In een steeds digitalere samenleving is cyberbeveiliging een zorg voor alle sectoren. Voor de sector medische hulpmiddelen zijn de risico's van cyberdreigingen echter nog groter, aangezien cyberaanvallen het leven van patiënten in gevaar kunnen brengen. De Amerikaanse Food and Drug Administration (FDA) heeft het aanpakken van deze risico's de afgelopen jaren tot een prioriteit gemaakt door haar richtlijnen voor vereisten voor cyberbeveiliging voor medische apparatuur bij te werken.
Afgelopen september publiceerde de FDA haar definitieve richtlijn "Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions", waarin aanbevelingen worden gedaan voor de beveiliging van medische hulpmiddelen gedurende de gehele levenscyclus van het product. Volgens de FDA "zijn deze aanbevelingen bedoeld om consistentie te bevorderen, efficiënte premarket review te vergemakkelijken en ervoor te zorgen dat op de markt gebrachte medische hulpmiddelen voldoende bestand zijn tegen cyberbeveiligingsbedreigingen".
De definitieve richtlijnen waren al in conceptvorm toen de Food and Drug Omnibus Reform Act van 2022 (FDORA) werd ondertekend. De FDA koos ervoor om door te gaan met de bestaande richtlijnen en de vereisten voor cyberbeveiliging van medische hulpmiddelen in FDORA op een later tijdstip te behandelen.
Laatste updates
In maart 2024 heeft de FDA haar conceptrichtlijn "Select Updates for the Premarket Cybersecurity Guidance: Section 524B of the FD&C Act" vrijgegeven om fabrikanten duidelijkheid te verschaffen over de nieuwe bepalingen in de Food, Drug, & Cosmetics (FD&C) Act die zijn toegevoegd door de FDORA. Het document schetst de cyberbeveiligingsinformatie die volgens de FDA "over het algemeen nodig is om de verplichtingen op grond van sectie 524B van de FD&C Act te ondersteunen". De richtlijnen stellen ook dat deze verplichtingen van toepassing zijn op elk hulpmiddel dat voldoet aan de definitie van een "cyberhulpmiddel" in alle premarket-aanvragen of -indieningen onder de meeste trajecten, waaronder 510(k), Premarket Approval Application (PMA), Product Development Protocol (PDP), De Novo of Humanitarian Device Exemption (HDE).
De ontwerprichtlijnen verduidelijken ook de definitie van een "cyberapparaat" onder sectie 524B. Dit omvat apparaten die (i) software zijn of bevatten; (ii) in staat zijn om verbinding te maken met het internet, opzettelijk of onopzettelijk; en (iii) dergelijke technologische kenmerken bevatten die kwetsbaar zouden kunnen zijn voor cyberbeveiligingsbedreigingen.
De FDA geeft aanvullend inzicht in cyberapparaten die de mogelijkheid hebben om verbinding te maken met het internet. Alle fabrikanten moeten goed letten op deze vereisten, want ze zijn van toepassing ongeacht of de sponsor van plan is om het apparaat daadwerkelijk te verbinden met het internet of niet.
De voorgestelde updates geven ook aanbevelingen om te voldoen aan de vereisten van sectie 524B met betrekking tot documentatie, wijzigingen en de redelijke garantie van cyberbeveiliging. Belanghebbenden uit de sector hebben tot 13 mei 2024 de tijd om opmerkingen in te dienen voordat de FDA begint met het opstellen van een definitieve versie van het begeleidingsdocument.
Vooruitblik
De meeste fabrikanten zouden de meeste van deze praktijken al in hun premarket-aanvragen moeten opnemen, aangezien de definitieve richtlijnen voor cyberbeveiliging in medische hulpmiddelen in september 2023 van kracht werden. De aanbevelingen van de FDA in de bijgewerkte conceptrichtlijn kunnen echter nuttige informatie bieden voor fabrikanten om ervoor te zorgen dat ze alle vereiste onderdelen opnemen in hun FDA-documentatie.
De industrie voor medische hulpmiddelen kan verwachten dat de FDA cyberbeveiliging prioriteit zal blijven geven, vooral nu meer apparaten met elkaar verbonden worden en kunstmatige intelligentie en apparaten die gebruik maken van machine learning steeds vaker voorkomen. Het is in het belang van fabrikanten en sponsors om nieuwe ontwikkelingen nauwlettend in de gaten te houden en op de hoogte te blijven van de huidige best practices op het gebied van cyberbeveiliging. Voorbereiding op terugroepacties blijft ook van cruciaal belang omdat verbonden apparaten nieuwe risico's met zich meebrengen. Het zal belangrijk zijn voor bedrijven in medische hulpmiddelen om ervoor te zorgen dat niet alleen hun premarket-aanvragen voldoen aan de nieuwe regels, maar dat ook hun terugroepplannen worden herzien om rekening te houden met alle nieuwe overwegingen.
Tags: Brand protectionCompliance, cyber, cyberveiligheid, cyberbedreigingen, FDA, gezondheid, gezondheidszorg, fabrikanten, productie, medische zorg, medische apparatuur, medische beeldvorming, medische benodigdheden, merken behouden