7. maj 2024
I et stadig mere digitalt samfund er cybersikkerhed en bekymring for alle brancher. Men for sektoren for medicinsk udstyr er risiciene fra cybertrusler endnu større, da cyberangreb kan bringe patienters liv i fare. U.S. Food and Drug Administration (FDA) har gjort det til en prioritet at håndtere disse risici i de seneste år, hvor de har opdateret deres vejledningsdokumenter for cybersikkerhedskrav til medicinsk udstyr.
I september sidste år offentliggjorde FDA sin endelige vejledning, "Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions", som giver anbefalinger til beskyttelse af medicinsk udstyr gennem hele produktets livscyklus. Ifølge FDA har "disse anbefalinger til formål at fremme ensartethed, lette effektiv gennemgang før markedsføring og hjælpe med at sikre, at markedsført medicinsk udstyr er tilstrækkeligt modstandsdygtigt over for cybersikkerhedstrusler."
Den endelige vejledning var allerede i udkastform, da Food and Drug Omnibus Reform Act of 2022 (FDORA) blev underskrevet. FDA valgte at fortsætte med den eksisterende vejledning og tage fat på cybersikkerhedskravene til medicinsk udstyr i FDORA på et senere tidspunkt.
Seneste opdateringer
I marts 2024 udgav FDA sit udkast til vejledning, "Select Updates for the Premarket Cybersecurity Guidance: Section 524B of the FD&C Act" for at skabe klarhed for producenterne omkring de nye bestemmelser i Food, Drug & Cosmetics (FD&C) Act, der blev tilføjet med FDORA. Dokumentet skitserer de cybersikkerhedsoplysninger, som FDA anser for "generelt at være nødvendige for at understøtte forpligtelserne i henhold til afsnit 524B i FD&C Act." Retningslinjerne siger også, at disse forpligtelser gælder for enhver enhed, der opfylder definitionen af en "cyberenhed" i alle ansøgninger eller indsendelser før markedsføring under de fleste veje, herunder 510(k), Premarket Approval Application (PMA), Product Development Protocol (PDP), De Novo eller Humanitarian Device Exemption (HDE).
Udkastet til vejledning præciserer også definitionen af en "cyberenhed" i henhold til afsnit 524B. Dette omfatter enheder, der (i) er eller indeholder software; (ii) er i stand til at oprette forbindelse til internettet, uanset om det er med vilje eller utilsigtet; og (iii) indeholder sådanne teknologiske egenskaber, der kan være sårbare over for cybersikkerhedstrusler.
FDA giver yderligere indsigt i cyberenheder, der har mulighed for at oprette forbindelse til internettet. Alle producenter bør være meget opmærksomme på disse krav, fordi de gælder, uanset om sponsoren har til hensigt, at enheden rent faktisk skal forbindes til internettet eller ej.
De foreslåede opdateringer indeholder også anbefalinger til opfyldelse af kravene i afsnit 524B vedrørende dokumentation, ændringer og rimelig sikkerhed for cybersikkerhed. Industriens interessenter har indtil 13. maj 2024 til at indsende kommentarer, før FDA begynder at arbejde på at skabe en endelig version af vejledningsdokumentet.
Se fremad
De fleste producenter bør allerede indarbejde de fleste af disse fremgangsmåder i deres indsendelser før markedsføring, da den endelige vejledning om cybersikkerhed i medicinsk udstyr trådte i kraft i september 2023. FDA's anbefalinger i det opdaterede udkast til vejledning kan dog give nyttige oplysninger til producenterne for at sikre, at de inkluderer alle de krævede komponenter i deres FDA-dokumentation.
Branchen for medicinsk udstyr kan forvente, at FDA fortsat vil prioritere cybersikkerhed, især efterhånden som flere enheder bliver forbundet, og kunstig intelligens og maskinlæringsaktiverede enheder bliver mere udbredte. Det er i producenternes og sponsorernes bedste interesse at holde øje med den nye udvikling og holde sig ajour med den nuværende bedste praksis inden for cybersikkerhed. Forberedelse af tilbagekaldelser vil også fortsat være afgørende, da forbundne enheder introducerer nye risici. Det vil være vigtigt for virksomheder med medicinsk udstyr at sikre, at ikke kun deres indsendelser før markedsføring er i overensstemmelse med de nye regler, men at deres tilbagekaldelsesplaner også revideres, så de tager højde for de nye overvejelser.
