L’ultima linea guida FDA sulla cybersicurezza per MD

L’8 Aprile 2022, FDA ha pubblicato la bozza di una linea guida sulla cybersicurezza per gli MD, intitolata «Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions».
La nuova bozza ha l’obiettivo di sostituire la linea guida FDA sulla cybersicurezza del 2014.
Il testo è aperto ai commenti per un periodo di 90 giorni dalla pubblicazione (dunque fino al 7 Luglio 2022).

Nota:
Al momento, la nuova bozza non ha l’obiettivo di sostituire le seguenti linee guida (sempre in materia di cybersicurezza):

Le novità della nuova bozza: approcci TPLC e SPDF

Il nuovo testo sia copre la tematica delle pre-market submissions (come già la line guida del 2014), sia affronta considerazioni legate alle PMA (Pre Market Applications) e al Sistema Qualità.
Tocca inoltre questioni relative alla logica di programmazione di firmware o software (inclusi i SaMD – Software as a Medical Device) indipendentemente dal fatto che l’applicativo sia o meno connesso ad un ambiente più ampio.

Queste variazioni non cambiano in maniera sostanziale l’approccio di fondo – ovvero garantire che il dispositivo medico sia «safe and effective for its intended use
Tali novità consentono tuttavia una maggiore enfasi su due obiettivi:

  • mitigare il rischio per la cybersicurezza attraverso tutto il ciclo di vita del dispositivo (TPLC – Total Product LifeCycle);
  • raccomandare l’uso di un framework adeguato durante lo sviluppo del prodotto (SPDF – Secure Product Development Framework).

Nuovi requisiti per le informazioni sulle vulnerabilità di cybersicurezza

Il nuovo testo pone inoltre maggior enfasi rispetto all’accessibilità delle informazioni.
In modo particolare, il testo aumenta il numero delle informazioni chiave che il produttore deve comunicare all’Autorità all’intero della richiesta d’autorizzazione pre market.
Aumenta inoltre il numero delle informazioni relative a potenziali vulnerabilità di cybersicurezza che il produttore deve comunicare ai pazienti nell’etichetta del prodotto.

FDA precisa che safety e security sono concetti differenti, e che la gestione del rischio di ciascuna delle due categorie dev’essere pianificata e valutata in modo da non aumentare il rischio legato all’altra.
In modo particolare, il rischio di security è definito attorno al concetto di exploitability, ovvero la capacità, da parte di un agente malevolo, di sfruttare delle vulnerabilità.


Fonte:

Aggiornamenti per l’implementazione dell’IVDR

Le normative Europee per gli IVD hanno visto alcuni aggiornamenti nell’ottica di preparazione all’entrata in vigore dell’IVDR (In-Vitro diagnostic Device Regulation), stabilita per il 26 Maggio 2022.

Aggiornamenti al SSCP previsto dall’IVDR

La Reg (EU) 2017/745 richiede che i produttori di dispositivi medici iniettabili o di Classe III compilino un Summary of Safety and Clinical Performance (SSCP).
Tale documento dev’essere convalidato da un Organismo Certificato e reso pubblicamente accessibile tramite il database EUDAMED.

L’aggiornamento esplicita che il SSCP inserito in EUDAMED dev’essere collegato all’identificativo UDI del dispositivo.
Inoltre, da ora l’SSCP deve contenere un numero di riferimento del produttore.

Nuove azioni ad alta priorità nel Piano Congiunto per l’implementazione dell’IVDR

Il Piano Congiunto per l’implementazione dell’IVDR indica una serie di azioni necessarie, categorizzate in ordine di priorità: essenziali e ad alta priorità.
L’ultimo aggiornamento del Piano ha aggiunto alcune azioni ad alta priorità:

  • Sviluppare una linea guida sulla sorveglianza appropriata secondo l’Art. 110(3) dell’IVDR. La linea guida dovrebbe chiarire quali siano esattamente le «attività di sorveglianza appropriate» spettanti agli Organismi Notificati. Dovrebbe inoltre chiarire i requisiti specifici di alcuni obblighi per i produttori, in modo particolare per quanto riguarda il Sistema Qualità.
  • Approvare e sviluppare un template per il Summary of Safety and Performance.
  • Sviluppare una linea guida per l’applicazione dei requisiti IVDR ai legacy devices. L’art. 110(3) dell’IVDR contiene una «descrizione piuttosto generica» dei requisiti IVDR applicabili o meno ai legacy devices. Una linea guida esplicativa è quindi necessaria.
  • Linea guida per l’armonizzazione delle procedure amministrative. Quest’ultima azione propone una soluzione provvisoria per lo scambio d’informazioni tecniche e l’armonizzazione di procedure amministrative fino al raggiungimento della piena funzionalità di EUDAMED.

