Australie 
Canada 
Danemark 
France 
Allemagne 
Irlande 
Pays-Bas 
Nouvelle-Zélande 
Norvège 
Espagne et Portugal 
Royaume-Uni 
États-Unis 7 mai 2024
Dans une société de plus en plus numérique, la cybersécurité est une préoccupation pour tous les secteurs. Cependant, pour le secteur des dispositifs médicaux, les risques liés aux cybermenaces sont encore plus élevés, étant donné que les cyberattaques peuvent mettre la vie des patients en danger. La Food and Drug Administration (FDA) des États-Unis a fait de la gestion de ces risques une priorité au cours des dernières années en mettant à jour ses documents d’orientation concernant les exigences en cybersécurité pour les dispositifs médicaux.
En septembre dernier, la FDA a publié son guide final, « Cybersécurité dans les dispositifs médicaux : considérations sur le système de qualité et contenu des soumissions préalables à la commercialisation », qui propose des recommandations pour protéger les dispositifs médicaux tout au long du cycle de vie du produit. Selon la FDA, « ces recommandations visent à promouvoir la cohérence, à faciliter l’examen efficace avant la mise en marché et à aider à garantir que les dispositifs médicaux commercialisés sont suffisamment résilients face aux menaces de cybersécurité. »
Les directives finales étaient déjà en version provisoire lorsque la loi sur la réforme omnibus des aliments et médicaments de 2022 (FDORA) a été promulguée. La FDA a choisi de poursuivre les directives existantes et de répondre ultérieurement aux exigences en cybersécurité des dispositifs médicaux dans le cadre de la FDORA.
Dernières mises à jour
En mars 2024, la FDA a publié son projet de directive, « Mises à jour sélectionnées pour les directives de cybersécurité avant l’ouverture à la commercialisation : Section 524B de la loi FD&C », afin d’offrir des clarés aux fabricants concernant les nouvelles dispositions de la loi sur les aliments, médicaments et cosmétiques (FD&C) ajoutées par la FDORA. Le document décrit les informations sur la cybersécurité que la FDA considère comme « généralement nécessaires pour soutenir les obligations en vertu de l’article 524B de la loi FD&C ». Les lignes directrices précisent également que ces obligations s’appliquent à tout appareil répondant à la définition de « dispositif cyber » dans toutes les demandes ou soumissions préalables à la commercialisation selon la plupart des voies, y compris 510(k), la demande d’approbation préalable à la commercialisation (PMA), le protocole de développement produit (PDP), le De Novo ou l’exemption pour dispositifs humanitaires (HDE).
Le projet de directives clarifie également la définition d’un « dispositif cybernétique » en vertu de l’article 524B. Cela inclut les appareils qui (i) sont ou contiennent des logiciels; (ii) sont capables de se connecter à Internet, intentionnellement ou non; et (iii) contenir toutes ces caractéristiques technologiques susceptibles d’être vulnérables aux menaces en cybersécurité.
La FDA fournit des informations supplémentaires sur les dispositifs cybernétiques capables de se connecter à Internet. Tous les fabricants devraient porter une attention particulière à ces exigences, car elles s’appliquent que le commanditaire souhaite ou non que l’appareil se connecte réellement à Internet.
Les mises à jour proposées fournissent également des recommandations pour répondre aux exigences de l’article 524B relatives à la documentation, aux modifications et à l’assurance raisonnable de la cybersécurité. Les parties prenantes de l’industrie ont jusqu’au 13 mai 2024 pour soumettre leurs commentaires avant que la FDA ne commence à élaborer une version finale du document d’orientation.
En regardant vers l’avenir
La plupart des fabricants devraient déjà intégrer la plupart de ces pratiques dans leurs soumissions avant la mise en marché, étant donné que les directives finales sur la cybersécurité des dispositifs médicaux sont entrées en vigueur en septembre 2023. Cependant, les recommandations de la FDA dans les lignes directrices provisoires mises à jour peuvent fournir des informations utiles aux fabricants afin de s’assurer qu’ils incluent tous les composants requis dans leur documentation de la FDA.
L’industrie des dispositifs médicaux peut s’attendre à ce que la FDA continue de prioriser la cybersécurité, surtout à mesure que de plus en plus d’appareils se connectent et que l’intelligence artificielle et les dispositifs dotés d’apprentissage automatique deviennent plus courants. Il est dans l’intérêt des fabricants et des commanditaires de suivre de près les nouveaux développements et de rester à jour sur les meilleures pratiques actuelles en cybersécurité. La préparation aux rappels restera également cruciale, car les appareils connectés introduisent de nouveaux risques. Il sera important que les entreprises de dispositifs médicaux s’assurent non seulement que leurs soumissions préalables à la mise en marché respectent les nouvelles règles, mais que leurs plans de rappel soient également révisés pour mettre en œuvre toute nouvelle considération.
