Projet de lignes directrices de la TGA pour la cybersécurité des dispositifs médicaux - Points clés et perspectives réglementaires pour l'industrie
2 min de lecture

Bien que la numérisation et l'Internet des objets (IoT) aient ensemble amélioré les performances des dispositifs médicaux, ils ont également rendu les dispositifs vulnérables aux cyberattaques. Les logiciels malveillants et espions qui infectent les dispositifs sont de plus en plus nombreux. Les pirates recherchent des failles dans les dispositifs et les logiciels associés, ce qui leur permet de corrompre les dispositifs pour compromettre les données des utilisateurs en les faisant mal fonctionner. Toutes ces adversités entravent les efforts des organisations pour sécuriser les données des utilisateurs et prévenir les dommages.

Pour faire face à la menace de la cybersécurité sur les dispositifs médicaux, toutes les autorités sanitaires membres de l'International Medical Device Regulators Forum (IMDRF) ont publié des projets de documents d'orientation avec des politiques réglementaires pour les phases de pré-commercialisation. Cependant, la Therapeutic Goods Administration (TGA) d'Australie a anticipé le besoin de réglementation même au stade de la post-commercialisation des dispositifs et a publié un projet de directive qui couvre l'ensemble du cycle de vie du produit (TPLC).

À qui s'adresse ce guide ?

L'approche TPLC proposée par la TGA se concentre sur la mise à jour continue des systèmes de gestion de la qualité, des procédures de gestion des risques et des procédures de gestion du changement. Étant donné que les directives couvrent les aspects des scénarios pré- et post-commercialisation, ses réglementations s'adressent à de multiples parties prenantes énumérées ci-dessous.

  • Les fabricants qui développent des logiciels en tant que dispositifs médicaux (SaMD)
  • Fabricants de dispositifs qui intègrent des composants logiciels vulnérables aux cyberattaques
  • Promoteurs responsables de l'approvisionnement en dispositifs en Australie
  • Professionnels de la santé qui utilisent des dispositifs médicaux pour diagnostiquer et traiter les patients
  • Ingénieurs cliniques et biomédicaux responsables de la gestion des actifs de dispositifs dans l'environnement de la santé et médical
  • Administration générale et informatique responsable des systèmes, procédures et processus dans l'environnement des services de santé et médicaux
  • Les consommateurs qui utilisent un dispositif médical enregistré.
    • sous la direction de leur professionnel de la santé
    • qui ne nécessite pas de surveillance médicale

Guide pour l'industrie des dispositifs médicaux :

Tout en aidant l'industrie des dispositifs médicaux à se préparer à la cybersécurité, le guide souligne également que les dispositifs doivent être inclus dans le Registre australien des produits thérapeutiques (ARTG) pour pouvoir être commercialisés dans le pays. Cependant, l'inclusion dans l'ARTG nécessite des considérations qui couvrent l'intégralité du cycle de vie d'un dispositif médical, divisées en quatre étapes suivantes :

  • Accès au marché via l'évaluation de la conformité
  • Autorisation de mise sur le marché par inclusion dans l'ARTG
  • Surveillance après commercialisation
  • Fin de vie / arrêt du support

Le guide stipule également que les fabricants sont seuls responsables d'évaluer et de gérer le risque de cybersécurité du dispositif, tant avant que après la mise sur le marché. Pour ce faire, ils doivent prendre en compte certaines considérations dans les deux contextes, notamment :  

  • Considérations avant la mise sur le marché : Ces considérations incluent les risques lors de la conception et du développement des dispositifs médicaux. Elles sont de nature générale et technique.
    • Considérations générales telles que l'approche de développement, l'application des normes, les stratégies de gestion des risques, l'évaluation de la chaîne d'approvisionnement et la fourniture d'informations aux utilisateurs
    • Considérations techniques telles que les tests de performance en cybersécurité, l'architecture de conception modularisée, la sécurité des plateformes d'exploitation, les logiciels émergents, et l'accès et la fourniture de contenu fiables
  • Considérations relatives à la phase post-commercialisation : Dans le cadre du régime applicable après la mise sur le marché, les fabricants et les promoteurs de dispositifs médicaux sont tenus d'évaluer les risques liés à la cybersécurité et d'y remédier de manière continue. Cela implique notamment de cerner les risques et les menaces et d'y faire face lorsqu'ils se présentent. 

Points saillants des lignes directrices :

Alors que d'autres régulateurs de l'IMDRF ont énuméré les principes de cybersécurité pré-commercialisation, la TGA a fait un effort supplémentaire et a listé 15 « principes essentiels », y compris l'accent sur la sécurité à long terme. De plus, huit autres principes essentiels ont été ajoutés au guide pour aborder la prévention des logiciels malveillants. Le guide met en évidence le cadre de cybersécurité développé par le National Institute of Standards and Technology des US. Il comprend également des exemples courants de vulnérabilités, des normes connues qui aident à renforcer la sécurité, et des instructions pour les utilisateurs finaux, les essais cliniques et les établissements de santé utilisant les dispositifs.

Le projet de ligne directrice englobe un large éventail d'informations pour mettre en œuvre l'approche TLPC pour les fabricants de dispositifs médicaux. Cependant, la forme actuelle de la ligne directrice est destinée à recueillir des commentaires et des modifications sont attendues dans les versions futures. Pour rester conformes et sécurisés, les parties prenantes doivent prendre les mesures nécessaires bien à l'avance avec l'aide d'un expert en réglementation des dispositifs médicaux. Soyez conforme.

S'abonner au blog Freyr