IMDRF om cybersikkerhed for ældre enheder (supportfase – kommunikation) - RegDesk

IMDRF om cybersikkerhed for ældre enheder (supportfase – kommunikation) – RegDesk

Tidsstempel: 18. juni 2023 kl. 1
Kildeknude: 2750699

Den nye artikel beskriver i detaljer den tilgang, der skal anvendes med hensyn til kommunikationsrelaterede forhold i supportfasen af ​​den samlede produktlivscyklus.

Indholdsfortegnelse:

International Medical Device Regulators Forum (IMDRF), en sammenslutning af nationale regulerende myndigheder, der samarbejder om yderligere forbedring af den eksisterende lovgivningsramme, har udgivet et vejledningsdokument dedikeret til principperne og praksisserne for cybersikkerhed af ældre medicinsk udstyr – dem, der ikke er længere understøttet af deres oprindelige producenter – da sådanne produkter kan være særligt sårbare over for cybersikkerhedstrusler, fordi de ikke modtager opdateringer og patches, mens de stadig er i brug. Dokumentet fremhæver de vigtigste punkter, der skal tages i betragtning af producenter af medicinsk udstyr, såvel som sundhedspersonale, for at sikre den korrekte ydeevne af ældre medicinsk udstyr og patienternes sikkerhed. Samtidig er vejledningens bestemmelser ikke-bindende i deres juridiske karakter og har heller ikke til formål at indføre nye regler eller pålægge nye forpligtelser. IMDRF omstøder også retten til at ændre vejledningen og anbefalingerne deri, hvis sådanne ændringer med rimelighed er nødvendige for at afspejle de ændringer, der er indført til de underliggende regler, eller de nye oplysninger bliver tilgængelige. 

Det er også vigtigt at nævne, at cybersikkerhedsspørgsmål ligger inden for det fælles ansvar for alle de involverede parter i operationer med medicinsk udstyr, så deres effektive samarbejde er af afgørende betydning. 

Dokumentet beskriver i detaljer de vigtigste overvejelser relateret til hver specifik fase af den samlede produktlivscyklus (TPLC). Denne artikel er dedikeret til dem, der er relateret til Support Life Cycle Stage og skitserer de involverede parters hovedansvar samt de relevante forventninger.

Kommunikation: Generelt

Først og fremmest beskriver dokumentet den tilgang, der skal anvendes med hensyn til kommunikation. Som det blev nævnt før, er kommunikation af afgørende betydning for at sikre cybersikkerhed og modstå de relevante trusler. Dokumentet understreger desuden vigtigheden af ​​at sikre, at al kommunikation under supportfasen er omfattende. Ifølge vejledningen bør hver part, der er involveret i operationer med medicinsk udstyr, som det allerførste trin begynde med at bestemme omfanget af dokumentation og information, det kræver, samt den korrekte timing for, at den skal indhentes. Når disse krav er fastlagt, skal de kommunikeres til og aftales med andre involverede parter. Vejledningen giver generelle anbefalinger, der skal overvejes, mens den specifikke tilgang, der skal anvendes, bør fastlægges fra sag til sag.

Anbefalinger: Producenter af medicinsk udstyr

IMDRF starter med at skitsere de anbefalinger, der skal følges af producenter af medicinsk udstyr. I henhold til vejledningen skal sidstnævnte:

  1. Levere produktsikkerhedsdokumentation, der med rimelighed er nødvendig for andre parter for at sikre sikkerheden og den korrekte ydeevne af det pågældende medicinske udstyr, når det bruges til det tilsigtede formål, og som også dækker de risikorelaterede forhold. I henhold til vejledningen kan passende dokumentation omfatte:
    1. Producentens oplysningserklæring for medicinsk udstyrssikkerhed (MDS2);
    2. Softwarestykliste (SBOM);
    3. Resuméer af sikkerhedstestrapporter, tredjeparts sikkerhedscertificeringer eller lignende;
    4. Kundesikkerhedsdokumentation (f.eks. tekniske instruktioner til at sikre sikker implementering, drift og servicering, herunder oplysninger om grænseflader, kommunikationsprotokoller og netværk, Cloud eller kommunikationsafhængigheder for systemet).  
  2. Lever produktlivscyklusdokumentation - den, der er relateret til vigtige milepæle, der påvirker enhedens status (f.eks. datoen, hvor den nuværende support ophører), samt detaljerne om installationsprocedurer. Vejledningen understreger desuden vigtigheden af ​​at give information så lang tid i forvejen som muligt – antallet af 2 år er givet som reference ud fra gældende praksis. Det forventes især, at producenter af medicinsk udstyr giver information relateret til:
  • Berørt enhed,
  • Enhedens operativsystem(er),
  • Den installerede version af enheden,
  • Identifikation af softwarekomponenter,
  • Forventet dato for serviceændringer,
  • Omfanget af tilgængelig vedligeholdelse efter disse ændringer,
  • Yderligere kompenserende kontroller. 
    1. Lever relevant opdateret produktsikkerheds- og livscyklusdokumentation. IMDRF anerkender, at sikkerhedsrelateret dokumentation kan være genstand for ændringer i hele produktets livscyklus. For at sikre, at de vigtige ændringer er behørigt kommunikeret til alle involverede parter, er producenten af ​​medicinsk udstyr ansvarlig for at udstede og distribuere opdateringerne (kan være i elektronisk form), der beskriver den tilgang, der skal anvendes til at håndtere de nyligt identificerede risici. 
    2. Giv oplysninger om sårbarhed og patching. Ifølge vejledningen, når en ny sårbarhed er opdaget, er en producent af medicinsk udstyr ansvarlig for at levere de relevante oplysninger, såvel som detaljerne om, hvordan den nævnte sårbarhed kunne afbødes. Som yderligere forklaret af IMDRF, det forventes, at højrisikosårbarheder bør prioriteres højt, hvor rettidig kommunikation er påkrævet for at forhindre patientskade eller afbrydelse af enheden; derudover bør afhjælpningsmetoden (f.eks. over-air-opdatering, indsættelse af servicepersonale til installation) og implementeringsinstrumenter stilles til rådighed for enhedsoperatørerne. 
    3. Sørg for proaktiv kommunikation til tredjepartskomponenter. Nogle gange vil de komponenter, der bruges til enheden, nå slutningen af ​​støtten før de overordnede enheder, hvilket skaber yderligere risici på grund af manglen på understøttelse af sådanne komponenter. For at imødegå sådanne risici bør producenter af medicinsk udstyr:
  • Spor supportstatus for de tredjepartskomponenter, der bruges på deres enhed;
  • Vurder de risici, der kan eksistere, hvis og når disse tredjepartskomponenter ikke understøttes;
  • Kommuniker nye risici og alle tilgængelige begrænsninger til sundhedsudbydere. 

Ud over de ovennævnte aspekter er producenter af medicinsk udstyr også ansvarlige for at formidle vigtig information om produktlivscyklusstadier til patienterne. 

Anbefalinger: Sundhedsudbydere

Dokumentet skitserer også de anbefalinger, der skal følges af sundhedsudbydere, der bruger medicinsk udstyr under og efter udløbet af deres tilsigtede brugsperiode. Ifølge vejledningen skal sundhedsudbydere med hensyn til støttefasen:

  1. Identificer informationsbehov for alle de produkter, de bruger. 
  2. Pre-Procurement Communications - anmode om vigtig information til producenter af medicinsk udstyr på forhånd, før anskaffelse af enheden. 

Sammenfattende skitserer denne IMDRF-vejledning de vigtigste overvejelser relateret til supportfasen af ​​den samlede produktlivscyklus. Dokumentet fremhæver de vigtigste aspekter og beskriver også alle involverede parters ansvar.

kilder:

https://www.imdrf.org/documents/principles-and-practices-cybersecurity-legacy-medical-devices

Hvordan kan RegDesk hjælpe?

RegDesk er et holistisk Regulatory Information Management System, der forsyner medicinsk udstyr og medicinalvirksomheder med regulatorisk intelligens til over 120 markeder verden over. Det kan hjælpe dig med at forberede og udgive globale applikationer, administrere standarder, køre ændringsvurderinger og få realtidsadvarsler om lovændringer gennem en centraliseret platform. Vores kunder har også adgang til vores netværk af over 4000 overholdelseseksperter verden over for at få bekræftelse på kritiske spørgsmål. Global ekspansion har aldrig været så enkel.

<!–

Vil du vide mere om vores løsninger? Tal med en RegDesk-ekspert i dag!

->

Tidsstempel:

Mere fra Reg Desk