Aggiornamenti ai Moduli EUDAMED per gli Organismi Certificati

Dopo l’update di sistema del 4 Aprile 2022, la Commissione Europea ha annunciato degli aggiornamenti alla documentazione tecnica per gli Organismi Certificati.

La nuova IVDR stabilisce infatti che gli Organismi Certificati debbano

«Registrare in EUDAMED qualsiasi informazione riguardo ai certificati rilasciati (inclusi emendamenti e supplementi), sospesi, reintegrati, ritirati o rifiutati o altre restrizioni imposte a questi certificati. Tali informazioni devono essere pubblicamente accessibili.»

I dati rilevanti contenuti in questi certificati comprendono il nominativo del produttore, il rappresentante autorizzato, il produttore del pacchetto di procedure del sistema e l’identificativo Basic UDI.

La pubblica accessibilità di questi dati sarà ottenuta attraverso EUDAMED, tuttavia il loro inserimento nel database resterà facoltativo fino a che EUDAMED non sarà completamente operativo.


Fonti:

Conseguenze d’una analisi del rischio inadeguata: la Warning Letter FDA

L’esecuzione di una efficace analisi del rischio è di fondamentale importanza per gestire correttamente gli eventuali reclami ed implementare un piano CAPA adeguato.
Analisi inaccurate posso portare ad azioni tardive, con strascichi e conseguenze anche di lungo periodo, come riporta la seguente Warning Letter FDA.

Dalla prima analisi del rischio all’azione di richiamo

Nel Giugno 2016, la Medtronic Inc. – produttrice di dispositivi medici per pazienti diabetici e cardiopatici – eseguì una procedura di analisi del rischio in risposta a molteplici reclami.
Tali reclami riguardavano il malfunzionamento o la rottura degli anelli di sicurezza presenti all’interno di una pompa di insulina, commercializzata per pazienti diabetici.
L’analisi stabilì che i dispositivi necessitavano di un nuovo design, provvisto di un anello più robusto.
Allo stesso tempo, tuttavia, classificò come “improbabile” il rischio di gravi conseguenze per la salute connesso a questo tipo di guasti – e quindi non sufficiente a giustificare correzioni o azioni di richiamo dei prodotti.

Negli anni seguenti, di fronte ad un crescente numero di reclami, l’azienda avviò altre volte delle CAPA che includevano nuove analisi del rischio, e di nuovo concluse che procedure di recall non erano necessarie.
Inoltre, la direzione inizialmente preparò una comunicazione alla clientela riguardo al rischio di danneggiamento degli anelli di sicurezza, ma in un secondo momento decise di non effettuare quella comunicazione.
Solamente nel 2019, l’azienda decise di provvedere al richiamo dei prodotti distribuiti.
Tuttavia, nel periodo tra la prima analisi di rischio e l’effettiva azione di richiamo – più di tre anni – l’azienda ricevette un grosso numero di reclami, molti dei quali segnalati ad FDA come MDR (Medical Device Reporting). Per inciso, le cifre citate da FDA parlano di più di 74.000 reclami e più di 57.000 segnalazioni.

Ciò finì per attrarre l’attenzione dell’Autorità statunitense, che avviò un’ispezione il 6 Giugno del 2021, durata un mese.

L’ispezione e l’ analisi del rischio di FDA

FDA condusse una propria valutazione del rischio, con esito diverso rispetto a quella condotta dall’azienda nel 2016. Di conseguenza dichiarò quest’ultima non appropriata – e dichiarò non appropriate anche le misure prese in risposta.
L’Autorità indicò infatti che il metodo usato dall’azienda per il calcolo del rischio portava ad una sottostima della probabilità di danni alla salute.
Tuttavia, l’azienda aveva nel frattempo aggiornato – due volte – la propria procedura di analisi del rischio, modificando la formula usata per calcolarlo.
Ebbene, gli ispettori valutarono come inadeguati entrambi gli aggiornamenti.

