Salvaguardare la sicurezza informatica dei dispositivi medici in Corea del Sud | Freyr - Società di servizi e soluzioni normative globali

Salvaguardia della sicurezza informatica dei dispositivi medici in Corea del Sud

5 minuti di lettura

Con il progredire della tecnologia, anche i dispositivi medici utilizzati per sostenere la vita sono in continuo aumento. In Corea del Sud sono stati sviluppati diversi tipi di dispositivi medici in grado di comunicare, ma questo sviluppo è accompagnato dal rischio di minacce alla sicurezza informatica, come l'hacking dei dispositivi medici e la fuga di informazioni. Queste minacce non riguardano solo la perdita di proprietà, ma anche la vita dei pazienti, ed è per questo che la salvaguardia della sicurezza informatica dei dispositivi medici è una preoccupazione fondamentale.

Per rispondere a queste preoccupazioni, il governo sudcoreano ha stabilito delle linee guida per l'approvazione e la revisione dei dispositivi medici in materia di cybersicurezza (Guide-0995-03 2023.07.13). Le norme sudcoreane sui dispositivi medici mirano a garantire la gestione della sicurezza dei dispositivi medici in grado di comunicare e, a loro volta, evidenziano l'importanza della cybersecurity per i dispositivi medici.

Perché sono necessarie le linee guida sulla sicurezza informatica?

I dispositivi medici sono spesso impiantati all'interno del corpo dei pazienti per svolgere funzioni di supporto vitale, il che significa che qualsiasi minaccia alla sicurezza informatica potrebbe avere conseguenze terribili, persino fatali. Le linee guida sulla sicurezza informatica dei dispositivi medici mirano a prevenire tali minacce garantendo la sicurezza dei dispositivi e la protezione dei dati che trasmettono.

Considerazioni chiave per l'adozione di nuove linee guida e guide

Le considerazioni chiave da tenere a mente quando si emanano nuove linee guida e guide sulla cybersecurity sono che è importante chiarire l'obiettivo del dispositivo medico, applicare il dispositivo in base alle sue caratteristiche e garantire la gestione della sicurezza se il dispositivo è in grado di comunicare. Le linee guida, finalizzate all'armonizzazione internazionale, hanno preso in prestito e applicato considerazioni dai Principi e dalle Linee guida sulla cybersecurity dei dispositivi medici stabiliti dall'International Medical Device Regulators Forum (IMDRF) (Principles and Practices for Medical Device Cybersecurity, IMDRF [2020]).

Principi di base della sicurezza informatica dei dispositivi medici

I principi di base della sicurezza informatica dei dispositivi medici comprendono una serie di linee guida che delineano le considerazioni chiave per garantire la sicurezza informatica dei dispositivi medici. Essi comprendono disponibilità, riservatezza e integrità. Vediamo brevemente questi tre (03) principi:

La disponibilità si riferisce alla messa a disposizione immediata dei dati agli utenti autorizzati.
La riservatezza si riferisce alla protezione dei dati da accessi non autorizzati.
L'integrità si riferisce alla garanzia che i dati siano accurati e non siano stati manomessi.

Questi principi sono fondamentali per la gestione della cybersecurity dei dispositivi medici, in quanto contribuiscono a garantire la sicurezza dei dispositivi e dei dati che trasmettono.

Processo di gestione del rischio per la sicurezza informatica dei dispositivi medici

Le linee guida specificano che i produttori devono eseguire processi di gestione del rischio di cybersecurity appropriati per la cybersecurity dei dispositivi medici in Corea del Sud. Ecco alcuni aspetti chiave del processo di gestione del rischio:

Il processo dovrebbe prevedere l'identificazione delle potenziali minacce alla sicurezza informatica, la valutazione dei rischi associati alle minacce e lo sviluppo di strategie per mitigare i rischi.
I produttori devono registrare il processo nella relazione sulla gestione del rischio.
I produttori devono stabilire e mantenere una procedura sistematica per la revisione delle informazioni di cybersecurity durante le fasi di produzione e post-produzione.
I produttori devono stabilire obiettivi di cybersecurity con funzioni e livelli adeguati. Inoltre, devono considerare le conseguenze della valutazione e del trattamento del rischio.
L'accento è posto sulla raccolta e l'analisi continua di informazioni sulle intenzioni dei clienti interni ed esterni durante l'intero ciclo di vita dei dispositivi medici. Inoltre, è importante che queste informazioni si riflettano nella gestione del rischio di cybersecurity dei dispositivi medici.

