Dans une société de plus en plus numérique, la cybersécurité est une préoccupation pour toutes les industries. Toutefois, pour le secteur des dispositifs médicaux, les risques liés aux cybermenaces sont encore plus importants, car les cyberattaques peuvent mettre en danger la vie des patients. La Food and Drug Administration (FDA) des États-Unis a fait de la prise en compte de ces risques une priorité au cours des dernières années en mettant à jour ses documents d'orientation sur les exigences en matière de cybersécurité pour les dispositifs médicaux.
En septembre dernier, la FDA a publié son guide final intitulé "Cybersecurity in Medical Devices : Quality System Considerations and Content of Premarket Submissions", qui propose des recommandations pour protéger les dispositifs médicaux tout au long de leur cycle de vie. Selon la FDA, "ces recommandations visent à promouvoir la cohérence, à faciliter l'efficacité de l'examen préalable à la mise sur le marché et à garantir que les dispositifs médicaux commercialisés sont suffisamment résistants aux menaces de cybersécurité".
La directive finale était déjà à l'état de projet lorsque la loi FDORA (Food and Drug Omnibus Reform Act of 2022) a été promulguée. La FDA a choisi de poursuivre les orientations existantes et d'aborder les exigences de cybersécurité des dispositifs médicaux dans la FDORA à une date ultérieure.
Dernières mises à jour
En mars 2024, la FDA a publié son projet de guide, "Select Updates for the Premarket Cybersecurity Guidance : Section 524B of the FD&C Act", afin de clarifier pour les fabricants les nouvelles dispositions de la loi sur les aliments, les médicaments et les cosmétiques (FD&C) qui ont été ajoutées par la FDORA. Le document décrit les informations relatives à la cybersécurité que la FDA considère comme "généralement nécessaires pour soutenir les obligations de la section 524B du FD&C Act". Les lignes directrices précisent également que ces obligations s'appliquent à tout dispositif répondant à la définition de "dispositif cybernétique" dans toutes les demandes ou soumissions préalables à la mise sur le marché dans le cadre de la plupart des filières, notamment 510(k), demande d'approbation préalable à la mise sur le marché (PMA), protocole de développement de produit (PDP), De Novo ou exemption pour les dispositifs humanitaires (HDE).
Le projet de lignes directrices clarifie également la définition d'un "dispositif cybernétique" au sens de la section 524B. Il s'agit de dispositifs qui (i) sont ou contiennent des logiciels ; (ii) sont capables de se connecter à l'internet, intentionnellement ou non ; et (iii) contiennent toute caractéristique technologique susceptible d'être vulnérable aux menaces de cybersécurité.
La FDA fournit des informations supplémentaires sur les cyberdispositifs qui ont la capacité de se connecter à l'internet. Tous les fabricants doivent prêter une attention particulière à ces exigences, car elles s'appliquent, que le promoteur ait l'intention ou non de connecter le dispositif à l'internet.
Les mises à jour proposées fournissent également des recommandations pour répondre aux exigences de la section 524B relatives à la documentation, aux modifications et à l'assurance raisonnable de la cybersécurité. Les parties prenantes de l'industrie ont jusqu'au 13 mai 2024 pour soumettre leurs commentaires avant que la FDA ne commence à travailler sur la création d'une version finale du document d'orientation.
Perspectives d'avenir
La plupart des fabricants devraient déjà intégrer la plupart de ces pratiques dans leurs soumissions de précommercialisation, étant donné que la directive finale sur la cybersécurité des dispositifs médicaux est entrée en vigueur en septembre 2023. Toutefois, les recommandations de la FDA dans le projet de guide mis à jour peuvent fournir des informations utiles aux fabricants pour s'assurer qu'ils incluent tous les éléments requis dans leur documentation FDA.
L'industrie des dispositifs médicaux peut s'attendre à ce que la FDA continue d'accorder la priorité à la cybersécurité, en particulier à mesure que de plus en plus de dispositifs deviennent connectés et que les dispositifs basés sur l'intelligence artificielle et l'apprentissage automatique deviennent plus répandus. Les fabricants et les sponsors ont tout intérêt à suivre de près les nouveaux développements et à rester au fait des meilleures pratiques actuelles en matière de cybersécurité. La préparation des rappels restera également cruciale car les dispositifs connectés introduisent de nouveaux risques. Les fabricants de dispositifs médicaux devront veiller non seulement à ce que leurs demandes préalables à la mise sur le marché soient conformes aux nouvelles règles, mais aussi à ce que leurs plans de rappel soient révisés pour tenir compte des nouvelles considérations.
Tags : Protection des marques, Conformité, cyber, cyber sécurité, cyber menaces, FDA, santé, Soins de santé, fabricants, Fabrication, Soins médicaux, Dispositifs médicaux, équipement médical, imagerie médicale, fournitures médicales, Préserver les marques