Projekt wytycznych TGA dotyczących cyberbezpieczeństwa wyrobów medycznych – Wnioski regulacyjne dla branży i najważniejsze informacje

Chociaż cyfryzacja i Internet Rzeczy (IoT) wspólnie poprawiły wydajność wyrobów medycznych, uczyniły również wyroby podatnymi na zagrożenia cybernetyczne. Rośnie liczba złośliwego oprogramowania i programów szpiegujących infekujących wyroby. Hakerzy szukają luk w wyrobach i powiązanym oprogramowaniu, które pozwalają im na uszkodzenie wyrobów w celu naruszenia danych użytkowników poprzez ich nieprawidłowe działanie. Wszystkie te przeciwności utrudniają wysiłki organizacji zmierzające do zabezpieczenia danych użytkowników i zapobiegania szkodom.

Aby sprostać zagrożeniu cyberbezpieczeństwa dla wyrobów medycznych, wszystkie państwowe organy ds. zdrowia będące członkami Międzynarodowego Forum Regulatorów Wyrobów Medycznych (IMDRF) opublikowały projekty dokumentów wytycznych z politykami regulacyjnymi dla etapu przed wprowadzeniem na rynek. Jednakże, Australijska Administracja Produktów Leczniczych (TGA) przewidziała potrzebę regulacji nawet na etapie po wprowadzeniu wyrobów na rynek i opublikowała projekt wytycznych, który obejmuje cały cykl życia produktu (TPLC).

Kogo dotyczy ta wytyczna?

Podejście TPLC zaproponowane przez TGA koncentruje się na ciągłym aktualizowaniu systemów zarządzania jakością, procedur zarządzania ryzykiem i procedur zarządzania zmianami. Ponieważ wytyczne obejmują aspekty zarówno scenariusza przed wprowadzeniem na rynek, jak i po wprowadzeniu na rynek, ich przepisy są przeznaczone dla wielu zainteresowanych stron, które są wymienione poniżej.

• Producenci, którzy opracowują oprogramowanie jako wyrób medyczny (SaMD)
• Producenci urządzeń zawierających komponenty oprogramowania podatne na zagrożenia cyberbezpieczeństwa
• Sponsorzy odpowiedzialni za dostarczanie wyrobów medycznych w Australii
• Pracownicy służby zdrowia, którzy używają wyrobów medycznych do diagnozowania i leczenia pacjentów
• Inżynierowie kliniczni i biomedyczni odpowiedzialni za zarządzanie zasobami urządzeń w środowisku opieki zdrowotnej i medycznym
• Administracja ogólna i IT odpowiedzialna za systemy, procedury i procesy w środowisku usług zdrowotnych i medycznych
• Konsumenci, którzy używają zarejestrowanego wyrobu medycznego
  
  • pod kierunkiem pracownika służby zdrowia
  • który nie wymaga nadzoru medycznego

Wytyczne dla przemysłu wyrobów medycznych:

Pomagając branży wyrobów medycznych w przygotowaniu się na cyberbezpieczeństwo, wytyczne podkreślają również, że wyroby muszą być wpisane do Australijskiego Rejestru Produktów Leczniczych (ARTG), aby mogły być wprowadzane na rynek w tym kraju. Wpis do ARTG wymaga jednak uwzględnienia aspektów obejmujących cały okres użytkowania wyrobu medycznego, które są podzielone na następujące cztery etapy:

• Przed wprowadzeniem na rynek poprzez ocenę zgodności
• Pozwolenie na dopuszczenie do obrotu produktu leczniczego poprzez włączenie do ARTG
• Monitorowanie po wprowadzeniu na rynek.
• Koniec cyklu życia / wycofanie wsparcia

Wytyczne stanowią również, że producenci są wyłącznie odpowiedzialni za ocenę i zarządzanie ryzykiem cyberbezpieczeństwa urządzenia zarówno w fazie przed wprowadzeniem na rynek, jak i po wprowadzeniu na rynek. W tym celu muszą wziąć pod uwagę pewne kwestie w obu tych konfiguracjach, w tym:  

• Kwestie do rozważenia przed wprowadzeniem na rynek: Te kwestie obejmują ryzyka związane z projektowaniem i rozwojem wyrobów medycznych. Mają one charakter ogólny i techniczny.
  
  • Ogólne kwestie, takie jak podejście do rozwoju, stosowanie standardów, strategie zarządzania ryzykiem, ocena łańcucha dostaw oraz dostarczanie informacji dla użytkowników
  • Kwestie techniczne, takie jak testowanie wydajności cyberbezpieczeństwa, modułowa architektura projektowa, bezpieczeństwo platformy operacyjnej, nowe oprogramowanie oraz zaufany dostęp i dostarczanie treści
• Kwestie związane z okresem po wprowadzeniu do obrotu: W ramach systemu nadzoru po wprowadzeniu do obrotu producenci i sponsorzy wyrobów medycznych mają obowiązek nieustannie oceniać ryzyko związane z cyberbezpieczeństwem i podejmować odpowiednie działania. Obejmuje to rozpoznanie zagrożeń i ryzyka oraz reagowanie na nie w momencie ich wystąpienia. 

Najważniejsze punkty wytycznych:

Podczas gdy inne organy regulacyjne IMDRF wymieniły zasady cyberbezpieczeństwa przed wprowadzeniem na rynek, TGA poszła o krok dalej i wymieniła 15 „zasadniczych zasad”, w tym skupienie się na długoterminowym bezpieczeństwie. Dodatkowo, do wytycznych dodano osiem kolejnych zasadniczych zasad, aby uwzględnić zapobieganie złośliwemu oprogramowaniu. Wytyczne podkreślają ramy cyberbezpieczeństwa opracowane przez US National Institute of Standards and Technology. Zawierają również typowe przykłady luk w zabezpieczeniach, znane standardy, które pomagają wzmocnić bezpieczeństwo, oraz instrukcje dla użytkowników końcowych, badań klinicznych i placówek opieki zdrowotnej korzystających z tych urządzeń.

Projekt wytycznych obejmuje kompleksowy zakres informacji niezbędnych do wdrożenia podejścia TLPC dla producentów wyrobów medycznych. Jednakże obecna forma wytycznych jest przeznaczona do konsultacji, a zmiany są spodziewane w nadchodzących wersjach. Aby zachować zgodność i bezpieczeństwo, zainteresowane strony muszą podjąć wymagane działania z wyprzedzeniem, z pomocą eksperta regulacyjnego ds. wyrobów medycznych. Zachowaj zgodność.