,
5 min de lecture
À mesure que la technologie progresse, les dispositifs médicaux utilisés pour maintenir la vie évoluent également. Alors qu'en Corée du Sud, divers types de dispositifs médicaux capables de communiquer ont été développés, ce développement s'accompagne du risque de menaces de cybersécurité telles que le piratage de dispositifs médicaux et les fuites d'informations. Ces menaces ne s'appliquent pas seulement aux pertes matérielles, mais aussi à la vie des patients, et c'est pourquoi la protection de la cybersécurité des dispositifs médicaux est une préoccupation majeure.
Pour répondre à ces préoccupations, le gouvernement sud-coréen a établi des lignes directrices pour l'approbation de la cybersécurité (Guide-0995-03 2023.07.13) et l'examen des dispositifs médicaux. La réglementation sud-coréenne en matière de dispositifs médicaux vise à garantir la gestion de la sécurité des dispositifs médicaux capables de communiquer, et souligne par conséquent l'importance de la cybersécurité pour ces derniers.
Pourquoi des directives en matière de cybersécurité sont-elles nécessaires ?
Les dispositifs médicaux sont souvent implantés dans le corps des patients pour assurer des fonctions vitales, ce qui signifie que toute menace de cybersécurité pourrait avoir des conséquences graves, voire fatales. Les lignes directrices sur la cybersécurité des dispositifs médicaux visent à prévenir de telles menaces en garantissant que les dispositifs sont sécurisés et que les données qu'ils transmettent sont protégées.
Principales Considérations pour la Mise en Œuvre de Nouvelles Lignes Directrices et de Guides
Les considérations clés à garder à l'esprit lors de l'élaboration de nouvelles directives et guides de cybersécurité sont l'importance de clarifier la cible du dispositif médical, d'appliquer le dispositif en fonction de ses caractéristiques, et d'assurer une gestion de la sécurité si le dispositif est capable de communication. Ces directives, visant à l'harmonisation internationale, ont emprunté et appliqué des considérations issues des Principes et Directives de Cybersécurité des Dispositifs Médicaux établis par le Forum International des Régulateurs de Dispositifs Médicaux (IMDRF) (Principes et Pratiques pour la Cybersécurité des Dispositifs Médicaux, IMDRF [2020]).
Principes fondamentaux de la cybersécurité des dispositifs médicaux
Les principes fondamentaux de la cybersécurité des dispositifs médicaux comprennent un ensemble de lignes directrices qui décrivent les considérations clés pour assurer la cybersécurité des dispositifs médicaux. Ils incluent la disponibilité, la confidentialité et l'intégrité. Examinons brièvement ces trois (03) principes :
- La disponibilité désigne le fait de rendre les données immédiatement accessibles aux utilisateurs autorisés.
- La confidentialité désigne la protection des données contre tout accès non autorisé.
- L'intégrité fait référence à la garantie que les données sont exactes et n'ont pas été altérées.
Ces principes sont essentiels à la gestion de la cybersécurité des dispositifs médicaux, car ils contribuent à assurer la sûreté et la sécurité des dispositifs ainsi que des données qu'ils transmettent.
Processus de gestion des risques pour la cybersécurité des dispositifs médicaux
Les lignes directrices précisent que les fabricants doivent mettre en œuvre des processus appropriés de gestion des risques de cybersécurité pour les dispositifs médicaux en Corée du Sud. Voici quelques aspects clés du processus de gestion des risques :
- Le processus devrait inclure l'identification des menaces potentielles de cybersécurité, l'évaluation des risques associés à ces menaces et l'élaboration de stratégies pour atténuer ces risques.
- Les fabricants devraient consigner le processus dans le rapport de gestion des risques.
- Les fabricants doivent établir et maintenir une procédure systématique pour examiner les informations de cybersécurité pendant les phases de production et de post-production.
- Les fabricants devraient établir des objectifs de cybersécurité avec des fonctions et des niveaux appropriés. De plus, ils doivent prendre en considération les conséquences de l'évaluation et du traitement des risques.
- L'accent est mis sur la collecte et l'analyse continues des informations relatives aux attentes des clients internes et externes tout au long du cycle de vie des dispositifs médicaux. Il est également crucial que ces informations soient intégrées dans la gestion des risques de cybersécurité des dispositifs médicaux.
Application des exigences de cybersécurité des dispositifs médicaux
Les lignes directrices consistent en un tableau présentant des exemples de considérations pour l'application des exigences de cybersécurité des dispositifs médicaux en ce qui concerne l'assurance qualité des dispositifs médicaux et la conformité réglementaire. Le tableau comprend trois (03) catégories de considérations – majeures, modérées et mineures – qui sont expliquées ci-dessous :
- Considération majeure : La considération majeure est la possibilité de blessures graves pour les patients, voire de décès, d'altération permanente des fonctions corporelles et de dommages permanents à la structure corporelle en raison de failles de cybersécurité des dispositifs médicaux.
- Considération modérée : La considération modérée est que les violations de la cybersécurité des dispositifs médicaux peuvent entraîner des blessures mineures ou temporaires chez les patients, nécessitant potentiellement une intervention médicale.
- Considération mineure : La considération mineure est que les violations de la cybersécurité des dispositifs médicaux peuvent entraîner un inconvénient temporaire ou un inconvénient réversible, mineur et de courte durée pour les patients, qui ne nécessite pas d'intervention médicale.
Outre les catégories ci-dessus, le tableau inclut également des considérations relatives à la communication par câble, à la communication sans fil et aux risques de cybersécurité survenant en raison d'une infraction.