Essi ritennero, infatti, troppo ampi i limiti parametrici di alcune classi di rischio: cosa che avrebbe portato a classificare alcuni rischi in classi inferiori rispetto a quanto opportuno. Espressero quindi la loro valutazione nelle osservazioni compiute al termine dell’ispezione.
L’azienda rispose dichiarando di aver basato i parametri della matrice di rischio su calcoli eseguiti a partire del tasso di mortalità da diabete di tipo 1.
FDA ritenne questa risposta inadeguata perché trascurava le altre possibili conseguenze gravi per la salute dei pazienti affetti da questa patologia.

Inoltre, gli ispettori notarono che, dopo le revisioni, la formula di calcolo del rischio si basava sul numero totale di prodotti spediti, anziché sul numero di prodotti effettivamente usati.
Naturalmente, i prodotti non attualmente in uso non possono generare reclami. La formula considerava di fatto tutti i dispositivi inutilizzati come conformi – laddove potenzialmente alcuni di essi non lo erano. Restituiva quindi una probabilità di malfunzionamento inferiore a quella effettiva.

Le non conformità dell’azione di recall

Quando l’azienda attivò la procedura di recall nel 2019, avvisò i propri clienti di controllare le loro pompe di insulina. Essi avrebbero dovuto verificare che gli anelli di sicurezza fossero integri. In caso avessero notato dei danni a questi anelli, avrebbero dovuto contattare l’azienda per ricevere una pompa sostitutiva.
Queste nuove pompe avevano una nuova progettazione, caratterizzata da un diverso anello di sicurezza – più robusto – in grado di prevenire questo tipo di rischio.

Tuttavia, l’azienda informò i propri clienti che, in caso non avessero notato alcun danno agli anelli di sicurezza, avrebbero dovuto continuare ad usare la vecchia pompa, senza ricevere una sostituzione.
FDA ritenne che questa decisione finì per compromettere l’efficacia del piano di recall. Secondo l’Autorità statunitense, infatti, l’azienda lasciò sul mercato molteplici dispositivi progettati col vecchio design e soggetti ad un rischio inaccettabile.

L’analisi del rischio dei nuovi dispositivi

L’azione di recall si inseriva all’interno di un piano CAPA più ampio. Esso prevedeva – tra le altre cose – una valutazione dell’efficacia delle pompe di nuova progettazione.
L’azienda confrontò il tasso di reclami delle pompe di insulina vecchie e il tasso di reclami di quelle nuove. Considerò soddisfacente l’esito del confronto e chiuse l’azione CAPA nell’ottobre del 2020.

Anche in questo caso, gli ispettori rilevarono una non-conformità. Il numero dei reclami ricevuti dall’azienda dopo l’introduzione delle nuove pompe, infatti, era sì inferiore rispetto a prima, ma rappresentava comunque una quantità rilevante.
Come da requisito, FDA si attendeva una rivalutazione dell’efficacia del piano CAPA da parte dell’azienda, che invece non era avvenuta.


Fonte:

MDR: il processo di marcatura CE

Per commercializzare i dispositivi medici in Unione Europea è necessaria la marcatura CE. Questa certificazione attesta che un dispositivo soddisfi tutti i requisiti regolatori necessari. Ma cosa cambia con l’entrata in vigore del nuovo Regolamento (MDR 2017/745)?

Gli step del processo

Step 1
Per ottenere la marcatura CE è necessario essere in compliance con il Regolamento UE 2017/745, noto come MDR.

Step 2
Nominare una Persona Responsabile della compliance normativa e classificare i propri dispositivi sulla base delle classi previste dall’Annex VIII del Regolamento.

Step 3
Implementare un Sistema di Gestione Qualità. La maggior parte delle aziende applica lo standard ISO 13485 per raggiungere la conformità. Il SGQ deve includere:

  • Valutazione Clinica
  • Post-Market Surveillance (PMS)
  • Post Market Clinical Follow-up (PMCF)

Step 4
In accordo con gli Annex II e III, preparare un Technical File o un Design Dossier che includa tutte le informazioni sul dispositivo e il suo intended use oltre ai report di test, il Clinical Evaluation Report, il risk management, le istruzioni d’uso, l’etichetta.

