Zasady regulacyjne dotyczące cyberbezpieczeństwa urządzeń medycznych

3 min read

Wraz z konwergencją technologii i łącznością urządzeń medycznych z różnymi sieciami, istnieje zwiększone ryzyko wykorzystania cyberbezpieczeństwa, co wpływa na działanie urządzenia. W związku z tym niezbędne jest posiadanie skutecznego systemu cyberbezpieczeństwa urządzeń medycznych, aby uniknąć cyberataków i zapewnić bezpieczne funkcjonowanie urządzeń medycznych. Wszystkim interesariuszom wyrobów medycznych zaleca się zharmonizowanie swoich podejść do cyberbezpieczeństwa w całym cyklu życia wyrobów medycznych, począwszy od projektowania produktu, działań związanych z zarządzaniem ryzykiem, etykietowania urządzeń, wymogów regulacyjnych dotyczących składania wniosków, a skończywszy na wymianie informacji i działaniach po wprowadzeniu do obrotu.

Istnieją pewne ogólne zasady regulacyjne dotyczące cyberbezpieczeństwa urządzeń podczas ich opracowywania, regulowania, używania i monitorowania. Oczekuje się, że zasady te będą miały pozytywny wpływ na bezpieczeństwo pacjenta, jeśli będą przestrzegane i wdrażane bezbłędnie. Przeanalizujmy je tutaj.

Zasady regulacyjne dotyczące cyberbezpieczeństwa wyrobów medycznych

Uwagi przed wprowadzeniem na rynek: Istnieje kilka elementów, którymi producent musi się zająć podczas projektowania i opracowywania urządzenia medycznego przed jego wprowadzeniem na rynek, które są z pewnością nazywane elementami przedrynkowymi, a które obejmują:

Projektowanie funkcji bezpieczeństwa dla produktu
Stosowanie przyjętych strategii zarządzania ryzykiem
Testy bezpieczeństwa
Dostarczanie użytkownikom informacji przydatnych do bezpiecznej obsługi urządzenia
Kompleksowy plan działań po wprowadzeniu do obrotu

Zarządzanie ryzykiem w całym cyklu życia produktu (TPLC): W całym cyklu życia wyrobu medycznego producenci muszą rozważyć wdrożenie solidnych zasad zarządzania ryzykiem, które powinny uwzględniać aspekty bezpieczeństwa i ochrony. W procesie zarządzania ryzykiem urządzenia medycznego należy wziąć pod uwagę następujące kwestie:

Ryzyko cyberbezpieczeństwa, które ma wpływ na bezpieczeństwo urządzenia i jego podstawowe działanie oraz
Negatywnie wpływa na działania kliniczne lub powoduje błędy diagnostyczne lub terapeutyczne

Producenci muszą stosować następujące kroki w ramach procesu zarządzania ryzykiem:

Identyfikacja każdej luki w cyberbezpieczeństwie
Oszacowanie i ocena powiązanego ryzyka
Kontrola ryzyka do akceptowalnego poziomu
Monitorowanie i ocena skuteczności kontroli ryzyka
Komunikowanie ryzyka kluczowym interesariuszom poprzez skoordynowane ujawnianie informacji

Etykietowanie: W odniesieniu do zagrożeń dla cyberbezpieczeństwa, etykietowanie odgrywa ważną rolę w przekazywaniu użytkownikom końcowym informacji na temat bezpieczeństwa. Obejmuje ono następujące elementy:

Instrukcje dotyczące urządzeń i specyfikacje produktów związane z zalecanymi kontrolami cyberbezpieczeństwa
odpowiednie dla zamierzonego środowiska użytkowania
Opis funkcji tworzenia kopii zapasowych i przywracania oraz procedury odzyskiwania konfiguracji
Lista portów sieciowych i innych interfejsów, które mają odbierać i/lub wysyłać dane,
opis funkcjonalności portów oraz to, czy porty są przychodzące czy wychodzące
Wystarczająco szczegółowe schematy systemu dla użytkowników końcowych

Dokumentacja na potrzeby zgłoszeń do organów regulacyjnych: Producenci urządzeń medycznych muszą jasno dokumentować i podsumowywać działania związane z cyberbezpieczeństwem. Aby ocenić wyrób medyczny przed wprowadzeniem na rynek, organ regulacyjny może wymagać tego rodzaju dokumentacji, w zależności od klasy ryzyka wyrobu lub może zażądać jej w fazie po wprowadzeniu produktu na rynek. Wyraźna dokumentacja powinna zostać przedłożona przez producenta i powinna opisywać cechy konstrukcyjne wyrobu, działania związane z zarządzaniem ryzykiem, testowanie, etykietowanie i dowody planu monitorowania i reagowania na pojawiające się zagrożenia w całym cyklu życia produktu.

Uwagi po wprowadzeniu do obrotu: W miarę upływu czasu podatności na zagrożenia zmieniają się w czasie, a kontrole przed wprowadzeniem do obrotu, które zostały zaprojektowane i wdrożone, mogą być niewystarczające do utrzymania akceptowalnego profilu ryzyka. Dlatego bardzo ważne i niezbędne jest podejście po wprowadzeniu produktu do obrotu, w którym kluczową rolę odgrywa wiele zainteresowanych stron. Podejście po wprowadzeniu do obrotu obejmuje różne elementy i obejmuje działanie urządzenia w zamierzonym środowisku, wymianę informacji, skoordynowane ujawnianie luk w zabezpieczeniach, zwiększanie możliwości w zakresie bezpieczeństwa, usuwanie luk w zabezpieczeniach, reagowanie na incydenty i starsze urządzenia. W zależności od klasy urządzenia należy przygotować raport z nadzoru po wprowadzeniu na rynek (PMS), podsumowujący wyniki i wnioski z analizy wszystkich danych z rynku.

