,
5 minuti di lettura
Man mano che la tecnologia continua ad avanzare, lo fanno anche i dispositivi medici utilizzati per sostenere la vita. Mentre in Corea del Sud sono stati sviluppati vari tipi di dispositivi medici in grado di comunicare, lo sviluppo è accompagnato dal rischio di minacce alla cybersecurity come l'hacking di dispositivi medici e le fughe di informazioni. Queste minacce non si applicano solo alla perdita di proprietà, ma anche alla vita dei pazienti, ed è per questo che la salvaguardia della cybersecurity dei dispositivi medici è una preoccupazione fondamentale.
Per affrontare queste preoccupazioni, il governo sudcoreano ha stabilito linee guida per l'approvazione della sicurezza informatica (Guida-0995-03 2023.07.13) e la revisione dei dispositivi medici. Le normative sudcoreane sui dispositivi medici mirano a garantire la gestione della sicurezza dei dispositivi medici capaci di comunicazione e, a loro volta, sottolineano l'importanza della sicurezza informatica per i dispositivi medici.
Perché sono necessarie le linee guida sulla cybersecurity?
I dispositivi medici sono spesso impiantati all'interno del corpo dei pazienti per svolgere funzioni vitali, il che significa che qualsiasi minaccia informatica potrebbe avere conseguenze gravi, persino fatali. Le linee guida sulla sicurezza informatica dei dispositivi medici mirano a prevenire tali minacce garantendo che i dispositivi siano sicuri e che i dati che trasmettono siano protetti.
Considerazioni chiave per l'introduzione di nuove linee guida e direttive
Le considerazioni chiave da tenere a mente quando si emanano nuove linee guida e direttive sulla cybersecurity sono l'importanza di chiarire il target del dispositivo medico, applicare il dispositivo in base alle sue caratteristiche e garantire la gestione della sicurezza se il dispositivo è in grado di comunicare. Le linee guida, volte a raggiungere l'armonizzazione internazionale, hanno preso in prestito e applicato considerazioni dai Principi e Linee Guida sulla Cybersecurity dei Dispositivi Medici stabiliti dall'International Medical Device Regulators Forum (IMDRF) (Principles and Practices for Medical Device Cybersecurity, IMDRF [2020]).
Principi di base della Cybersecurity dei Dispositivi Medici
I principi fondamentali della cybersecurity dei dispositivi medici comprendono un insieme di linee guida che delineano le considerazioni chiave per garantire la cybersecurity dei dispositivi medici. Includono disponibilità, riservatezza e integrità. Esaminiamo brevemente questi tre principi:
- La disponibilità si riferisce al rendere i dati immediatamente accessibili agli utenti autorizzati.
- La riservatezza si riferisce alla protezione dei dati da accessi non autorizzati.
- L'integrità si riferisce a garantire che i dati siano accurati e non siano stati manomessi.
Questi principi sono fondamentali per la gestione della cybersecurity dei dispositivi medici, poiché contribuiscono a garantire la sicurezza dei dispositivi e dei dati che trasmettono.
Processo di gestione del rischio per la cybersecurity dei dispositivi medici
Le linee guida specificano che i produttori devono implementare processi appropriati di gestione del rischio di cybersecurity per la cybersecurity dei dispositivi medici in Corea del Sud. Ecco alcuni aspetti chiave del processo di gestione del rischio:
- Il processo dovrebbe prevedere l'identificazione delle potenziali minacce alla cybersecurity, la valutazione dei rischi associati a tali minacce e lo sviluppo di strategie per mitigarli.
- I produttori dovrebbero registrare il processo nel rapporto di gestione del rischio.
- I produttori devono stabilire e mantenere una procedura sistematica per la revisione delle informazioni sulla cybersecurity durante le fasi di produzione e post-produzione.
- I produttori dovrebbero stabilire obiettivi di sicurezza informatica con funzioni e livelli appropriati. Inoltre, devono considerare le conseguenze della valutazione e del trattamento dei rischi.
- Si pone l'accento sulla raccolta e l'analisi continue delle informazioni relative alle intenzioni dei clienti interni ed esterni durante l'intero ciclo di vita dei dispositivi medici. Inoltre, è importante che queste informazioni siano riflesse nella gestione del rischio di cybersecurity dei dispositivi medici.
Applicazione dei requisiti di cybersecurity per i dispositivi medici
Le linee guida consistono in una tabella con esempi di considerazioni per l'applicazione dei requisiti di cybersecurity dei dispositivi medici per quanto riguarda la garanzia di qualità dei dispositivi medici e la conformità normativa. La tabella include tre categorie di considerazioni – maggiori, moderate e minori – che sono illustrate di seguito:
- Considerazione principale: La considerazione principale è la possibilità di lesioni gravi ai pazienti, o persino la morte, il deterioramento permanente delle funzioni corporee e il danno permanente alla struttura corporea a causa di violazioni della sicurezza informatica dei dispositivi medici.
- Considerazione moderata: La considerazione moderata è che le violazioni della sicurezza informatica dei dispositivi medici potrebbero causare lesioni lievi o temporanee ai pazienti, che potrebbero richiedere un intervento medico.
- Considerazione Minore: La considerazione minore è che le violazioni della sicurezza informatica dei dispositivi medici possono causare ai pazienti disagi temporanei o inconvenienti reversibili, minori e a breve termine, che non richiedono intervento medico.
