Den nye artikel beskriver i detaljer den tilgang, der skal anvendes i forhold til tredje og fjerde trin af den samlede produktlivscyklus, samt til risikovurderingen i forbindelse med overgangen mellem trinene.
Indholdsfortegnelse:
International Medical Device Regulators Forum (IMDRF), en frivillig sammenslutning af nationale regulerende myndigheder inden for medicinsk udstyr, der samarbejder om yderligere forbedring af den eksisterende lovgivningsramme, har udgivet et vejledningsdokument dedikeret til cybersikkerhedsspørgsmål i forbindelse med ældre enheder. Dokumentet giver et overblik over de vigtigste aspekter, der skal tages i betragtning af alle involverede parter, og giver også yderligere anbefalinger, der skal følges for at sikre fortsat effektivitet af medicinsk udstyr samt patienternes sikkerhed. Samtidig er selve dokumentet ikke-bindende i sin juridiske karakter og har heller ikke til formål at indføre nye regler eller pålægge nye forpligtelser. Desuden kan anbefalinger givet deri være genstand for ændringer, hvis sådanne ændringer med rimelighed er nødvendige på grund af de nye oplysninger, der bliver tilgængelige for myndighederne og IMDRF.
IMDRF anerkender, at nogle af de medicinske anordninger, der er tilladt at blive markedsført og brugt, faktisk kan bruges længere end deres forventede levetid, selv om de endda ikke understøttes af deres oprindelige producenter. I et sådant tilfælde modtager de ikke længere opdateringer og sikkerhedsrettelser beregnet til at imødegå nye cybersikkerhedstrusler, der opstår, hvilket resulterer i yderligere cybersikkerhedsrisici, som personer, der bruger sådanne enheder, er udsat for. Nærværende vejledning beskriver den tilgang, der skal følges af alle parter, der er involveret i operationer med medicinsk udstyr, herunder både producenter af medicinsk udstyr og sundhedsinstitutioner, da cybersikkerhedsrelaterede spørgsmål er inden for alle parters fælles ansvar.
Især beskriver dokumentet i detaljer specifikke stadier af den samlede produktlivscyklus (TPLC) og fremhæver de vigtigste forhold, der skal overvejes på hvert trin ud fra et cybersikkerhedsperspektiv.
Begrænset support
Ifølge vejledningen er enheder inden for Limited Support Stage, som er tredje fase, de produkter, der:
- Anvendes til at yde patientpleje, og
- Er blevet erklæret EOL af producenten af medicinsk udstyr og er i øjeblikket ikke markedsført eller solgt af deres respektive producent af medicinsk udstyr, eller
- Indeholder software, firmware eller programmerbare hardwarekomponenter (f.eks. CPU), som (a) ikke understøttes af deres udviklere og (b) hvis risici for enhedens sikkerhed og effektivitet mindskes, hvilket resulterer i en enhed, der med rimelighed kan beskyttes mod aktuelle cybersikkerhedstrusler .
Som yderligere forklaret af IMDRF er producenter af medicinsk udstyr stadig ansvarlige for at håndtere cybersikkerhedstrusler, når det er muligt. For eksempel skulle det ikke være muligt for den oprindelige producent at udvikle opdateringer, kompatible tredjepartsprodukter kunne bruges.
I løbet af denne fase er enheden i høj grad afhængig af sikkerhedsforanstaltninger og kontroller, der er indbygget i design. Samtidig bør den oprindelige produktproducent informere brugerne om eventuelle begrænsninger eller trusler, der stadig kan eksistere, og også kommunikere oplysninger om yderligere sikkerhedsforanstaltninger, der skal træffes. Sammenlignet med produkterne i anden fase kræver enheder, der er i tredje fase, ofte yderligere kompenserende kontroller.
Service slutning
Den fjerde fase – End of Service (EOS) – gælder for medicinsk udstyr, der:
- Er i brug til at yde patientpleje, og
- Er blevet erklæret EOS af producenten af medicinsk udstyr og er i øjeblikket ikke markedsført eller solgt af deres respektive producent af medicinsk udstyr, eller
- Indeholder software, firmware eller programmerbare hardwarekomponenter (f.eks. CPU), som (a) ikke understøttes af deres udviklere og (b) hvis risici for enhedens sikkerhed og effektivitet ikke afbødes, hvilket resulterer i en enhed, der ikke med rimelighed kan beskyttes mod nuværende cybersikkerhed trusler.
