La bozza di guida del TGA per la sicurezza informatica dei dispositivi medici - Approfondimenti normativi per l'industria e punti salienti | Freyr - Società di servizi e soluzioni normative globali

2 minuti di lettura

Sebbene la digitalizzazione e l'Internet of Things (IoT) abbiano migliorato le prestazioni dei dispositivi medici, li hanno anche resi soggetti a vulnerabilità informatiche. Il malware e lo spyware che invadono i dispositivi sono in aumento. Gli hacker sono alla ricerca di falle nei dispositivi e nel relativo software, che consentono loro di corrompere i dispositivi per compromettere i dati degli utenti attraverso il malfunzionamento dei dispositivi. Tutte queste avversità ostacolano gli sforzi delle organizzazioni per proteggere i dati degli utenti e prevenire i danni.

Per affrontare la minaccia della sicurezza informatica dei dispositivi medici, tutte le autorità sanitarie aderenti all'International Medical Device Regulators Forum (IMDRF) hanno pubblicato bozze di documenti di orientamento con politiche di regolamentazione per la fase pre-market. Tuttavia, la Therapeutic Goods Administration (TGA) australiana ha anticipato la necessità di una regolamentazione anche nella fase post-marketing dei dispositivi e ha pubblicato una bozza di guida che copre l'intero ciclo di vita del prodotto (TPLC).

A chi si applica la guida?

L'approccio TPLC proposto dal TGA si concentra sull'aggiornamento continuo dei sistemi di gestione della qualità, delle procedure di gestione del rischio e delle procedure di gestione delle modifiche. Poiché la guida copre aspetti dello scenario pre e post-commercializzazione, i suoi regolamenti sono destinati a più parti interessate, elencate di seguito.

Produttori che sviluppano software-as-medical-devices (SaMD)
Produttori di dispositivi che includono componenti software vulnerabili alla cybersicurezza
Sponsor responsabili della fornitura di dispositivi in Australia
Operatori sanitari che utilizzano i dispositivi medici per la diagnosi e il trattamento dei pazienti
Ingegneri clinici e biomedici responsabili della gestione degli asset dei dispositivi in ambito sanitario e medico
Amministrazione generale e informatica responsabile di sistemi, procedure e processi nell'ambiente dei servizi sanitari e medici
Consumatori che utilizzano un dispositivo medico registrato
- sotto la guida di un professionista della salute e della medicina
- che non richiede la supervisione di un medico

Guida per l'industria dei dispositivi medici:

Oltre ad aiutare l'industria dei dispositivi medici a prepararsi alla cybersecurity, la guida sottolinea anche che i dispositivi devono essere inclusi nel Registro australiano dei prodotti terapeutici (ATRG) per poter essere commercializzati nel Paese. Tuttavia, l'inclusione nell'ARTG richiede considerazioni che coprono l'intero arco di vita di un dispositivo medico, suddiviso nelle seguenti quattro fasi:

Valutazione della conformità prima dell'immissione sul mercato
Autorizzazione al mercato tramite inserimento nell'ARTG
Monitoraggio post-vendita
Fine vita / ritiro dell'assistenza

Le linee guida affermano inoltre che i produttori sono gli unici responsabili di valutare e affrontare il rischio di cybersecurity del dispositivo sia nella fase precedente che in quella successiva alla commercializzazione. Nel farlo, devono tenere conto di alcune considerazioni in entrambe le configurazioni, tra cui:

Considerazioni preliminari alla commercializzazione: Queste considerazioni includono i rischi durante la progettazione e lo sviluppo dei dispositivi medici. Sono di tipo generale e tecnico.
- Considerazioni generali come l'approccio allo sviluppo, l'applicazione degli standard, le strategie di gestione del rischio, la valutazione della catena di approvvigionamento e la fornitura di informazioni agli utenti.
- Considerazioni tecniche come il test delle prestazioni di cybersecurity, l'architettura di progettazione modularizzata, la sicurezza della piattaforma operativa, il software emergente e l'accesso e la fornitura di contenuti affidabili.

Considerazioni post-market: Nell'ambito del regime post-commercializzazione, i produttori e gli sponsor di dispositivi sono tenuti a valutare e ad agire costantemente sul rischio di sicurezza informatica. Ciò include la comprensione dei rischi e delle minacce e la risposta ad essi quando si verificano.

Punti salienti della Guida:

Mentre gli altri enti regolatori dell'IMDRF hanno elencato i principi di sicurezza informatica prima dell'immissione sul mercato, il TGA ha fatto il passo più lungo della gamba e ha elencato 15 "principi essenziali", tra cui l'attenzione alla sicurezza a lungo termine. Inoltre, sono stati aggiunti altri otto principi essenziali alla guida per affrontare la prevenzione delle minacce informatiche. La guida evidenzia il quadro di riferimento per la sicurezza informatica sviluppato dal National Institute of Standards and Technology degli Stati Uniti. Include inoltre esempi comuni di vulnerabilità, standard noti che contribuiscono a rafforzare la sicurezza e istruzioni per gli utenti finali, gli studi clinici e le strutture sanitarie che utilizzano i dispositivi.

