Il nuovo articolo descrive nel dettaglio l'approccio da applicare rispetto alla terza e quarta fase del ciclo di vita totale del prodotto, nonché alla valutazione del rischio nel contesto di transizione tra le fasi.
Sommario:
L’International Medical Device Regulators Forum (IMDRF), associazione volontaria di autorità nazionali di regolamentazione nell’ambito dei dispositivi medici che collaborano per un ulteriore miglioramento del quadro normativo esistente, ha pubblicato un documento guida dedicato alle questioni di cybersecurity nel contesto dei dispositivi legacy. Il documento fornisce una panoramica degli aspetti più importanti che devono essere presi in considerazione da tutte le parti coinvolte, e fornisce anche ulteriori raccomandazioni da seguire per garantire la continua efficacia dei dispositivi medici e la sicurezza dei pazienti. Allo stesso tempo, il documento stesso non è vincolante nella sua natura giuridica, né è destinato a introdurre nuove regole o imporre nuovi obblighi. Inoltre, le raccomandazioni ivi fornite potrebbero essere soggette a modifiche, qualora tali modifiche fossero ragionevolmente necessarie a causa delle nuove informazioni rese disponibili alle autorità e all'IMDRF.
L'IMDRF riconosce che alcuni dei dispositivi medici autorizzati a essere commercializzati e utilizzati potrebbero effettivamente essere utilizzati più a lungo del periodo di vita previsto, pur non essendo supportati dai produttori iniziali. In tal caso, non ricevono più aggiornamenti e patch di sicurezza destinati ad affrontare le nuove minacce alla sicurezza informatica che si presentano, con conseguenti ulteriori rischi per la sicurezza informatica a cui sono esposte le persone che utilizzano tali dispositivi. La presente guida descrive l’approccio che devono seguire tutte le parti coinvolte nelle operazioni con dispositivi medici, compresi sia i produttori di dispositivi medici che le istituzioni sanitarie, poiché le questioni relative alla sicurezza informatica rientrano nella responsabilità congiunta di tutte le parti.
In particolare, il documento descrive nel dettaglio le fasi specifiche del Total Product Life Cycle (TPLC) ed evidenzia gli aspetti più importanti da considerare in ciascuna fase dal punto di vista della cybersecurity.
Supporto limitato
Secondo le linee guida, i dispositivi che rientrano nella fase di supporto limitato, ovvero la terza fase, sono i prodotti che:
- Sono utilizzati per fornire assistenza ai pazienti e
- Sono stati dichiarati EOL dal produttore del dispositivo medico e non sono attualmente commercializzati o venduti dal rispettivo produttore del dispositivo medico, oppure
- Contengono software, firmware o componenti hardware programmabili (ad esempio, CPU) che (a) non sono supportati dai rispettivi sviluppatori e (b) i cui rischi per la sicurezza e l'efficacia del dispositivo sono mitigati, risultando in un dispositivo che può essere ragionevolmente protetto dalle attuali minacce alla sicurezza informatica .
Come spiegato ulteriormente dall’IMDRF, in questa fase i produttori di dispositivi medici sono ancora responsabili di affrontare le minacce alla sicurezza informatica quando possibile. Ad esempio, se non fosse possibile per il produttore iniziale sviluppare aggiornamenti, potrebbero essere utilizzati prodotti compatibili di terze parti.
Durante questa fase, il dispositivo fa molto affidamento sulle misure di sicurezza e sui controlli incorporati in fase di progettazione. Allo stesso tempo, il produttore iniziale del prodotto dovrebbe debitamente informare gli utenti su eventuali limitazioni o minacce che potrebbero ancora esistere, nonché comunicare informazioni sulle ulteriori misure di protezione della sicurezza da adottare. Rispetto ai prodotti del secondo stadio, i dispositivi del terzo stadio richiedono molto spesso controlli di compensazione aggiuntivi.
Fine del servizio
La quarta fase – End of Service (EOS) – si applica ai dispositivi medici che:
- Sono in uso per fornire assistenza ai pazienti e
- Sono stati dichiarati EOS dal produttore del dispositivo medico e non sono attualmente commercializzati o venduti dal rispettivo produttore del dispositivo medico, oppure
- Contengono software, firmware o componenti hardware programmabili (ad esempio CPU) che (a) non sono supportati dai relativi sviluppatori e (b) i cui rischi per la sicurezza e l'efficacia del dispositivo non sono mitigati, risultando in un dispositivo che non può essere ragionevolmente protetto dall'attuale sicurezza informatica minacce.
