,
2 min di lettura
Sebbene la digitalizzazione e l'Internet delle Cose (IoT) abbiano migliorato le prestazioni dei dispositivi medici, hanno anche reso i dispositivi vulnerabili agli attacchi informatici. I malware e gli spyware che invadono i dispositivi sono in aumento. Gli hacker cercano falle nei dispositivi e nei software correlati che consentono loro di corrompere i dispositivi per compromettere i dati degli utenti, facendoli malfunzionare. Tutte queste avversità ostacolano gli sforzi delle organizzazioni per proteggere i dati degli utenti e prevenire i danni.
Per affrontare la minaccia della sicurezza informatica sui dispositivi medici, tutte le autorità sanitarie membri dell'International Medical Device Regulators Forum (IMDRF) hanno pubblicato bozze di documenti guida con politiche normative per le fasi pre-commercializzazione. Tuttavia, la Therapeutic Goods Administration (TGA) dell'Australia ha previsto la necessità di regolamentazione anche nella fase post-commercializzazione dei dispositivi e ha pubblicato una bozza di guida che copre l'intero ciclo di vita del prodotto (TPLC).
A chi si applicano le linee guida?
L'approccio TPLC proposto dalla TGA si concentra sull'aggiornamento continuo dei sistemi di gestione della qualità, delle procedure di gestione del rischio e delle procedure di gestione del cambiamento. Poiché la guida copre aspetti sia dello scenario pre- che post-commercializzazione, le sue normative sono destinate a molteplici parti interessate elencate di seguito.
- Produttori che sviluppano software come dispositivi medici (SaMD)
- Produttori di dispositivi che includono componenti software vulnerabili alla sicurezza informatica
- Sponsor responsabili della fornitura di dispositivi in Australia.
- Professionisti sanitari che utilizzano dispositivi medici per diagnosticare e curare i pazienti
- Ingegneri clinici e biomedici responsabili della gestione delle risorse dei dispositivi in ambito sanitario e medico.
- Amministrazione generale e IT responsabile di sistemi, procedure e processi nell'ambiente dei servizi sanitari e medici
- Consumatori che utilizzano un dispositivo medico registrato
- sotto la guida del loro professionista sanitario e medico
- che non richiede supervisione medica
Orientamento per l'industria dei dispositivi medici:
Pur aiutando l'industria dei dispositivi medici a rimanere preparata per la cybersecurity, la guida sottolinea anche che i dispositivi devono essere inclusi nel Registro Australiano dei Prodotti Terapeutici (ARTG) per poterli commercializzare nel paese. Tuttavia, l'inclusione nell'ARTG richiede considerazioni che coprono l'intera vita di un dispositivo medico, suddivise nelle seguenti quattro fasi:
- Pre-commercializzazione tramite valutazione di conformità
- Autorizzazione all'immissione in commercio tramite inclusione nell'ARTG
- Monitoraggio post-commercializzazione
- Fine vita / ritiro del supporto
La guida afferma inoltre che i produttori sono gli unici responsabili di valutare e affrontare il rischio di cybersecurity del dispositivo sia nelle configurazioni pre-mercato che post-mercato. Così facendo, devono tenere conto di alcune considerazioni in entrambe le configurazioni, che includono:
- Considerazioni pre-commercializzazione: Queste considerazioni includono i rischi durante la progettazione e lo sviluppo dei dispositivi medici. Sono di tipo generale e tecnico.
- Considerazioni generali come l'approccio allo sviluppo, l'applicazione degli standard, le strategie di gestione del rischio, la valutazione della catena di approvvigionamento e la fornitura di informazioni per gli utenti
- Considerazioni tecniche come i test delle prestazioni di cybersecurity, l'architettura di progettazione modulare, la sicurezza della piattaforma operativa, il software emergente e la fornitura di accesso e contenuti affidabili
- Aspetti relativi alla fase post-commercializzazione: Ai sensi del regime post-commercializzazione, produttori gli sponsor dei dispositivi sono tenuti a valutare i rischi per la sicurezza informatica e ad agire di conseguenza, in modo continuativo. Ciò comporta la comprensione dei rischi e delle minacce e la necessità di reagire quando questi si presentano.
Punti salienti della Guida:
Mentre altri regolatori dell'IMDRF hanno elencato i principi di sicurezza informatica pre-commercializzazione, la TGA si è spinta oltre e ha elencato 15 'principi essenziali' inclusa l'attenzione alla sicurezza a lungo termine. Inoltre, altri otto principi essenziali sono stati aggiunti alla guida per affrontare la prevenzione del malware. La guida evidenzia il quadro di sicurezza informatica sviluppato dall'Istituto Nazionale di Standard e Tecnologia degli US. Include anche esempi comuni di vulnerabilità, standard noti che aiutano a rafforzare la sicurezza e istruzioni per gli utenti finali, gli studi clinici e le strutture sanitarie che utilizzano i dispositivi.
Il progetto di guida comprende una vasta gamma di informazioni per implementare l'approccio TLPC per i produttori di dispositivi medici. Tuttavia, la forma attuale della guida è destinata ai commenti e sono previste modifiche nelle prossime versioni. Per rimanere conformi e sicuri, gli operatori devono agire in anticipo con l'aiuto di un esperto normativo di dispositivi medici. Rimanete conformi.
