레거시 장치의 사이버 보안에 대한 IMDRF 지침: 제한된 지원, 서비스 종료 및 위험 평가 | RegDesk

목차 :

기존 규제 프레임워크의 추가 개선을 위해 협력하는 의료기기 분야의 국가 규제 당국의 자발적인 협회인 국제 의료기기 규제 기관 포럼(IMDRF)은 레거시 기기의 맥락에서 사이버 보안 문제에 관한 지침 문서를 발표했습니다. 이 문서는 관련된 모든 당사자가 고려해야 할 가장 중요한 측면에 대한 개요를 제공하고 의료 기기의 지속적인 효과와 환자의 안전을 보장하기 위해 따라야 할 추가 권장 사항도 제공합니다. 동시에, 문서 자체는 법적 성격상 구속력이 없으며 새로운 규칙을 도입하거나 새로운 의무를 부과하려는 의도가 없습니다. 더욱이, 여기에 제공된 권장 사항은 당국과 IMDRF에 새로운 정보가 제공되기 때문에 그러한 변경이 합리적으로 필요한 경우 변경될 수 있습니다. 

IMDRF는 시판 및 사용이 허용된 의료 기기 중 일부가 초기 제조업체의 지원을 받지 못하더라도 예상 사용 수명보다 실제로 더 오래 사용될 수 있다는 점을 인정합니다. 이러한 경우 발생하는 새로운 사이버 보안 위협을 해결하기 위한 업데이트 및 보안 패치를 더 이상 받을 수 없으므로 해당 장치를 사용하는 사람이 추가적인 사이버 보안 위험에 노출됩니다. 본 지침은 사이버 보안 관련 문제가 모든 당사자의 공동 책임에 속하므로 의료 기기 제조업체 및 의료 기관을 포함하여 의료 기기 운영과 관련된 모든 당사자가 따라야 할 접근 방식을 설명합니다. 

특히, 이 문서에서는 전체 제품 수명 주기(TPLC)의 특정 단계를 자세히 설명하고 사이버 보안 관점에서 각 단계에서 고려해야 할 가장 중요한 사항을 강조합니다.

제한된 지원

지침에 따르면 세 번째 단계인 제한적 지원 단계에 속하는 장치는 다음과 같은 제품입니다.

1. 환자 치료를 제공하는 데 사용됩니다. 
2. 의료 기기 제조업체에 의해 EOL이 선언되었으며 현재 해당 의료 기기 제조업체에서 판매 또는 판매되지 않는 경우, 또는
3. (a) 개발자가 지원하지 않고 (b) 장치 안전 및 효율성에 대한 위험이 완화되어 현재 사이버 보안 위협으로부터 장치를 합리적으로 보호할 수 있는 소프트웨어, 펌웨어 또는 프로그래밍 가능한 하드웨어 구성 요소(예: CPU)가 포함되어 있습니다. . 

IMDRF에서 자세히 설명했듯이, 이 단계에서도 의료기기 제조업체는 가능할 때마다 사이버 보안 위협을 해결할 책임이 있습니다. 예를 들어, 초기 제조업체가 업데이트를 개발하는 것이 불가능할 경우 호환되는 타사 제품을 사용할 수 있습니다. 

이 단계에서 장치는 설계에 포함된 보안 조치 및 제어에 크게 의존합니다. 동시에 초기 제품 제조업체는 여전히 존재할 수 있는 제한 사항이나 위협에 대해 사용자에게 정식으로 알리고 취해야 할 추가 보안 보호 조치에 대한 정보도 전달해야 합니다. XNUMX단계 제품에 비해 XNUMX단계 제품은 추가적인 보상 제어가 필요한 경우가 많습니다.

서비스 종료

네 번째 서비스 종료(EOS) 단계는 다음과 같은 의료 기기에 적용됩니다.