Deux (02) listes de contrôle clés pour la cybersécurité des dispositifs médicaux
Liste de contrôle pour les exigences de cybersécurité des dispositifs médicaux :
- Les fabricants doivent utiliser ce formulaire de liste de contrôle lors de l'examen de leurs dispositifs médicaux pour les exigences de cybersécurité.
- Ils doivent remplir le formulaire conformément aux caractéristiques de leurs dispositifs respectifs.
- Le formulaire sert de base pour confirmer que les fabricants ont satisfait à toutes les exigences en matière de cybersécurité.
- La liste de contrôle comprend le « Document de gestion des risques de cybersécurité » et les « Données de vérification et de validation logicielles ».
Le tableau ci-dessous (Tableau 1) présente la liste de contrôle de la cybersécurité des dispositifs médicaux en Corée du Sud.
Tableau 1 : Liste de contrôle pour la cybersécurité des dispositifs médicaux en Corée du Sud
| Exigences en matière de cybersécurité | Applicabilité du dispositif correspondant | Méthode de preuve de compatibilité utilisée | Numéro de document ou le document joint correspondant | |
| Communication de sécurité | Les fabricants devraient indiquer comment connecter leurs dispositifs médicaux via Internet, Bluetooth, etc., ainsi que les caractéristiques de conception et la sécurité des données transmises. | XXX | XXX | XXX |
| Protection des données des dispositifs | Les fabricants doivent décider si leurs dispositifs nécessitent un chiffrement ou une messagerie protégée ; ils doivent également évaluer le l'architecture au niveau du système afin de déterminer si des fonctionnalités de conception sont nécessaires pour garantir la non-répudiation des données. | XXX | XXX | XXX |
| Intégrité des dispositifs | Les fabricants devraient prendre en compte les risques pour l'intégrité des dispositifs, tels que les modifications non autorisées. Ils devraient être vigilants face aux logiciels, virus, logiciels espions, etc. | XXX | XXX | XXX |
| Certification de l'utilisateur | Quelques exemples d'accès utilisateur les contrôles sont les mots de passe, les clés matérielles, l'authentification de la chaîne brute, etc. | XXX | XXX | XXX |
| Numéro de maintenance logicielle | Les fabricants devraient envisager de fournir aux utilisateurs tous les détails, les délais et les exigences des mises à jour. | XXX | XXX | XXX |
Liste de contrôle pour l'établissement ou la révision des lignes directrices/guides :
- Les fabricants doivent utiliser cette liste de contrôle lors de l'établissement ou de la révision de lignes directrices ou de guides.
- Ils doivent vérifier si le contenu s'écarte des lois supérieures et s'il établit/renforce de nouvelles réglementations ou restreint les plaintes civiles sensibles.
- Si la réponse est « oui » à la question de savoir si cela établit ou renforce de nouvelles réglementations, il convient de supprimer le contenu qui s'écarte de la loi supérieure et de poursuivre le processus d'établissement et de révision des lignes directrices et des guides.
- La liste de contrôle comprend la désignation des lignes directrices ou des guides et la vérification des éléments liés aux considérations d'application.
Soumission des données pour la cybersécurité des dispositifs médicaux
Les lignes directrices énoncent des exigences spécifiques pour la soumission de données relatives à la cybersécurité des dispositifs médicaux. Les données soumises doivent satisfaire aux critères suivants pour l'approbation des dispositifs médicaux :
- Les données doivent être liées aux dispositifs médicaux capables de communication sans fil ou disposant d'un chemin de communication.
- Parmi les données sur la performance des appels, les fabricants doivent soumettre les « Données de vérification et de validation logicielles » et le « Rapport de vérification de conformité du logiciel de dispositif médical ».
- Les informations soumises ne doivent pas être falsifiées, erronées ou approuvées pour des dispositifs médicaux.
- Les fabricants doivent appliquer les exigences de cybersécurité comme mesure de protection pour empêcher l'accès non autorisé aux dispositifs médicaux.
- Les fabricants doivent confirmer la conformité aux exigences de cybersécurité des dispositifs médicaux en soumettant la « Liste de contrôle des exigences de cybersécurité des dispositifs médicaux » et les documents qui vérifient les exigences de cette liste.
- Les fabricants peuvent demander à exclure ou modifier certaines exigences par le biais d'une analyse des risques ; les données pertinentes doivent être soumises avec le « Document de gestion des risques de cybersécurité », conformément à l'article 26 des lignes directrices.
Dans l'ensemble, les lignes directrices pour l'approbation et l'examen de la cybersécurité des dispositifs médicaux constituent une ressource précieuse pour les fabricants, les utilisateurs et les régulateurs, car elles contribuent à garantir la sécurité et la sûreté des dispositifs médicaux. Si vous êtes un fabricant souhaitant vendre vos dispositifs médicaux en Corée du Sud, vous devez vous assurer que vos dispositifs répondent aux exigences de cybersécurité décrites dans les lignes directrices. Notre équipe d'experts peut vous aider à naviguer dans la réglementation sud-coréenne des dispositifs médicaux ; elle s'assurera que vos dispositifs répondent aux exigences de cybersécurité et que vous soumettez les données nécessaires à l'approbation et à l'examen. Contactez Freyr pour en savoir plus sur la façon dont nous pouvons vous aider à protéger la cybersécurité de vos dispositifs médicaux en Corée du Sud. Restez informé ! Restez conforme !
