Caracteristici speciale ale software-ului
Software-ul diferă de dispozitivele medicale tradiționale într-un aspect esențial: se schimbă rapid. Versiunile, patch-urile, mediile cloud, interfețele, funcțiile AI și riscurile de securitate cibernetică sunt toate părți naturale ale ciclului său de viață. MDR ia în considerare acest lucru. Pentru software, anexa I impune, printre altele, o abordare de ultimă generație a ciclului de viață al dezvoltării, gestionarea riscurilor, verificarea și validarea, precum și cerințe minime pentru hardware, rețele IT și protecția împotriva accesului neautorizat. Prin urmare, securitatea cibernetică nu este o problemă IT secundară, ci mai degrabă o parte a siguranței și performanței produsului.
În special în ceea ce privește software-ul, nu codul este important, ci scopul medical. O aplicație de wellness nu se califică drept software medical doar pentru că este complexă din punct de vedere tehnic. În schimb, o aplicație aparent simplă poate foarte bine să intre sub incidența MDR dacă informațiile sale sunt utilizate pentru decizii diagnostice sau terapeutice. Orientările actuale ale MDCG privind calificarea și clasificarea software-ului clarifică exact această distincție.
Cerințe din MDR - unde pot fi găsite?
Oricine dorește să introducă un software pe piață în conformitate cu MDR trebuie să citească foarte atent secțiunile relevante ale regulamentului. Cele mai importante secțiuni sunt:
Anexa I, care stabilește cerințele generale de siguranță și performanță. Pentru software, cerințele privind procesul de dezvoltare, gestionarea riscurilor, securitatea informațiilor, validarea și mediul IT sunt deosebit de relevante aici.
Anexele II și III reglementează documentația tehnică, precum și cerințele pentru supravegherea ulterioară introducerii pe piață. Pentru software, acestea includ, de asemenea, dovezi ale verificării și validării software-ului ca parte a documentației produsului.
Anexa VIII, în special regula 11, este esențială pentru clasificarea software-ului medical. MDCG 2019-11, revizuit în 2025, explică cele trei principii de bază ale regulii 11: software care furnizează informații pentru decizii diagnostice sau terapeutice; software care monitorizează procesele fiziologice; și "toate celelalte software-uri". În funcție de relevanța clinică, clasificarea poate varia de la clasa I la clasa III.
Articolul 52 și anexele IX-XI descriu evaluarea conformității. Pentru dispozitivele din clasa I, declarația de conformitate este, în general, emisă chiar de producător; pentru dispozitivele din clasa IIa și superioare, este necesară implicarea unui organism notificat.
În sfârșit,anexa XIV este referința centrală pentru evaluarea clinică și urmărirea clinică postcomercializare (PMCF). În special în ceea ce privește software-ul, acesta este un domeniu care este adesea stabilit sistematic prea târziu.
Cele mai importante standarde pentru software-ul medical
MDR specifică cerințele de reglementare. Cu toate acestea, în implementarea practică, unele standarde sunt deosebit de importante deoarece definesc "stadiul actual al tehnologiei".
IEC 62304 este standardul de bază pentru ciclul de viață al software-ului medical. Acesta descrie procesele de dezvoltare și întreținere a software-ului atunci când software-ul în sine este un dispozitiv medical sau o parte integrantă a unui dispozitiv medical.
ISO 14971 este standardul de referință pentru gestionarea riscurilor dispozitivelor medicale, incluzând în mod explicit software-ul ca dispozitiv medical.
ISO 13485 este standardul central de management al calității pentru dispozitivele medicale pe întregul ciclu de viață al produsului. Pentru producătorii care doresc să înființeze o organizație robustă conformă cu MDR, acesta servește drept bază operațională practică.
IEC 62366-1 acoperă ingineria utilizabilității. Aceasta este deosebit de relevantă pentru software, deoarece funcționarea incorectă, îndrumarea înșelătoare a utilizatorului sau alarmele neclare pot avea consecințe imediate asupra siguranței.