Applicazione dei requisiti di sicurezza informatica dei dispositivi medici

Le linee guida consistono in una tabella con esempi di considerazioni per l'applicazione dei requisiti di cybersecurity dei dispositivi medici in relazione all'assicurazione della qualità dei dispositivi medici e alla conformità normativa. La tabella comprende tre (03) categorie di considerazioni - maggiori, moderate e minori - che vengono illustrate di seguito:

Considerazione principale: La considerazione principale è la possibilità di lesioni gravi ai pazienti, o addirittura di morte, di compromissione permanente delle funzioni corporee e di danni permanenti alla struttura corporea a causa di violazioni della sicurezza informatica dei dispositivi medici.
Considerazione moderata: La considerazione moderata è che le violazioni della cybersicurezza dei dispositivi medici possono causare lesioni minori o temporanee ai pazienti, che possono richiedere un intervento medico.
Considerazione minore: La considerazione minore è che le violazioni della cybersicurezza dei dispositivi medici possono causare inconvenienti temporanei o disagi reversibili, minori e di breve durata ai pazienti, che non richiedono un intervento medico.

Oltre alle categorie di cui sopra, la tabella include anche considerazioni relative alle comunicazioni via cavo, alle comunicazioni wireless e ai rischi di cybersecurity che si verificano a causa di una violazione.

Due (02) liste di controllo fondamentali per la sicurezza informatica dei dispositivi medici

Lista di controllo per i requisiti di sicurezza informatica dei dispositivi medici:

I produttori devono utilizzare questa lista di controllo per verificare i requisiti di cybersecurity dei loro dispositivi medici.
Essi devono compilare il modulo in base alle caratteristiche dei rispettivi dispositivi.
Il modulo è la base per confermare che i produttori hanno soddisfatto tutti i requisiti di cybersecurity.
La lista di controllo comprende il "Documento di gestione del rischio di sicurezza informatica" e i "Dati di verifica e convalida del software".

La tabella seguente (Tabella 1) illustra la lista di controllo della cybersecurity dei dispositivi medici in Corea del Sud.

Tabella 1: Lista di controllo per la sicurezza informatica dei dispositivi medici in Corea del Sud

	Requisiti di sicurezza informatica	Applicabilità del dispositivo corrispondente	Metodo di prova della compatibilità utilizzato	Numero del documento o del corrispondente documento allegato
Comunicazione di sicurezza	I produttori dovrebbero indicare le modalità di connessione dei loro dispositivi medici via Internet, Bluetooth, ecc. nonché le caratteristiche di progettazione e la sicurezza dei dati tradotti.	XXX	XXX	XXX
Protezione dei dati del dispositivo	I produttori devono decidere se i loro dispositivi necessitano di crittografia o di messaggistica protetta; devono inoltre valutare la architettura a livello di sistema per determinare se sono necessarie caratteristiche di progettazione per garantire la non ripudiabilità dei dati.	XXX	XXX	XXX
Integrità del dispositivo	I produttori devono considerare i rischi per l'integrità dei dispositivi, come le modifiche non autorizzate. Devono prestare attenzione a software, virus, spyware, ecc.	XXX	XXX	XXX
Certificazione utente	Alcuni esempi di accesso degli utenti controllo sono le password, le chiavi hardware, l'autenticazione a catena grezza, ecc.	XXX	XXX	XXX
Numero di manutenzione del software	I produttori dovrebbero prendere in considerazione la possibilità di fornire agli utenti tutti i dettagli degli aggiornamenti, le tempistiche e i requisiti.	XXX	XXX	XXX