Oltre alle categorie sopra menzionate, la tabella include anche considerazioni relative alla comunicazione via cavo, alla comunicazione wireless e ai rischi di cybersecurity derivanti da violazioni.
Due checklist chiave per la cybersecurity dei dispositivi medici
Checklist per i requisiti di cybersecurity dei dispositivi medici:
- I produttori devono utilizzare questo modulo di checklist quando esaminano i loro dispositivi medici per i requisiti di cybersecurity.
- Dovrebbero compilare il modulo in conformità con le caratteristiche dei loro rispettivi dispositivi.
- Il modulo è la base per confermare che i produttori hanno soddisfatto tutti i requisiti di sicurezza informatica.
- La checklist include il “Documento di Gestione del Rischio di Sicurezza Informatica” e i “Dati di Verifica e Validazione del Software”.
La tabella seguente (Tabella 1) illustra la checklist di cybersecurity per i dispositivi medici in Corea del Sud.
Tabella 1: Lista di controllo per la cybersecurity dei dispositivi medici in Corea del Sud
| Requisiti di Cybersecurity | Applicabilità del Dispositivo Corrispondente | Metodo di Prova di Compatibilità Utilizzato | Numero del documento o il documento allegato corrispondente | |
| Comunicazione sulla sicurezza | I produttori dovrebbero menzionare come connettere i loro dispositivi medici tramite Internet, Bluetooth, ecc., nonché le caratteristiche di progettazione e la sicurezza dei dati elaborati. | XXX | XXX | XXX |
| Protezione dei dati del dispositivo | I produttori devono decidere se i loro dispositivi richiedono crittografia o messaggistica protetta; devono anche valutare architettura a livello di sistema per determinare se sono necessarie funzionalità di progettazione per garantire la non-ripudiabilità dei dati. | XXX | XXX | XXX |
| Integrità del dispositivo | I produttori dovrebbero considerare i rischi per l'integrità dei dispositivi, come modifiche non autorizzate ad essi. Dovrebbero essere cauti riguardo a software, virus, spyware, ecc. | XXX | XXX | XXX |
| Certificazione dell'utente | Alcuni esempi di accesso utente il controllo sono le password, le chiavi hardware, l'autenticazione della catena grezza, ecc. | XXX | XXX | XXX |
| Numero di Manutenzione Software | I produttori dovrebbero considerare di fornire agli utenti tutti i dettagli degli aggiornamenti, le tempistiche e i requisiti. | XXX | XXX | XXX |
Checklist per l'istituzione/revisione di linee guida/manuali:
- I produttori devono utilizzare questa checklist quando stabiliscono o rivedono linee guida o manuali.
- Devono verificare se il contenuto si discosta dalle leggi superiori e se stabilisce/rafforza nuove normative o limita reclami civili sensibili.
- Se la risposta è "sì" alla domanda se stabilisce/rafforza nuove normative, dovrebbero eliminare il contenuto che si discosta dallo statuto superiore e procedere con il processo di definizione e revisione delle linee guida e delle guide.
- La checklist include la designazione delle linee guida o dei manuali e i controlli degli elementi relativi alle considerazioni sull'applicazione.
Presentazione dei dati per la cybersecurity dei dispositivi medici
Le linee guida stabiliscono requisiti specifici per la presentazione dei dati relativi alla cybersecurity dei dispositivi medici. I dati presentati devono soddisfare i seguenti criteri per l'approvazione dei dispositivi medici:
- I dati devono essere correlati a dispositivi medici in grado di comunicazione wireless o che dispongono di un percorso di comunicazione.
- Tra i dati sulle prestazioni, i produttori devono presentare i "Dati di verifica e validazione del software" e il "Rapporto di verifica della conformità del software per dispositivi medici".
- Le informazioni presentate non devono essere falsificate, difettose o non approvate per dispositivi medici.
- I produttori devono applicare i requisiti di cybersecurity come contromisura per prevenire l'accesso non autorizzato ai dispositivi medici.
- I produttori devono confermare la conformità ai requisiti di cybersecurity per i dispositivi medici presentando la “Checklist dei requisiti di cybersecurity per i dispositivi medici” e i materiali che verificano i requisiti della checklist.
- I produttori possono richiedere l'esclusione o la modifica di alcuni requisiti tramite analisi dei rischi; i dati pertinenti devono essere presentati con il “Documento di Gestione del Rischio di Sicurezza Informatica,” secondo l'Articolo 26 delle linee guida.
Nel complesso, le linee guida per l'approvazione e la revisione della sicurezza informatica dei dispositivi medici rappresentano una risorsa preziosa per i produttori, gli utenti e le autorità di regolamentazione, in quanto contribuiscono a garantire la sicurezza dei dispositivi medici. Se siete un produttore che desidera vendere i propri dispositivi medici in Corea del Sud, dovete assicurarvi che i vostri dispositivi soddisfino i requisiti di cybersecurity delineati nelle linee guida. Il nostro team di esperti può aiutarvi a navigare attraverso la regolamentazione dei dispositivi medici della Corea del Sud; garantiranno che i vostri dispositivi soddisfino i requisiti di cybersecurity e che inviiate i dati necessari per l'approvazione e la revisione. Contattate Freyr per saperne di più su come possiamo aiutarvi a salvaguardare la cybersecurity dei vostri dispositivi medici in Corea del Sud. Rimanete informati! Rimanete conformi!
