMDRF) (Principles and Practices for Medical Device Cybersecurity, IMDRF [2020]).

Principes de base de la cybersécurité des dispositifs médicaux

Les principes de base de la cybersécurité des dispositifs médicaux comprennent un ensemble de lignes directrices qui décrivent les principaux éléments à prendre en compte pour garantir la cybersécurité des dispositifs médicaux. Ils comprennent la disponibilité, la confidentialité et l'intégrité. Examinons brièvement ces trois (03) principes :

La disponibilité consiste à mettre les données immédiatement à la disposition des utilisateurs autorisés.
La confidentialité consiste à protéger les données contre tout accès non autorisé.
L'intégrité consiste à s'assurer que les données sont exactes et qu'elles n'ont pas été altérées.

Ces principes sont essentiels à la gestion de la cybersécurité des dispositifs médicaux, car ils contribuent à garantir la sûreté et la sécurité des dispositifs et des données qu'ils transmettent.

Processus de gestion des risques pour la cybersécurité des dispositifs médicaux

Les lignes directrices précisent que les fabricants doivent mettre en œuvre des processus appropriés de gestion des risques liés à la cybersécurité des dispositifs médicaux en Corée du Sud. Voici quelques aspects clés du processus de gestion des risques :

Ce processus doit comprendre l'identification des menaces potentielles pour la cybersécurité, l'évaluation des risques associés à ces menaces et l'élaboration de stratégies visant à atténuer ces risques.
Les fabricants doivent consigner le processus dans le rapport de gestion des risques.
Les fabricants doivent établir et maintenir une procédure systématique d'examen des informations relatives à la cybersécurité pendant les phases de production et de postproduction.
Les fabricants doivent définir des objectifs de cybersécurité avec des fonctions et des niveaux appropriés. En outre, ils doivent tenir compte des conséquences de l'évaluation et du traitement des risques.
L'accent est mis sur la collecte et l'analyse continues d'informations sur les intentions des clients internes et externes tout au long du cycle de vie des dispositifs médicaux. En outre, il est important que ces informations soient prises en compte dans la gestion des risques liés à la cybersécurité des dispositifs médicaux.

Application des exigences en matière de cybersécurité des dispositifs médicaux

Les lignes directrices consistent en un tableau contenant des exemples de considérations pour l'application des exigences en matière de cybersécurité des dispositifs médicaux en ce qui concerne l'assurance qualité et la conformité réglementaire des dispositifs médicaux. Le tableau comprend trois (03) catégories de considérations - majeures, modérées et mineures - qui sont expliquées ci-dessous :

Considération majeure : La considération majeure est la possibilité de blessures graves pour les patients, voire de décès, d'altération permanente des fonctions corporelles et de dommages permanents à la structure corporelle en raison d'atteintes à la cybersécurité des dispositifs médicaux.
Considération modérée : La considération modérée est que les atteintes à la cybersécurité des dispositifs médicaux peuvent entraîner des blessures mineures ou temporaires chez les patients, qui peuvent nécessiter une intervention médicale.
Considération mineure : La considération mineure est que les violations de la cybersécurité des dispositifs médicaux peuvent causer des désagréments temporaires ou des désagréments réversibles, mineurs et de courte durée aux patients, qui ne nécessitent pas d'intervention médicale.

Outre les catégories susmentionnées, le tableau comprend également des considérations relatives à la communication par câble, à la communication sans fil et aux risques de cybersécurité découlant de l'infraction.

Deux (02) listes de contrôle essentielles pour la cybersécurité des dispositifs médicaux

Liste de contrôle pour les exigences en matière de cybersécurité des dispositifs médicaux :

Les fabricants doivent utiliser cette liste de contrôle lorsqu'ils examinent leurs dispositifs médicaux au regard des exigences de cybersécurité.
Ils doivent remplir le formulaire en fonction des caractéristiques de leurs appareils respectifs.
Le formulaire permet de confirmer que les fabricants ont satisfait à toutes les exigences en matière de cybersécurité.
La liste de contrôle comprend le "document de gestion des risques de cybersécurité" et les "données de vérification et de validation du logiciel".

Le tableau ci-dessous (tableau 1) présente la liste de contrôle de la cybersécurité des dispositifs médicaux en Corée du Sud.