Si afferma inoltre che i produttori di dispositivi medici dovrebbero informare gli utenti che il dispositivo in questione non sarà più supportato e comunicare anche informazioni sui potenziali rischi e sui modi in cui possono essere mitigati.
Valutazione del rischio
Il documento descrive inoltre l'approccio da applicare rispetto alla valutazione del rischio per innescare una transizione verso le diverse fasi del ciclo di vita. In particolare, l'IMDRF afferma che le date in cui viene raggiunta l'EOS per un dispositivo medico e i suoi componenti software potrebbero essere diverse, ad esempio un componente software di terze parti potrebbe avere consapevolmente una durata supportata più breve al momento della vendita del dispositivo o potrebbe essere improvvisamente dichiarato non supportato anni prima che il produttore del dispositivo medico annunci la data di fine del servizio. Pertanto, nei casi in cui il supporto di un componente software sviluppato da terzi è noto in anticipo, il produttore dovrebbe elaborare piani che coprano i rischi derivanti da tale aspetto. L'IMDRF sottolinea inoltre l'importanza di gestire i rischi associati alla potenziale dichiarazione improvvisa di EOS non sincronizzata con il dispositivo stesso. A questo proposito, è opportuno considerare il seguente approccio:
- Se un singolo commento all'interno di un dispositivo diventa EOL/EOS, ciò funge da innesco per un MDM per eseguire una valutazione del rischio per determinare se si presentano rischi per la sicurezza del paziente e, in caso affermativo, di che tipo.
- Se ci sono impatti sulla sicurezza del paziente e il dispositivo è nella fase di supporto, gli MDM dovrebbero tentare di mitigare il rischio del componente non supportato tramite un aggiornamento o altra modifica alla progettazione.
- Se si verificano impatti sulla sicurezza del paziente e il dispositivo si trova nella fase di supporto limitato, gli MDM devono tentare di mitigare il rischio del componente non supportato (ad esempio, tramite una modifica della progettazione o un controllo compensativo).
In sintesi, il presente documento guida IMDRF descrive in dettaglio l'approccio da applicare nel contesto della valutazione del rischio e fornisce inoltre ulteriori chiarimenti riguardanti le fasi di "Supporto limitato" e "Fine servizio" del ciclo di vita totale del prodotto. Il documento sottolinea l'importanza di introdurre misure aggiuntive necessarie per garantire la sicurezza e il corretto funzionamento di un dispositivo medico quando non è più supportato dal produttore.
Come può aiutare RegDesk?
RegDesk è un sistema olistico di gestione delle informazioni normative che fornisce alle aziende di dispositivi medici e farmaceutiche intelligence normativa per oltre 120 mercati in tutto il mondo. Può aiutarti a preparare e pubblicare applicazioni globali, gestire gli standard, eseguire valutazioni delle modifiche e ottenere avvisi in tempo reale sulle modifiche normative attraverso una piattaforma centralizzata. I nostri clienti hanno anche accesso alla nostra rete di oltre 4000 esperti di conformità in tutto il mondo per ottenere la verifica su questioni critiche. L'espansione globale non è mai stata così semplice.
Vuoi saperne di più sulle nostre soluzioni? Parla oggi con un esperto di RegDesk!
->
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- EVM Finance. Interfaccia unificata per la finanza decentralizzata. Accedi qui.
- Quantum Media Group. IR/PR amplificato. Accedi qui.
- PlatoAiStream. Intelligenza dei dati Web3. Conoscenza amplificata. Accedi qui.
