Ultimo aggiornamento: 2 anni fa
L’8 Aprile 2022, FDA ha pubblicato la bozza di una linea guida sulla cybersicurezza per gli MD, intitolata «Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions».
La nuova bozza ha l’obiettivo di sostituire la linea guida FDA sulla cybersicurezza del 2014.
Il testo è aperto ai commenti per un periodo di 90 giorni dalla pubblicazione (dunque fino al 7 Luglio 2022).
Nota:
Al momento, la nuova bozza non ha l’obiettivo di sostituire le seguenti linee guida (sempre in materia di cybersicurezza):
- Postmarket Management of Cybersecurity in Medical Devices, 2016
- Content of Premarket Submissions for Management of Cybersecurity in Medical Devices, 2014
- Cybersecurity for Networked Medical Devices Containing Off-the-Shelf (OTS) Software, 2005
Le novità della nuova bozza: approcci TPLC e SPDF
Il nuovo testo sia copre la tematica delle pre-market submissions (come già la line guida del 2014), sia affronta considerazioni legate alle PMA (Pre Market Applications) e al Sistema Qualità.
Tocca inoltre questioni relative alla logica di programmazione di firmware o software (inclusi i SaMD – Software as a Medical Device) indipendentemente dal fatto che l’applicativo sia o meno connesso ad un ambiente più ampio.
Queste variazioni non cambiano in maniera sostanziale l’approccio di fondo – ovvero garantire che il dispositivo medico sia «safe and effective for its intended use.»
Tali novità consentono tuttavia una maggiore enfasi su due obiettivi:
- mitigare il rischio per la cybersicurezza attraverso tutto il ciclo di vita del dispositivo (TPLC – Total Product LifeCycle);
- raccomandare l’uso di un framework adeguato durante lo sviluppo del prodotto (SPDF – Secure Product Development Framework).
Nuovi requisiti per le informazioni sulle vulnerabilità di cybersicurezza
Il nuovo testo pone inoltre maggior enfasi rispetto all’accessibilità delle informazioni.
In modo particolare, il testo aumenta il numero delle informazioni chiave che il produttore deve comunicare all’Autorità all’intero della richiesta d’autorizzazione pre market.
Aumenta inoltre il numero delle informazioni relative a potenziali vulnerabilità di cybersicurezza che il produttore deve comunicare ai pazienti nell’etichetta del prodotto.
FDA precisa che safety e security sono concetti differenti, e che la gestione del rischio di ciascuna delle due categorie dev’essere pianificata e valutata in modo da non aumentare il rischio legato all’altra.
In modo particolare, il rischio di security è definito attorno al concetto di exploitability, ovvero la capacità, da parte di un agente malevolo, di sfruttare delle vulnerabilità.