Tableau 1 : Liste de contrôle pour la cybersécurité des dispositifs médicaux en Corée du Sud

	Exigences en matière de cybersécurité	Applicabilité du dispositif correspondant	Compatibilité Méthode de preuve utilisée	Numéro du document ou du document joint correspondant
Communication sur la sécurité	Les fabricants devraient indiquer comment connecter leurs dispositifs médicaux via Internet, Bluetooth, etc., ainsi que les caractéristiques de conception et la sécurité des données transférées.	XXX	XXX	XXX
Protection des données des appareils	Les fabricants doivent décider si leurs appareils nécessitent un cryptage ou une messagerie protégée. au niveau du système afin de déterminer si des caractéristiques de conception sont nécessaires pour garantir la non-répudiation des données.	XXX	XXX	XXX
Intégrité du dispositif	Les fabricants doivent prendre en compte les risques pour l'intégrité des dispositifs, tels que les modifications non autorisées. Ils doivent se méfier des logiciels, des virus, des logiciels espions, etc.	XXX	XXX	XXX
Certification des utilisateurs	Quelques exemples d'accès des utilisateurs sont les mots de passe, les clés matérielles, l'authentification en chaîne brute, etc.	XXX	XXX	XXX
Numéro de maintenance du logiciel	Les fabricants devraient envisager de fournir aux utilisateurs tous les détails des mises à jour, les calendriers et les exigences.	XXX	XXX	XXX

Liste de contrôle pour l'établissement/la révision de lignes directrices/guides :

Les fabricants doivent utiliser cette liste de contrôle lorsqu'ils établissent ou révisent des lignes directrices ou des guides.
Ils doivent vérifier si le contenu s'écarte des lois supérieures et s'il établit/renforce de nouvelles réglementations ou restreint les plaintes civiles sensibles.
Si la réponse est "oui" à la question de savoir si elle établit/renforce de nouvelles réglementations, ils doivent supprimer le contenu qui s'écarte du statut supérieur et poursuivre le processus d'établissement et de révision des lignes directrices et des guides.
La liste de contrôle comprend la désignation des lignes directrices ou des guides et la vérification des éléments liés aux considérations relatives à l'application.

Soumission de données pour la cybersécurité des dispositifs médicaux

Les lignes directrices définissent des exigences spécifiques pour la soumission de données relatives à la cybersécurité des dispositifs médicaux. Les données soumises doivent répondre aux critères suivants pour l'approbation des dispositifs médicaux :

Les données doivent être liées à des dispositifs médicaux capables de communiquer sans fil ou disposant d'une voie de communication.
Parmi les données relatives à la performance des appels, les fabricants doivent soumettre les "Données de vérification et de validation du logiciel" et le "Rapport de vérification de la conformité du logiciel des dispositifs médicaux".
Les informations soumises ne doivent pas être falsifiées, ne doivent pas présenter de dysfonctionnement et ne doivent pas être approuvées pour des dispositifs médicaux.
Les fabricants doivent appliquer des exigences de cybersécurité comme contre-mesure pour empêcher l'accès non autorisé aux dispositifs médicaux.
Les fabricants doivent confirmer la conformité aux exigences de cybersécurité des dispositifs médicaux en soumettant la "liste de contrôle des exigences de cybersécurité des dispositifs médicaux" et les documents qui vérifient les exigences de la liste de contrôle.
Les fabricants peuvent présenter une demande en excluant ou en modifiant certaines exigences par le biais d'une analyse des risques ; les données pertinentes doivent être soumises avec le "document de gestion des risques liés à la cybersécurité", conformément à l'article 26 des lignes directrices.

Dans l'ensemble, les lignes directrices relatives à l'approbation et à l'examen de la cybersécurité des dispositifs médicaux constituent une ressource précieuse pour les fabricants, les utilisateurs et les autorités de réglementation, car elles contribuent à garantir la sûreté et la sécurité des dispositifs médicaux. Si vous êtes un fabricant souhaitant vendre vos dispositifs médicaux en Corée du Sud, vous devez vous assurer que vos dispositifs répondent aux exigences de cybersécurité décrites dans les lignes directrices. Notre équipe d'experts peut vous aider à vous y retrouver dans la réglementation sud-coréenne sur les dispositifs médicaux ; elle veillera à ce que vos dispositifs répondent aux exigences de cybersécurité et à ce que vous soumettiez les données nécessaires à l'approbation et à l'examen. Contactez Freyr pour en savoir plus sur la façon dont nous pouvons vous aider à protéger la cybersécurité de vos dispositifs médicaux en Corée du Sud. Restez informé ! Restez en conformité !