Det er også anført, at producenter af medicinsk udstyr bør informere brugerne om, at det pågældende udstyr ikke længere vil blive understøttet, og også kommunikere information om potentielle risici og måder, de kan afbødes.
Risikovurdering
Dokumentet beskriver også den tilgang, der skal anvendes med hensyn til risikovurdering for at udløse en overgang til forskellige livscyklusstadier. IMDRF nævner især, at datoerne for, hvornår EOS nås for et medicinsk udstyr og dets softwarekomponenter, kan være anderledes – f.eks. en tredjeparts softwarekomponent kan bevidst have en kortere understøttet levetid, når enheden sælges, eller kan pludselig erklæres for ikke-understøttet år før producenten af medicinsk udstyr annoncerede slutdatoen for service. I tilfælde, hvor understøttelsen af en softwarekomponent udviklet af en tredjepart er kendt på forhånd, bør producenten således udarbejde planer, der dækker de risici, der opstår i denne henseende. IMDRF understreger desuden vigtigheden af at styre de risici, der er forbundet med potentiel pludselig EOS-erklæring, der ikke synkroniseres med selve enheden. I den forbindelse bør følgende tilgang overvejes:
- Hvis en enkelt kommentar i en enhed bliver til EOL/EOS, fungerer dette som en trigger for en MDM til at udføre en risikovurdering for at afgøre, om der opstår en patientsikkerhedsrisiko, og i så fald hvilken type.
- Hvis der er patientsikkerhedspåvirkninger, og enheden er i supportstadiet, bør MDM'er forsøge at mindske risikoen for den ikke-understøttede komponent via en opdatering eller anden designændring.
- Hvis der er patientsikkerhedspåvirkninger, og enheden er i det begrænsede supportstadium, bør MDM'er forsøge at mindske risikoen for den ikke-understøttede komponent (f.eks. via en designændring eller kompenserende kontrol).
Sammenfattende beskriver dette IMDRF-vejledningsdokument i detaljer den tilgang, der skal anvendes i forbindelse med risikovurdering, og giver også yderligere præciseringer vedrørende stadierne "Begrænset support" og "Afslutning af service" i den samlede produktlivscyklus. Dokumentet understreger vigtigheden af at indføre yderligere foranstaltninger, der er nødvendige for at sikre sikkerheden og den korrekte ydeevne af et medicinsk udstyr, når det ikke længere understøttes af producenten.
Hvordan kan RegDesk hjælpe?
RegDesk er et holistisk Regulatory Information Management System, der forsyner medicinsk udstyr og medicinalvirksomheder med regulatorisk intelligens til over 120 markeder verden over. Det kan hjælpe dig med at forberede og udgive globale applikationer, administrere standarder, køre ændringsvurderinger og få realtidsadvarsler om lovændringer gennem en centraliseret platform. Vores kunder har også adgang til vores netværk af over 4000 overholdelseseksperter verden over for at få bekræftelse på kritiske spørgsmål. Global ekspansion har aldrig været så enkel.
Vil du vide mere om vores løsninger? Tal med en RegDesk-ekspert i dag!
->
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- EVM Finans. Unified Interface for Decentralized Finance. Adgang her.
- Quantum Media Group. IR/PR forstærket. Adgang her.
- PlatoAiStream. Web3 Data Intelligence. Viden forstærket. Adgang her.