IEC 82304-1 este deosebit de relevant pentru software-ul de sănătate pe platforme IT generale, adică pentru produse fără hardware dedicat. Standardul abordează siguranța și securitatea la nivel de produs și este, prin urmare, de mare importanță pentru multe produse software autonome sau Software as a Medical Device (SaMD). Este deosebit de important faptul că IEC 82304-1 definește cerințe specifice pentru validarea SaMD și este menționat simultan în IEC 62304, care este armonizat în cadrul MDR.
Clasificarea: Primul pas crucial
Cea mai comună și importantă întrebare inițială este: în ce clasă se încadrează software-ul meu? Tocmai aici eșuează multe proiecte - nu din cauza tehnologiei, ci din cauza unui scop propus neclar. Conform MDCG 2019-11 Rev.1, regula 11 se aplică, în esență, pe baza faptului dacă software-ul furnizează informații pentru decizii de diagnostic sau terapeutice, monitorizează procese fiziologice sau se încadrează în categoria reziduală. Exemplele din ghid arată că software-ul care sprijină diagnosticarea sau terapia poate intra rapid în clasa IIa, IIb sau III, în timp ce "toate celelalte software-uri" fac parte din clasa I.
Prin urmare, din perspectiva unui organism notificat, este clar: clasificarea nu este un pas administrativ la final, ci fundamentul întregii strategii de autorizare a introducerii pe piață. Aceasta influențează domeniul de aplicare al dovezilor clinice, profunzimea documentației tehnice, cerințele PMS/PMCF și, desigur, întrebarea dacă și în ce măsură trebuie să fie implicat un organism notificat.
Date clinice: Nu va funcționa fără dovezi clinice
Pentru software-ul medical, dovezile clinice nu sunt un "nice-to-have". MDCG 2020-1 stipulează în mod explicit că software-ul medical cu scop propriu și beneficiu clinic declarat necesită dovezi clinice ca parte a evaluării conformității sale. Scopul este de a demonstra că software-ul este sigur, își atinge performanța și oferă beneficiul clinic pretins.
În practică, acest lucru înseamnă pentru software: nu este suficient să se demonstreze pur și simplu că algoritmul funcționează din punct de vedere tehnic. De asemenea, trebuie să se evalueze dacă software-ul furnizează informațiile corecte într-un context clinic, modul în care sunt utilizate aceste informații și dacă rezultă efectiv un beneficiu demonstrabil. Evaluarea clinică nu este un document unic, ci un proces continuu.
Urmărirea clinică postcomercializare (PMCF)
PMCF este adesea subestimată în contextul software-ului. MDR definește PMCF ca un proces continuu care actualizează evaluarea clinică și trebuie să fie ancorat în planul PMS al producătorului. Aceasta este exact ceea ce descrie în mod explicit șablonul PMCF al MDCG.
PMCF este deosebit de important pentru software, deoarece contextele de utilizare, sistemele de operare, interfețele, amenințările cibernetice și modelele de utilizare clinică sunt în continuă schimbare. Prin urmare, producătorii au nevoie nu numai de o strategie solidă de autorizare a introducerii pe piață, ci și de un sistem robust de colectare și evaluare a datelor privind performanța și siguranța în lumea reală după lansarea pe piață, precum și de utilizarea acestor date pentru îmbunătățirea produselor.
Cum funcționează procesul de certificare din perspectiva unui organism notificat?
Calea către certificare poate fi rezumată în șase etape-cheie.
În primul rând: Utilizarea prevăzută trebuie să fie definită cu precizie. Aceasta este singura modalitate de a determina clar dacă software-ul intră sub incidența MDR.
În al doilea rând: software-ul trebuie să fie clasificat corect - de obicei pe baza anexei VIII și a regulii 11.
În al treilea rând: compania are nevoie de un sistem adecvat de management al calității și de un proces de dezvoltare verificabil, de ultimă generație, bazat de obicei pe ISO 13485, IEC 62304, ISO 14971 și alte standarde în funcție de produs.
În al patrulea rând: documentația tehnică trebuie să fie completă, structurată și trasabilă - inclusiv verificarea și validarea software-ului.
În al cincilea rând: evaluarea clinică, PMS și PMCF trebuie să fie structurate corespunzător pentru produs.
Alșaselea: în cazul în care clasificarea necesită implicarea unui organism notificat, evaluarea oficială a conformității urmează procedurile stabilite în MDR.