Lista di controllo per la creazione/revisione di linee guida/manuali:

I produttori devono utilizzare questa lista di controllo quando stabiliscono o rivedono le linee guida o i manuali.
Devono verificare se il contenuto si discosta dalle leggi superiori e se stabilisce/rafforza nuove norme o limita le denunce civili sensibili.
Se la risposta è "sì" alla domanda se stabilisce/rafforza nuovi regolamenti, devono eliminare i contenuti che si discostano dallo statuto superiore e procedere con il processo di definizione e revisione delle linee guida e delle guide.
La lista di controllo comprende la designazione delle linee guida o dei manuali e la verifica delle voci relative alle considerazioni sull'applicazione.

Presentazione dei dati per la sicurezza informatica dei dispositivi medici

Le linee guida stabiliscono requisiti specifici per la presentazione di dati relativi alla cybersicurezza dei dispositivi medici. I dati presentati devono soddisfare i seguenti criteri per l'approvazione dei dispositivi medici:

I dati devono essere relativi a dispositivi medici in grado di comunicare senza fili o dotati di un percorso di comunicazione.
Tra i dati sulle prestazioni della chiamata, i produttori devono presentare i "Dati di verifica e convalida del software" e il "Rapporto di verifica della conformità del software dei dispositivi medici".
Le informazioni presentate non devono essere falsificate, malfunzionanti o approvate per i dispositivi medici.
I produttori devono applicare i requisiti di cybersecurity come contromisura per prevenire l'accesso non autorizzato ai dispositivi medici.
I produttori devono confermare la conformità ai requisiti di cybersecurity dei dispositivi medici presentando la "Medical Device Cybersecurity Requirements Checklist" (lista di controllo dei requisiti di cybersecurity dei dispositivi medici) e i materiali che verificano i requisiti della lista di controllo.
I produttori possono richiedere l'esclusione o la modifica di alcuni dei requisiti attraverso l'analisi dei rischi; i dati pertinenti devono essere presentati con il "Documento di gestione dei rischi per la sicurezza informatica", secondo l'articolo 26 delle linee guida.

Nel complesso, le linee guida per l'approvazione e la revisione della sicurezza informatica dei dispositivi medici rappresentano una risorsa preziosa per i produttori, gli utenti e le autorità di regolamentazione, in quanto contribuiscono a garantire la sicurezza dei dispositivi medici. Se siete un produttore che desidera vendere i propri dispositivi medici in Corea del Sud, dovete assicurarvi che i vostri dispositivi soddisfino i requisiti di sicurezza informatica delineati nelle linee guida. Il nostro team di esperti può aiutarvi a districarvi nella normativa sudcoreana sui dispositivi medici, assicurandosi che i vostri dispositivi soddisfino i requisiti di cybersecurity e che presentiate i dati necessari per l'approvazione e la revisione. Contattate Freyr per saperne di più su come possiamo aiutarvi a salvaguardare la sicurezza informatica dei vostri dispositivi medici in Corea del Sud. Rimanete informati! Rimanete conformi!

