In einer zunehmend digitalen Gesellschaft ist die Cybersicherheit ein Thema für alle Branchen. Für die Medizinproduktebranche sind die Risiken durch Cyberbedrohungen jedoch noch größer, da Cyberangriffe das Leben von Patienten gefährden können. Die U.S. Food and Drug Administration (FDA) hat in den letzten Jahren den Umgang mit diesen Risiken zu einer Priorität gemacht, indem sie ihre Leitfäden für Cybersicherheitsanforderungen für medizinische Geräte aktualisiert hat.
Im September letzten Jahres veröffentlichte die FDA ihren endgültigen Leitfaden "Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions" (Überlegungen zum Qualitätssystem und zum Inhalt von Anträgen vor der Markteinführung), der Empfehlungen für den Schutz von Medizinprodukten während des gesamten Produktlebenszyklus enthält. Der FDA zufolge "sollen diese Empfehlungen die Konsistenz fördern, eine effiziente Prüfung vor der Markteinführung erleichtern und dazu beitragen, dass vermarktete Medizinprodukte ausreichend gegen Bedrohungen der Cybersicherheit gewappnet sind."
Der endgültige Leitfaden lag bereits im Entwurf vor, als der Food and Drug Omnibus Reform Act of 2022 (FDORA) unterzeichnet wurde. Die FDA entschied sich dafür, die bestehenden Leitlinien beizubehalten und die Cybersicherheitsanforderungen für Medizinprodukte im FDORA zu einem späteren Zeitpunkt zu behandeln.
Letzte Aktualisierungen
Im März 2024 veröffentlichte die FDA ihren Leitfadenentwurf "Select Updates for the Premarket Cybersecurity Guidance: Section 524B of the FD&C Act"(Abschnitt 524B des FD&C Act), um Herstellern Klarheit über die neuen Bestimmungen im Food, Drug, & Cosmetics (FD&C) Act zu verschaffen, die durch das FDORA hinzugefügt wurden. Das Dokument umreißt die Cybersicherheitsinformationen, die nach Ansicht der FDA "im Allgemeinen erforderlich sind, um die Verpflichtungen gemäß Abschnitt 524B des FD&C Act zu erfüllen". Die Richtlinien besagen auch, dass diese Verpflichtungen für jedes Produkt gelten, das die Definition eines "Cyber-Produkts" in allen Anträgen vor der Markteinführung oder Einreichungen unter den meisten Pfaden erfüllt, einschließlich 510(k), Premarket Approval Application (PMA), Product Development Protocol (PDP), De Novo oder Humanitarian Device Exemption (HDE).
In dem Entwurf der Leitlinien wird auch die Definition eines "Cybergeräts" gemäß Abschnitt 524B präzisiert. Darunter fallen Geräte, die (i) aus Software bestehen oder diese enthalten, (ii) absichtlich oder unabsichtlich eine Verbindung zum Internet herstellen können und (iii) technologische Merkmale aufweisen, die anfällig für Cybersicherheitsbedrohungen sein könnten.
Die FDA gewährt zusätzliche Einblicke in Cyber-Geräte, die eine Verbindung mit dem Internet herstellen können. Alle Hersteller sollten diese Anforderungen genau beachten, denn sie gelten unabhängig davon, ob der Sponsor beabsichtigt, das Gerät tatsächlich mit dem Internet zu verbinden oder nicht.
Die vorgeschlagenen Aktualisierungen enthalten auch Empfehlungen für die Erfüllung der Anforderungen von Abschnitt 524B in Bezug auf Dokumentation, Änderungen und die angemessene Gewährleistung der Cybersicherheit. Die Interessengruppen der Industrie haben bis zum 13. Mai 2024 Zeit, Kommentare einzureichen, bevor die FDA mit der Erstellung einer endgültigen Version des Leitfadens beginnt.
Blick nach vorn
Die meisten Hersteller sollten die meisten dieser Praktiken bereits in ihre Anträge vor der Markteinführung einbeziehen, da die endgültige Leitlinie zur Cybersicherheit bei Medizinprodukten im September 2023 in Kraft tritt. Die Empfehlungen der FDA im aktualisierten Leitfadenentwurf können jedoch hilfreiche Informationen für Hersteller liefern, um sicherzustellen, dass sie alle erforderlichen Komponenten in ihre FDA-Dokumentation aufnehmen.
Die Medizinprodukteindustrie kann davon ausgehen, dass die FDA der Cybersicherheit weiterhin Priorität einräumen wird, insbesondere da immer mehr Geräte vernetzt werden und künstliche Intelligenz und maschinenlernfähige Geräte immer mehr Verbreitung finden. Es liegt im besten Interesse der Hersteller und Sponsoren, neue Entwicklungen genau im Auge zu behalten und mit den aktuellen Best Practices der Cybersicherheit Schritt zu halten. Auch die Vorbereitung von Rückrufen wird weiterhin von entscheidender Bedeutung sein, da vernetzte Geräte neue Risiken mit sich bringen. Die Medizinproduktehersteller müssen sicherstellen, dass nicht nur ihre Anträge vor der Markteinführung mit den neuen Vorschriften übereinstimmen, sondern auch ihre Rückrufpläne überarbeitet werden, um alle neuen Überlegungen zu berücksichtigen.
Stichworte: Markenschutz, Compliance, Cyber, Cybersicherheit, Cyber-Bedrohungen, FDA, Gesundheit, Gesundheitswesen, Hersteller, Fertigung, Medizinische Versorgung, Medizinische Geräte, Medizinische Geräte, Medizinische Bildgebung, Medizinischer Bedarf, Markenerhalt