Securitatea cibernetică în domeniul dispozitivelor medicale: Ce trebuie să știe producătorii

Ca Axel Wirth de la Medcrypt a subliniat în timpul unui webinar organizat de RAPS Ontario: "Da, dispozitivele medicale ar trebui să fie sigure și securizate, dar ceea ce afectează un volum mare de pacienți sunt atacurile ransomware asupra spitalelor". Cercetările efectuate de Choi, Johnson și Lehman subliniază faptul că pacienții din afara spitalului sunt deosebit de vulnerabili atunci când remedierea breșelor încetinește fluxul de informații clinice.

Evoluția reglementărilor

"Atât în Europa, cât și în Statele Unite, autoritățile de reglementare consideră acum securitatea cibernetică ca fiind inseparabilă de calitatea și siguranța dispozitivelor medicale, ceea ce face ca conformitatea să fie o condiție esențială pentru accesul pe piață", spune Yuan Li, director de afaceri medicale la DQS și contribuitor expert la informațiile din industrie. Iată ce acoperă acest lucru în fiecare regiune:

Uniunea Europeană: Acoperirea MDR

Regulamentul UE privind dispozitivele medicale (MDR) face din conformitatea cu securitatea cibernetică o condiție prealabilă pentru intrarea pe piață. Acest lucru se aplică nu numai producătorilor de dispozitive, ci și oricărei organizații din lanțul de aprovizionare și de servicii care atinge date medicale.

Statele Unite ale Americii: Ghidul FDA

În SUA, FDA și-a modernizat supravegherea prin alinierea la ISO 13485. Wirth a observat că "FDA are acum o autoritate sporită în ceea ce privește securitatea cibernetică, iar alinierea sa la ISO 13485 ridică și mai mult ștacheta pentru producători".

Aceasta înseamnă că, începând din 2023, FDA are o autoritate mai mare asupra securității cibernetice, iar cele mai recente orientări stabilesc așteptări clare:

• Monitorizarea continuă a dispozitivelor pentru vulnerabilități.
• Remedierea în timp util prin patch-uri și actualizări.
• Comunicarea politicilor de asistență la sfârșitul ciclului de viață (EOL), astfel încât furnizorii de asistență medicală să înțeleagă când dispozitivele nu vor mai fi securizate.

De ce mai contează certificarea

Wirth și Li sunt de acord: Obiectivul principal al certificării rămâne neschimbat: dispozitivele trebuie să fie sigure la utilizare și fiabile pe tot parcursul ciclului lor de viață.

Securitatea cibernetică se află acum în centrul acestei cerințe. Un dispozitiv care este funcțional, dar vulnerabil din punct de vedere digital nu poate fi considerat sigur. Pentru producători, securitatea cibernetică a trecut de la un exercițiu de conformitate la o componentă esențială a calității produselor.

Lista de verificare practică pentru producătorii de dispozitive medicale

Așteptările FDA pot fi distilate în patru practici esențiale:

• Monitorizarea și remedierea continuă a problemelor de securitate cibernetică.
• Lansarea de actualizări programate pentru riscurile cunoscute.
• Corectarea imediată a amenințărilor critice atunci când acestea sunt descoperite.
• Planificați și comunicați termenele de sfârșit de viață (EOL) pentru a vă asigura că utilizatorii nu rămân niciodată cu dispozitive fără suport.

Aliniere globală: MDSAP, MDR și ISO 13485

Pentru producătorii care operează la nivel internațional, eforturile de armonizare remodelează așteptările privind calitatea și securitatea cibernetică. Programul de audit unic al dispozitivelor medicale (MDSAP) permite unui singur audit să îndeplinească cerințele de reglementare ale mai multor jurisdicții, inclusiv SUA, Canada, Brazilia, Japonia și Australia. Deoarece auditurile MDSAP se bazează pe ISO 13485standardul de management al calității este în prezent coloana vertebrală a conformității globale. MDR al UE adaugă un alt nivel prin încorporarea explicită a securității cibernetice și a obligațiilor de supraveghere postcomercializare. Împreună, aceste cadre creează un limbaj comun: securitatea cibernetică nu mai este o preocupare IT periferică, ci o cerință de bază în materie de calitate și siguranță pe toate piețele importante.

Perspective pentru producători

Peisajul de reglementare se îndreaptă către o responsabilitate activă după punerea pe piață. Producătorii care integrează monitorizarea, răspunsul rapid și comunicarea transparentă în sistemele lor de calitate vor fi mai bine poziționați nu numai pentru a îndeplini cerințele de conformitate, ci și pentru a menține încrederea spitalelor și a pacienților.