La bozza di guida comprende una serie completa di informazioni per mettere in atto l'approccio TLPC per i produttori di dispositivi medici. Tuttavia, la forma attuale della guida è destinata ai commenti e si prevedono modifiche nelle prossime versioni. Per rimanere conformi e sicuri, le parti interessate devono intraprendere le azioni necessarie con largo anticipo, con l'aiuto di un esperto di regolamentazione dei dispositivi medici. Siate conformi.

Aspetto	STATI UNITI D'AMERICA	UE	Australia	Cina	EMIRATI ARABI UNITI
Autorità di regolamentazione	FDA	EFSA e autorità degli Stati membri	FSANZ	SAMR E NHC	ESMA E MOHAP
Principali regolamenti che disciplinano la conformità	Federal Food, Drug, and Cosmetic Act (FFDCA); 21 CFR Part 110 (Current Good Manufacturing Practices)	Regolamento (CE) n. 178/2002 (legislazione alimentare generale); Regolamento (UE) n. 1169/2011 sulle informazioni sugli alimenti ai consumatori.	Codice degli standard alimentari (Australia New Zealand Food Standards Code)	Legge sulla sicurezza alimentare della Repubblica Popolare Cinese (revisione 2015); Standard GB per la sicurezza alimentare.	UAE.S GSO 9:2017 (Requisiti generali del CCG per gli alimenti preconfezionati)
È necessaria l'approvazione pre-commercializzazione?	Nessuna approvazione preliminare all'immissione sul mercato, tranne che per i nuovi ingredienti, gli additivi coloranti o le indicazioni specifiche.	Non vi è alcuna approvazione preliminare all'immissione sul mercato per gli alimenti generici, ma i nuovi alimenti o le indicazioni sulla salute richiedono l'approvazione dell'EFSA.	Nessuna approvazione preliminare all'immissione sul mercato, a meno che non si tratti di un nuovo alimento o di indicazioni sulla salute.	La registrazione preliminare all'immissione sul mercato è richiesta per i nuovi alimenti, gli alimenti salutari o i prodotti con nuovi ingredienti.	L'approvazione pre-commercializzazione è richiesta per alcuni alimenti, prodotti sanitari e prodotti con nuovi ingredienti.
Conformità dell'etichettatura degli alimenti trasformati / Requisiti di etichettatura	Etichettatura obbligatoria secondo le linee guida dell'FDA (fatti nutrizionali, dichiarazione degli ingredienti, allergeni).	Deve essere conforme al Regolamento UE sulle informazioni sugli alimenti (1169/2011); include l'etichettatura degli allergeni, della nutrizione e dell'origine.	Deve seguire il Codice degli standard alimentari FSANZ per l'etichettatura; sono richiesti pannelli nutrizionali, allergeni ed elenchi degli ingredienti.	Deve essere conforme a GB 7718-2011 (standard nazionali di sicurezza alimentare) per l'etichettatura; dati nutrizionali obbligatori, allergeni e durata di conservazione.	Deve seguire la GSO 9:2017 per l'etichettatura degli alimenti preconfezionati; è richiesta l'etichettatura araba, gli allergeni e i dati nutrizionali.
Tempistica per la registrazione	Non c'è una tempistica fissa: i prodotti possono entrare nel mercato una volta che sono conformi	Nessuna registrazione formale, a meno che non si tratti di un nuovo alimento; l'approvazione dell'EFSA per le indicazioni sulla salute richiede 12-18 mesi.	Nessuna registrazione formale, a meno che non si tratti di un nuovo alimento o di indicazioni sulla salute.	In genere, 12-24 mesi per i nuovi alimenti, più brevi per i normali alimenti trasformati.	L'approvazione può richiedere 6-12 mesi per alcuni prodotti. Gli alimenti trasformati regolari possono essere immessi sul mercato una volta ottenuta l'approvazione dell'etichetta.

Servizi di regolamentazione dei medicinali

Servizi normativi per i dispositivi medici

Servizi di regolamentazione dei cosmetici

Servizi normativi per gli integratori alimentari

Servizio prodotti alimentari

Conformità dei prodotti alimentari

Registrazione di nuovi alimenti

Servizi normativi per le sostanze chimiche

Servizi di regolamentazione dei medicinali

Servizi normativi per i dispositivi medici

Consumatori

Freyr Digital

Rimanete all'avanguardia con le nostre innovative soluzioni software per la normativa

La bozza di guida del TGA per la sicurezza informatica dei dispositivi medici - Approfondimenti normativi per l'industria e punti salienti

A chi si applica la guida?

Guida per l'industria dei dispositivi medici:

Punti salienti della Guida:

Iscriviti al blog di Freyr

Blog recente

Tag del blog

Blog correlati

Come possiamo aiutarvi?

Comunicateci le vostre esigenze e vi contatteremo.