Ottenere un UDI per ogni dispositivo.

Il Technical File è una descrizione completa del dispositivo allo scopo di dimostrarne la compliance con i requisiti Europei.

Step 5
Se non si ha una sede in Europa, nominare un Rappresentante Autorizzato (EC REP) con sede in UE, qualificato nella gestione dei problemi regolatori. I riferimenti dell’EC REP devono essere presenti sull’etichetta del prodotto.

Ottenere un Single Registration Number dalle Autorità.

Step 6
Per tutti i dispositivi, eccetto quelli in Classe I, il SGQ e il Technical File devono essere oggetto di audit da parte di un Organismo Notificato.

Step 7
Per tutti i dispositivi eccetto quelli in Classe I, viene rilasciato un certificato di marcatura CE relativo al dispositivo e un certificato ISO 13485 relativo alla struttura dopo il superamento dell’audit. La certificazione ISO 13485 deve essere rinnovata ogni anno. I certificati di marcatura CE sono generalmente validi per un massimo di 5 anni, ma in genere vengono rivisti durante l’audit di sorveglianza annuale.

Step 8
Preparare una Dichiarazione di Conformità in accordo all’Annex IV. Si tratta di un documento legalmente vincolante preparato dal produttore e attestante che il dispositivo è in compliance con i requisiti Europei applicabili. A questo punto può essere apposto sul dispositivo il marchio CE.

Step 9
Registrare il dispositivo e il suo UDI in EUDAMED. L’UDI deve essere presente in etichetta ed essere associato ai rispettivi documenti regolatori.

Step 10
Per i dispositivi in Classe I non sono previsti audit annuali da parte degli Organismi Notificati. Tuttavia il Clinical Evaluation Report, il Technical File, e le attività di post-market surveillance devono essere tenute aggiornate.

Per tutte le altre classi, la frequenza dell’audit è annuale per garantire la conformità continua ai requisiti MDR. Non superare l’audit annuale invalida il certificato CE.

audit

Organismi Notificati e Audit: le alternative durante la pandemia

L’epidemia globale di COVID-19 e la rapida diffusione del virus in varie regioni del globo, con conseguenti restrizioni nei viaggi, ha influito in modo significativo sulla capacità degli Organismi Notificati di condurre audit in loco ai fabbricanti di Dispositivi Medici.

Per questo e per garantire la continua disponibilità di MD sicuri sul mercato, il Medical Device Coordination Group (MDCG) ha pubblicato una linea guida che delinea le temporanee misure straordinarie per gli organismi notificati.

Il brevissimo documento parla di:

  • Audit di sorveglianza in accordo alle direttive MD 
  • Audit di rinnovo della certificazione 
  • Audit a seguito di notifiche di modifiche
  • Certificazione iniziale

Il documento fa riferimento alle direttive UE ancora valide e al nuovo Regolamento, laddove necessario, e non si applica a audit a sorpresa e audit molto specifici (ad esempio quelli per verificare le azioni correttive in un sito).

In generale, queste misure straordinarie non dovrebbero essere applicate a audit di certificazione iniziale o audit per estendere il campo di applicazione della certificazione. Tuttavia, gli Organismi Notificati valuteranno caso per caso secondo un approccio basato sul rischio.

Gli Organismi Notificati dovrebbero disporre di procedure che descrivano in dettaglio le misure temporanee da utilizzare e dovrebbero definire i criteri per l’attuazione tali misure. Le procedure dovrebbero prendere in considerazione anche le tecnologie da utilizzare durante tali audit e l’impatto delle misure alternative sulla durata dell’audit.

Ma quali sono queste misure?

  • Posticipo dell’audit on-site
  • Audit da remoto
  • Valutazione della documentazione al di fuori dell’azienda auditata
  • Considerazione dei risultati degli audit MDSAP
  • Adozione di linee guida internazionali sui metodi alternativi di audit

Nella linea guida si specifica inoltre che gli audit da remoto devono prendere in considerazione non solo gli aspetti tecnici ma anche la protezione dei dati, della proprietà intellettuale e della sicurezza informatica.

La linea guida rimarrà valida fino a quando la WHO non dichiarerà superata l’emergenza Covid-19.


Fonte

Guidance on temporary extraordinary measures related to medical device Notified Body audits during COVID-19 quarantine orders and travel restrictions