Le 7 mai 2024
Dans une société de plus en plus numérique, la cybersécurité est une préoccupation pour toutes les industries. Cependant, pour le secteur des dispositifs médicaux, les risques liés aux cybermenaces sont encore plus grands étant donné que les cyberattaques peuvent mettre la vie des patients en danger. La Food and Drug Administration (FDA) des États-Unis a fait de la lutte contre ces risques une priorité au cours des dernières années alors qu’elle met à jour ses documents d’orientation sur les exigences en matière de cybersécurité pour les dispositifs médicaux.
En septembre dernier, la FDA a publié ses lignes directrices finales, « Cybersecurity in Medical Devices : Quality System Considerations and Content of Premarket Submissions », qui propose des recommandations pour la protection des dispositifs médicaux tout au long du cycle de vie complet du produit. Selon la FDA, « ces recommandations visent à promouvoir l’uniformité, à faciliter un examen efficace avant la mise en marché et à s’assurer que les dispositifs médicaux commercialisés sont suffisamment résistants aux menaces de cybersécurité ».
Les directives finales étaient déjà à l’état d’ébauche lorsque la Food and Drug Omnibus Reform Act of 2022 (FDORA) a été promulguée. La FDA a choisi de maintenir les lignes directrices existantes et de répondre aux exigences de cybersécurité des dispositifs médicaux dans FDORA à une date ultérieure.
Dernières mises à jour
En mars 2024, la FDA a publié son projet de directive, « Select Updates for the Premarket Cybersecurity Guidance : Section 524B of the FD&C Act », afin d’offrir des éclaircissements aux fabricants sur les nouvelles dispositions de la Loi sur les aliments, les médicaments et les cosmétiques (FD &C) qui ont été ajoutées par la FDORA. Le document décrit les informations sur la cybersécurité que la FDA considère comme « généralement nécessaires pour soutenir les obligations en vertu de l’article 524B de la Loi FD &C ». Les lignes directrices stipulent également que ces obligations s’appliquent à tout instrument qui répond à la définition d’un « dispositif cybernétique » dans toutes les demandes ou présentations préalables à la mise en marché dans la plupart des voies, y compris 510(k), demande d’approbation préalable à la mise en marché (PMA), protocole de développement de produits (PDP), De Novo ou exemption de dispositif humanitaire (HDE).
L’ébauche des lignes directrices clarifie également la définition d’un « cybersystératif » à l’article 524B. Cela inclut les appareils qui (i) sont ou contiennent des logiciels ; (ii) sont en mesure de se connecter à Internet, que ce soit intentionnellement ou non ; et (iii) contenir de telles caractéristiques technologiques qui pourraient être vulnérables aux menaces à la cybersécurité.
La FDA fournit des informations supplémentaires sur les cyber-appareils qui ont la capacité de se connecter à Internet. Tous les fabricants devraient porter une attention particulière à ces exigences, car elles s’appliquent que le promoteur ait l’intention que l’appareil se connecte réellement à Internet ou non.
Les mises à jour proposées fournissent également des recommandations pour satisfaire aux exigences de l’article 524B relatives à la documentation, aux modifications et à l’assurance raisonnable de la cybersécurité. Les intervenants de l’industrie ont jusqu’au 13 mai 2024 pour soumettre leurs commentaires avant que la FDA ne commence à travailler à la création d’une version finale du document d’orientation.
Regard vers l’avenir
La plupart des fabricants devraient déjà intégrer la plupart de ces pratiques dans leurs soumissions préalables à la mise en marché, étant donné que les directives finales sur la cybersécurité dans les dispositifs médicaux sont entrée en vigueur en septembre 2023. Cependant, les recommandations de la FDA dans le projet de directive mis à jour peuvent fournir des informations utiles pour les fabricants pour s’assurer qu’ils comprennent tous les composants requis dans leur documentation de la FDA.
L’industrie des dispositifs médicaux peut s’attendre à ce que la FDA continue de donner la priorité à la cybersécurité, d’autant plus que de plus en plus d’appareils deviennent connectés et que l’intelligence artificielle et les appareils compatibles avec l’apprentissage automatique deviennent plus répandus. Il est dans l’intérêt des fabricants et des commanditaires de surveiller de près les nouveaux développements et de rester au courant des meilleures pratiques actuelles en matière de cybersécurité. La préparation des rappels restera également cruciale car les appareils connectés présentent de nouveaux risques. Il sera important pour les entreprises d’instruments médicaux de s’assurer que non seulement leurs présentations préalables à la mise en marché sont conformes aux nouvelles règles, mais que leurs plans de rappel sont également révisés pour tenir compte de la nouvelle considération.