• 환자 치료를 제공하는 데 사용됩니다.
• 의료 기기 제조업체에서 EOS를 선언했지만 현재 해당 의료 기기 제조업체에서 판매하거나 판매하지 않는 경우, 또는
• (a) 개발자가 지원하지 않고 (b) 장치 안전 및 효율성에 대한 위험이 완화되지 않아 현재 사이버 보안으로부터 장치를 합리적으로 보호할 수 없는 소프트웨어, 펌웨어 또는 프로그래밍 가능한 하드웨어 구성 요소(예: CPU)가 포함되어 있습니다. 위협. 

또한 의료 기기 제조업체는 문제의 기기가 더 이상 지원되지 않을 것임을 사용자에게 알리고 잠재적인 위험과 이를 완화할 수 있는 방법에 대한 정보도 전달해야 한다고 명시되어 있습니다.

위험 평가

또한 이 문서에서는 다양한 수명주기 단계로의 전환을 촉발하기 위한 위험 평가와 관련하여 적용되는 접근 방식을 설명합니다. 특히, IMDRF는 의료 기기 및 해당 소프트웨어 구성 요소에 대한 EOS 도달 날짜가 ​​다를 수 있다고 언급합니다. 타사 소프트웨어 구성 요소는 장치가 판매될 때 고의로 지원 수명이 더 짧아질 수 있거나 의료 장치 제조업체가 서비스 종료 날짜를 발표하기 몇 년 전에 갑자기 지원되지 않는 것으로 선언될 수 있습니다. 따라서 제XNUMX자가 개발한 소프트웨어 구성 요소의 지원이 사전에 알려진 경우 제조업체는 이와 관련하여 발생하는 위험을 다루는 계획을 개발해야 합니다. IMDRF는 장치 자체와 동기화되지 않는 갑작스런 EOS 선언과 관련된 위험 관리의 중요성을 추가로 강조합니다. 이와 관련하여 다음과 같은 접근 방식을 고려해야 합니다.

• 장치 내의 단일 코멘트가 EOL/EOS가 되면 이는 MDM이 위험 평가를 수행하여 환자 안전 위험이 발생하는지, 그렇다면 어떤 종류가 발생하는지 결정하는 트리거 역할을 합니다. 
• 환자 안전에 영향을 미치고 장치가 지원 단계에 있는 경우 MDM은 업데이트 또는 기타 설계 변경을 통해 지원되지 않는 구성 요소의 위험을 완화하려고 시도해야 합니다. 
• 환자 안전에 영향이 있고 장치가 제한된 지원 단계에 있는 경우 MDM은 지원되지 않는 구성 요소의 위험을 완화하려고 시도해야 합니다(예: 설계 변경 또는 보상 제어를 통해). 

요약하면, 본 IMDRF 지침 문서는 위험 평가의 맥락에서 적용되는 접근 방식을 자세히 설명하고 전체 제품 수명 주기의 "제한적 지원" 및 "서비스 종료" 단계에 관한 추가 설명도 제공합니다. 이 문서에서는 제조업체가 더 이상 의료 기기를 지원하지 않는 경우 의료 기기의 안전과 적절한 성능을 보장하는 데 필요한 추가 조치 도입의 중요성을 강조합니다.

출처 :

https://www.imdrf.org/documents/principles-and-practices-cybersecurity-legacy-medical-devices

RegDesk가 어떻게 도움을 줄 수 있습니까?

RegDesk는 전 세계 120개 이상의 시장에 대한 규제 정보를 의료 기기 및 제약 회사에 제공하는 전체적인 규제 정보 관리 시스템입니다. 글로벌 애플리케이션을 준비 및 게시하고, 표준을 관리하고, 변경 평가를 실행하고, 중앙 집중식 플랫폼을 통해 규제 변경에 대한 실시간 경고를 받을 수 있습니다. 또한 고객은 전 세계 4000명 이상의 컴플라이언스 전문가 네트워크에 액세스하여 중요한 질문에 대한 확인을 받을 수 있습니다. 글로벌 확장이 이렇게 간단했던 적은 없었습니다.