Aspetto	STATI UNITI D'AMERICA	UE	Australia	Cina	EMIRATI ARABI UNITI
Autorità di regolamentazione	FDA	EFSA e autorità degli Stati membri	FSANZ	SAMR E NHC	ESMA E MOHAP
Principali regolamenti che disciplinano la conformità	Federal Food, Drug, and Cosmetic Act (FFDCA); 21 CFR Part 110 (Current Good Manufacturing Practices)	Regolamento (CE) n. 178/2002 (legislazione alimentare generale); Regolamento (UE) n. 1169/2011 sulle informazioni sugli alimenti ai consumatori.	Codice degli standard alimentari (Australia New Zealand Food Standards Code)	Legge sulla sicurezza alimentare della Repubblica Popolare Cinese (revisione 2015); Standard GB per la sicurezza alimentare.	UAE.S GSO 9:2017 (Requisiti generali del CCG per gli alimenti preconfezionati)
È necessaria l'approvazione pre-commercializzazione?	Nessuna approvazione preliminare all'immissione sul mercato, tranne che per i nuovi ingredienti, gli additivi coloranti o le indicazioni specifiche.	Non vi è alcuna approvazione preliminare all'immissione sul mercato per gli alimenti generici, ma i nuovi alimenti o le indicazioni sulla salute richiedono l'approvazione dell'EFSA.	Nessuna approvazione preliminare all'immissione sul mercato, a meno che non si tratti di un nuovo alimento o di indicazioni sulla salute.	La registrazione preliminare all'immissione sul mercato è richiesta per i nuovi alimenti, gli alimenti salutari o i prodotti con nuovi ingredienti.	L'approvazione pre-commercializzazione è richiesta per alcuni alimenti, prodotti sanitari e prodotti con nuovi ingredienti.
Conformità dell'etichettatura degli alimenti trasformati / Requisiti di etichettatura	Etichettatura obbligatoria secondo le linee guida dell'FDA (fatti nutrizionali, dichiarazione degli ingredienti, allergeni).	Deve essere conforme al Regolamento UE sulle informazioni sugli alimenti (1169/2011); include l'etichettatura degli allergeni, della nutrizione e dell'origine.	Deve seguire il Codice degli standard alimentari FSANZ per l'etichettatura; sono richiesti pannelli nutrizionali, allergeni ed elenchi degli ingredienti.	Deve essere conforme a GB 7718-2011 (standard nazionali di sicurezza alimentare) per l'etichettatura; dati nutrizionali obbligatori, allergeni e durata di conservazione.	Deve seguire la GSO 9:2017 per l'etichettatura degli alimenti preconfezionati; è richiesta l'etichettatura araba, gli allergeni e i dati nutrizionali.
Tempistica per la registrazione	Non c'è una tempistica fissa: i prodotti possono entrare nel mercato una volta che sono conformi	Nessuna registrazione formale, a meno che non si tratti di un nuovo alimento; l'approvazione dell'EFSA per le indicazioni sulla salute richiede 12-18 mesi.	Nessuna registrazione formale, a meno che non si tratti di un nuovo alimento o di indicazioni sulla salute.	In genere, 12-24 mesi per i nuovi alimenti, più brevi per i normali alimenti trasformati.	L'approvazione può richiedere 6-12 mesi per alcuni prodotti. Gli alimenti trasformati regolari possono essere immessi sul mercato una volta ottenuta l'approvazione dell'etichetta.

Servizi di regolamentazione dei medicinali

Servizi normativi per i dispositivi medici

Servizi di regolamentazione dei cosmetici

Servizi normativi per gli integratori alimentari

Servizio prodotti alimentari

Conformità dei prodotti alimentari

Registrazione di nuovi alimenti

Servizi normativi per le sostanze chimiche

Servizi di regolamentazione dei medicinali

Servizi normativi per i dispositivi medici

Consumatori

Freyr Digital

Rimanete all'avanguardia con le nostre innovative soluzioni software per la normativa

Salvaguardia della sicurezza informatica dei dispositivi medici in Corea del Sud

Perché sono necessarie le linee guida sulla sicurezza informatica?

Considerazioni chiave per l'adozione di nuove linee guida e guide

Principi di base della sicurezza informatica dei dispositivi medici

Processo di gestione del rischio per la sicurezza informatica dei dispositivi medici

Applicazione dei requisiti di sicurezza informatica dei dispositivi medici

Due (02) liste di controllo fondamentali per la sicurezza informatica dei dispositivi medici

Lista di controllo per i requisiti di sicurezza informatica dei dispositivi medici:

Tabella 1: Lista di controllo per la sicurezza informatica dei dispositivi medici in Corea del Sud

Lista di controllo per la creazione/revisione di linee guida/manuali:

Presentazione dei dati per la sicurezza informatica dei dispositivi medici

Iscriviti al blog di Freyr

Blog recente

Tag del blog

Blog correlati

Come possiamo aiutarvi?

Comunicateci le vostre esigenze e vi contatteremo.