Aspect	ÉTATS-UNIS	L'UE	Australie	Chine	EAU
Autorité de régulation	FDA	EFSA et autorités des États membres	FSANZ	SAMR & NHC	ESMA & MOHAP
Principaux règlements régissant la conformité	Federal Food, Drug, and Cosmetic Act (FFDCA) ; 21 CFR Part 110 (Current Good Manufacturing Practices)	Règlement (CE) n° 178/2002 (législation alimentaire générale) ; règlement (UE) n° 1169/2011 concernant l'information des consommateurs sur les denrées alimentaires.	Code des normes alimentaires (Australia New Zealand Food Standards Code)	Loi sur la sécurité alimentaire de la République populaire de Chine (révisée en 2015) ; normes GB pour la sécurité alimentaire	UAE.S GSO 9:2017 (Exigences générales du CCG pour les denrées alimentaires préemballées)
L'autorisation préalable à la mise sur le marché est-elle nécessaire ?	Pas d'approbation préalable à la mise sur le marché, sauf pour les nouveaux ingrédients, les additifs colorants ou les allégations spécifiques	Pas d'autorisation préalable à la mise sur le marché pour les denrées alimentaires générales, mais les nouveaux aliments ou les allégations de santé doivent être approuvés par l'EFSA.	Pas d'autorisation préalable à la mise sur le marché, sauf s'il s'agit d'un nouvel aliment ou d'une allégation de santé	L'enregistrement préalable à la mise sur le marché est requis pour les nouveaux aliments, les aliments diététiques ou les produits contenant de nouveaux ingrédients.	Une autorisation préalable à la mise sur le marché est requise pour certains aliments, produits de santé et produits contenant de nouveaux ingrédients.
Conformité de l'étiquetage des denrées alimentaires transformées / Exigences en matière d'étiquetage	Étiquetage obligatoire conformément aux directives de la FDA (valeur nutritive, déclaration des ingrédients, allergènes)	Doit être conforme au règlement de l'UE sur l'information alimentaire (1169/2011) ; comprend l'étiquetage des allergènes, de la nutrition et de l'origine.	Doit respecter le code des normes alimentaires de la FSANZ pour l'étiquetage ; des tableaux nutritionnels, des allergènes et des listes d'ingrédients sont requis.	Doit respecter la norme GB 7718-2011 (normes nationales de sécurité alimentaire) pour l'étiquetage, les informations nutritionnelles obligatoires, les allergènes et la durée de conservation.	Doit respecter l'OSG 9:2017 pour l'étiquetage des denrées alimentaires préemballées ; l'étiquetage en arabe, les allergènes et les informations nutritionnelles sont requis.
Calendrier d'inscription	Pas de délai fixe : les produits peuvent entrer sur le marché une fois qu'ils sont conformes.	Pas d'enregistrement formel, sauf s'il s'agit d'un nouvel aliment ; l'approbation de l'EFSA pour les allégations de santé prend de 12 à 18 mois.	Pas d'enregistrement formel, sauf s'il s'agit d'un nouvel aliment ou d'une allégation de santé	En général, 12 à 24 mois pour les nouveaux aliments, moins longtemps pour les aliments transformés ordinaires.	L'approbation peut prendre de 6 à 12 mois pour certains produits. Les aliments transformés ordinaires peuvent être mis sur le marché une fois que l'étiquette a été approuvée.

Services de réglementation des médicaments

Services de réglementation des dispositifs médicaux

Services de réglementation des cosmétiques

Services de réglementation des compléments alimentaires

Service des produits alimentaires

Conformité des produits alimentaires

Enregistrement des nouveaux aliments

Services de réglementation des produits chimiques

Services de réglementation des médicaments

Services de réglementation des dispositifs médicaux

Consommateurs

Freyr Digital

Garder une longueur d'avance grâce à nos solutions logicielles réglementaires innovantes

Pourquoi des lignes directrices en matière de cybersécurité sont-elles nécessaires ?

Principaux éléments à prendre en compte pour l'adoption de nouvelles lignes directrices et de nouveaux guides

Principes de base de la cybersécurité des dispositifs médicaux

Processus de gestion des risques pour la cybersécurité des dispositifs médicaux

Application des exigences en matière de cybersécurité des dispositifs médicaux

Deux (02) listes de contrôle essentielles pour la cybersécurité des dispositifs médicaux

Liste de contrôle pour les exigences en matière de cybersécurité des dispositifs médicaux :

Tableau 1 : Liste de contrôle pour la cybersécurité des dispositifs médicaux en Corée du Sud

Liste de contrôle pour l'établissement/la révision de lignes directrices/guides :

Soumission de données pour la cybersécurité des dispositifs médicaux

S'abonner au blog de Freyr

Blog récent

Tags du blog

Blogs associés

Comment pouvons-nous vous aider ?

Veuillez nous faire part de vos besoins et nous vous contacterons.