- Fonte: https://www.regdesk.co/imdrf-guidance-on-cybersecurity-for-legacy-devices-limited-support-end-of-service-and-risk-assessment/
- :ha
- :È
- :non
- 1
- a
- Chi siamo
- accesso
- effettivamente
- aggiuntivo
- Inoltre
- indirizzo
- indirizzamento
- avanzare
- contro
- avvisi
- Tutti
- anche
- an
- ed
- ha annunciato
- in qualsiasi
- applicazioni
- applicato
- approccio
- SONO
- articolo
- AS
- aspetti
- valutare
- valutazione
- valutazioni
- associato
- Associazione
- At
- Autorità
- disponibile
- BE
- diventa
- diventando
- stato
- prima
- essendo
- fra
- entrambi
- by
- Materiale
- non può
- che
- Custodie
- casi
- centralizzata
- il cambiamento
- Modifiche
- clienti
- collaborando
- commento
- comunicare
- Aziende
- confronto
- compatibile
- conformità
- componente
- componenti
- considerazione
- considerato
- testuali
- contesto
- continua
- di controllo
- controlli
- potuto
- copertura
- CPU
- critico
- Corrente
- Attualmente
- Cybersecurity
- ciclo
- Data
- Date
- dedicato
- Design
- dettaglio
- Determinare
- sviluppare
- sviluppato
- sviluppatori
- dispositivo
- dispositivi
- diverso
- documento
- dovuto
- e
- ogni
- efficacia
- sottolinea
- fine
- garantire
- EOS
- Anche
- esistere
- esistente
- espansione
- previsto
- esperto
- esperti
- ha spiegato
- esposto
- fattibile
- seguito
- i seguenti
- Nel
- Forum
- Quarto
- Contesto
- da
- ulteriormente
- globali
- espansione globale
- molto
- guida
- Hardware
- Avere
- assistenza sanitaria
- Aiuto
- evidenzia
- olistica
- HTTPS
- if
- impatti
- importanza
- importante
- imporre
- miglioramento
- in
- Compreso
- Incorporated
- far sapere
- informazioni
- inizialmente
- esempio
- istituzioni
- Intelligence
- destinato
- Internazionale
- ai miglioramenti
- introdurre
- l'introduzione di
- coinvolto
- IT
- SUO
- stessa
- giunto
- jpg
- Genere
- Sapere
- conosciuto
- Eredità
- Legale
- Vita
- tutta la vita
- limiti
- Limitato
- più a lungo
- gestire
- gestione
- sistema di gestione
- gestione
- Costruttore
- Produttori
- Mercati
- Matters
- max-width
- Maggio..
- analisi
- medicale
- dispositivo medico
- dispositivi medici
- menziona
- Ridurre la perdita dienergia con una
- Scopri di più
- Inoltre
- maggior parte
- il
- Natura
- necessaria
- Rete
- mai
- New
- no
- né
- obblighi
- ottenere
- of
- di frequente
- on
- Operazioni
- or
- minimo
- Altro
- nostro
- ancora
- panoramica
- particolare
- parti
- partito
- Patch
- paziente
- la cura del paziente
- pazienti
- eseguire
- performance
- periodo
- persone
- prospettiva
- Pharma
- piani
- piattaforma
- Platone
- Platone Data Intelligence
- PlatoneDati
- possibile
- potenziale
- Preparare
- presenti
- Prodotto
- Prodotti
- corretto
- protetta
- protezione
- purché
- fornisce
- fornitura
- pubblicare
- pubblicato
- domanda
- Domande
- a raggiunto
- tempo reale
- ricevere
- raccomandazioni
- per quanto riguarda
- Regolatori
- normativo
- richiedere
- rispetto
- quelli
- responsabilità
- responsabile
- risultante
- Rischio
- valutazione del rischio
- rischi
- norme
- Correre
- Sicurezza
- stesso
- Secondo
- problemi di
- Misure di sicurezza
- serve
- servizio
- dovrebbero
- Un'espansione
- da
- singolo
- So
- Software
- venduto
- Soluzioni
- alcuni
- fonti
- parlare
- specifico
- Stage
- tappe
- standard
- ha dichiarato
- Ancora
- soggetto
- tale
- improvviso
- SOMMARIO
- supporto
- supportato
- sistema
- preso
- di
- che
- Il
- il giunto
- loro
- poi
- Là.
- in essa
- di
- Terza
- di parti terze standard
- questo
- minacce
- Attraverso
- tempo
- Titolo
- a
- Totale
- transizione
- innescare
- Aggiornanento
- Aggiornamenti
- uso
- utilizzato
- utenti
- utilizzando
- Convalida
- via
- volontario
- volere
- modi
- WELL
- Che
- quando
- ogni volta che
- quale
- while
- di chi
- volere
- con
- entro
- In tutto il mondo
- anni
- Tu
- zefiro