- Kilde: https://www.regdesk.co/imdrf-guidance-on-cybersecurity-for-legacy-devices-limited-support-end-of-service-and-risk-assessment/
- :har
- :er
- :ikke
- 1
- a
- Om
- adgang
- faktisk
- Yderligere
- Derudover
- adresse
- adressering
- fremme
- mod
- indberetninger
- Alle
- også
- an
- ,
- annoncerede
- enhver
- applikationer
- anvendt
- tilgang
- ER
- artikel
- AS
- aspekter
- Vurdering
- vurdering
- vurderinger
- forbundet
- Association
- At
- Myndigheder
- til rådighed
- BE
- bliver
- blive
- været
- før
- være
- mellem
- både
- by
- CAN
- kan ikke
- hvilken
- tilfælde
- tilfælde
- centraliseret
- lave om
- Ændringer
- kunder
- samarbejde
- KOMMENTAR
- kommunikere
- Virksomheder
- sammenligning
- kompatibel
- Compliance
- komponent
- komponenter
- overvejelse
- betragtes
- indhold
- sammenhæng
- fortsatte
- kontrol
- kontrol
- kunne
- dækker
- CPU
- kritisk
- Nuværende
- For øjeblikket
- Cybersecurity
- cyklus
- Dato
- Datoer
- dedikeret
- Design
- detail
- Bestem
- udvikle
- udviklet
- udviklere
- enhed
- Enheder
- forskellige
- dokumentet
- grund
- e
- hver
- effektivitet
- understreger
- ende
- sikre
- EOS
- Endog
- eksisterer
- eksisterende
- udvidelse
- forventet
- ekspert
- eksperter
- forklarede
- udsat
- gennemførlig
- efterfulgt
- efter
- Til
- forum
- Fjerde
- Framework
- fra
- yderligere
- Global
- global ekspansion
- stærkt
- vejledning
- Hardware
- Have
- sundhedspleje
- hjælpe
- højdepunkter
- holistisk
- HTTPS
- if
- Påvirkninger
- betydning
- vigtigt
- pålægge
- in
- Herunder
- Incorporated
- informere
- oplysninger
- initial
- instans
- institutioner
- Intelligens
- beregnet
- internationalt
- ind
- indføre
- indføre
- involverede
- IT
- ITS
- selv
- fælles
- jpg
- Venlig
- Kend
- kendt
- Legacy
- Politikker
- Livet
- levetid
- begrænsninger
- Limited
- længere
- administrere
- ledelse
- styringssystem
- styring
- Fabrikant
- Producenter
- Markeder
- Matters
- max-bredde
- Kan..
- foranstaltninger
- medicinsk
- medicinsk udstyr
- medicinsk udstyr
- nævner
- afbøde
- mere
- Desuden
- mest
- national
- Natur
- nødvendig
- netværk
- aldrig
- Ny
- ingen
- heller ikke
- forpligtelser
- opnå
- of
- tit
- on
- Produktion
- or
- ordrer
- Andet
- vores
- i løbet af
- oversigt
- særlig
- parter
- part
- Patches
- patient
- patientpleje
- patienter
- udføre
- ydeevne
- periode
- personer
- perspektiv
- Pharma
- planer
- perron
- plato
- Platon Data Intelligence
- PlatoData
- mulig
- potentiale
- Forbered
- præsentere
- Produkt
- Produkter
- passende
- beskyttet
- beskyttelse
- forudsat
- giver
- leverer
- offentliggøre
- offentliggjort
- spørgsmål
- Spørgsmål
- nået
- realtid
- modtage
- anbefalinger
- om
- Regulators
- lovgivningsmæssige
- kræver
- respekt
- dem
- ansvar
- ansvarlige
- resulterer
- Risiko
- risikovurdering
- risici
- regler
- Kør
- Sikkerhed
- samme
- Anden
- sikkerhed
- Sikkerhedsforanstaltninger
- tjener
- tjeneste
- bør
- Simpelt
- siden
- enkelt
- So
- Software
- solgt
- Løsninger
- nogle
- Kilder
- tale
- specifikke
- Stage
- etaper
- standarder
- erklærede
- Stadig
- emne
- sådan
- pludselige
- RESUMÉ
- support
- Understøttet
- systemet
- taget
- end
- at
- leddet
- deres
- derefter
- Der.
- deri
- de
- Tredje
- tredjepart
- denne
- trusler
- Gennem
- tid
- Titel
- til
- I alt
- overgang
- udløse
- Opdatering
- opdateringer
- brug
- anvendte
- brugere
- ved brug af
- Verifikation
- via
- frivillig
- ønsker
- måder
- GODT
- Hvad
- hvornår
- når
- som
- mens
- hvis
- vilje
- med
- inden for
- verdensplan
- år
- dig
- zephyrnet