Znając niektóre zasady cyberbezpieczeństwa urządzeń, producentom zaleca się wdrożenie określonych ram regulacyjnych dla cyberbezpieczeństwa urządzeń medycznych. Wraz ze wzrostem liczby urządzeń medycznych podłączonych do Internetu i innych sieci, istnieje ryzyko, że hakerzy mogą pozwolić sobie na niecne działania. W związku z tym producentom wyrobów medycznych zaleca się zachowanie czujności i przestrzeganie najlepszych zasad regulacyjnych dotyczących cyberbezpieczeństwa. Czy masz do czynienia z lukami w cyberbezpieczeństwie w swojej linii urządzeń medycznych? Skonsultuj się z ekspertem ds. urządzeń. Bądź na bieżąco. Zachowaj zgodność z przepisami.

Aspekt	USA	UE	Australia	Chiny	ZJEDNOCZONE EMIRATY ARABSKIE
Organ regulacyjny	FDA	EFSA i władze państw członkowskich	FSANZ	SAMR I NHC	ESMA I MOHAP
Główne przepisy dotyczące zgodności	Federalna ustawa o żywności, lekach i kosmetykach (FFDCA); 21 CFR część 110 (bieżące dobre praktyki produkcyjne)	Rozporządzenie (WE) nr 178/2002 (ogólne prawo żywnościowe); rozporządzenie (UE) nr 1169/2011 w sprawie przekazywania konsumentom informacji na temat żywności.	Kodeks standardów żywności (Australia New Zealand Food Standards Code)	Ustawa o bezpieczeństwie żywności Chińskiej Republiki Ludowej (zmieniona w 2015 r.); Normy GB dotyczące bezpieczeństwa żywności	ZEA.S GSO 9:2017 (Ogólne wymagania GCC dotyczące żywności paczkowanej)
Wymagane zatwierdzenie przed wprowadzeniem na rynek?	Brak zatwierdzenia przed wprowadzeniem do obrotu, z wyjątkiem nowych składników, dodatków barwiących lub określonych oświadczeń.	Brak zatwierdzenia przed wprowadzeniem do obrotu dla ogólnej żywności, ale nowa żywność lub oświadczenia zdrowotne wymagają zatwierdzenia przez EFSA.	Brak zatwierdzenia przed wprowadzeniem do obrotu, chyba że jest to nowa żywność lub zawiera oświadczenia zdrowotne.	Rejestracja przed wprowadzeniem do obrotu jest wymagana w przypadku nowej żywności, zdrowej żywności lub produktów zawierających nowe składniki.	Zatwierdzenie przed wprowadzeniem do obrotu jest wymagane w przypadku niektórych produktów spożywczych, produktów zdrowotnych i produktów zawierających nowe składniki.
Zgodność z wymogami dotyczącymi etykietowania przetworzonej żywności	Obowiązkowe etykietowanie zgodnie z wytycznymi FDA (informacje o wartościach odżywczych, deklaracja składników, alergeny)	Musi być zgodny z rozporządzeniem UE w sprawie informacji na temat żywności (1169/2011); obejmuje alergeny, wartości odżywcze i pochodzenie.	Muszą być zgodne z kodeksem standardów żywności FSANZ w zakresie etykietowania; wymagane są panele wartości odżywczych, alergeny i listy składników.	Muszą być zgodne z GB 7718-2011 (krajowe normy bezpieczeństwa żywności) w zakresie etykietowania; obowiązkowe informacje o wartościach odżywczych, alergenach i okresie przydatności do spożycia.	Musi przestrzegać GSO 9:2017 w zakresie etykietowania żywności paczkowanej; wymagane są etykiety arabskie, alergeny i fakty żywieniowe.
Harmonogram rejestracji	Brak ustalonego harmonogramu: produkty mogą wejść na rynek po spełnieniu wymogów.	Brak formalnej rejestracji, chyba że nowa żywność; zatwierdzenie oświadczeń zdrowotnych przez EFSA zajmuje 12-18 miesięcy.	Brak formalnej rejestracji, chyba że jest to nowa żywność lub zawiera oświadczenia zdrowotne.	Zazwyczaj 12-24 miesięcy w przypadku nowej żywności, krócej w przypadku zwykłej żywności przetworzonej.	Zatwierdzenie niektórych produktów może zająć 6-12 miesięcy. Zwykła przetworzona żywność może wejść na rynek po uzyskaniu zatwierdzenia etykiety

Usługi regulacyjne dotyczące produktów leczniczych

Usługi regulacyjne dotyczące urządzeń medycznych

Konsumenci

Freyr Digital

Wyprzedzaj konkurencję dzięki naszym innowacyjnym rozwiązaniom w zakresie oprogramowania regulacyjnego

Zasady regulacyjne dotyczące cyberbezpieczeństwa wyrobów medycznych

Subskrybuj blog Freyr

Najnowszy blog

Tagi bloga

Powiązane blogi

Jak możemy Ci pomóc?

Poinformuj nas o swoich wymaganiach, a my skontaktujemy się z Tobą.