Il 18 ottobre 2018, l’FDA statunitense ha pubblicato la bozza della linea guida contenenti aggiornamenti ai requisiti di gestione della sicurezza informatica dei dispositivi medici che contengono software emessi nella linea guida del 2014.

 

Il 18 ottobre 2018, la Food and Drug Administration degli Stati Uniti ha pubblicato la bozza della linea guida “Content of Premarket Submissions for Management of Cybersecurity in Medical Devices” contente aggiornamenti relativi ai requisiti di gestione della sicurezza informatica dei dispositivi medici che contengono software.

Con l’obiettivo di aggiornare i requisiti della linea guida emessa nel 2014, il documento emesso fornisce raccomandazioni per quanto riguarda le informazioni relative alla progettazione, all’etichettatura e alla documentazione da inserire all’interno delle richieste di registrazioni pre- market 510 (K), della Premarket approval Application (PMA), De Novo e Humanitarian Device Exemption (HDE).

In particolare, nella linea guida è stato introdotto un sistema di categorizzazione dei rischi relativi alla sicurezza informatica dei dispositivi medici basato su due livelli:

• Il livello 1, cioè il rischio di sicurezza informatica più elevato, include dispositivi in grado di connettersi ad altri prodotti medici o non medici, a una rete più ampia o a Internet. Rientrano in questo gruppo pacemaker, defibrillatori impiantabili, dispositivi per dialisi e pompe per infusione e insulina. Un possibile problema di cybersecurity può portare danni a più persone.
• Il livello 2, cioè il livello di rischio standard di sicurezza informatica, coprirebbe qualsiasi dispositivo che non soddisfa i criteri di inclusione del livello 1.

La linea guida sottolinea che la categorizzazione sopra menzionata non sempre coincide perfettamente con le politiche di classificazione basate sul rischio: ad esempio, sulla base della valutazione del produttore e della progettazione del dispositivo, un dispositivo di classe II come una pompa di infusione può rientrare nel livello  di rischio di cybersecurity superiore mentre un dispositivo di classe III, come un dispositivo di aterectomia coronarica senza connessione, può soddisfare i criteri di rischio più basso.

Per quanto riguarda la documentazione, i fabbricanti di dispositivi che rientrano nel livello 1 devono inviare la documentazione relativa alla progettazione dimostrando di soddisfare i seguenti criteri:

• Il design supporta il rilevamento tempestivo di incidenti di sicurezza informatica.
• Il design consente al dispositivo di rispondere e contenere l’impatto di un incidente di sicurezza informatica.
• Il design facilita il recupero di capacità e / o servizi compromessi di problemi di cybersecurity.

I fabbricanti di dispositivi di livello 2, invece, devono presentare una documentazione di progettazione che dimostrino i requisiti suddetti o fornire una motivazione basata sul rischio che spieghi perché i controlli di progettazione della sicurezza informatica non siano necessari.

Sia per i dispositivi di livello 1 che quelli di livello 2, la documentazione deve includere anche diagrammi di sistema che spieghino la modalità con cui gli elementi di progettazione funzionano a livello di sistema.

La linea guida è in fase di pubblica consultazione pertanto le parti interessati hanno 3 mesi di tempo per inviare i loro commenti.


Fonti

https://www.fda.gov/downloads/MedicalDevices/DeviceRegulationandGuidance/GuidanceDocuments/UCM623529.pdf?utm_campaign=FDA%20Releases%20Draft%20Recom%20on%20Premrkt%20Sub%20Manag%20Cybersecurity&utm_medium=email&utm_source=Eloqua


Leave A Comment