O novo artigo descreve detalhadamente a abordagem a ser aplicada no que diz respeito à terceira e quarta etapas do ciclo de vida total do produto, bem como à avaliação de risco no contexto da transição entre as etapas.
Índice:
O Fórum Internacional de Reguladores de Dispositivos Médicos (IMDRF), uma associação voluntária de autoridades reguladoras nacionais na esfera de dispositivos médicos que colaboram para melhorar ainda mais a estrutura regulatória existente, publicou um documento de orientação dedicado a questões de segurança cibernética no contexto de dispositivos legados. O documento fornece uma visão geral dos aspectos mais importantes a serem levados em consideração por todas as partes envolvidas e também fornece recomendações adicionais a serem seguidas para garantir a eficácia contínua dos dispositivos médicos, bem como a segurança dos pacientes. Ao mesmo tempo, o próprio documento não é vinculativo em sua natureza jurídica, nem pretende introduzir novas regras ou impor novas obrigações. Além disso, as recomendações nele contidas podem estar sujeitas a alterações, caso tais alterações sejam razoavelmente necessárias devido à disponibilização de novas informações às autoridades e ao IMDRF.
O IMDRF reconhece que alguns dos dispositivos médicos autorizados a serem comercializados e usados podem realmente ser usados por mais tempo do que o período de vida útil esperado, mesmo sem o suporte de seus fabricantes iniciais. Nesse caso, eles não recebem mais atualizações e patches de segurança destinados a lidar com novas ameaças de segurança cibernética que surgem, resultando em riscos adicionais de segurança cibernética aos quais as pessoas que usam esses dispositivos estão expostas. A presente orientação descreve a abordagem a ser seguida por todas as partes envolvidas em operações com dispositivos médicos, incluindo fabricantes de dispositivos médicos e instituições de saúde, uma vez que os assuntos relacionados à segurança cibernética são de responsabilidade conjunta de todas as partes.
Em particular, o documento descreve em detalhes os estágios específicos do Ciclo de Vida Total do Produto (TPLC) e destaca os assuntos mais importantes a serem considerados em cada estágio do ponto de vista da segurança cibernética.
Suporte limitado
De acordo com a orientação, os dispositivos dentro do Estágio de Suporte Limitado, que é o terceiro estágio, são os produtos que:
- São usados para fornecer assistência ao paciente e
- Foram declarados EOL pelo fabricante do dispositivo médico e não são atualmente comercializados ou vendidos pelo respectivo fabricante do dispositivo médico, ou
- Contêm software, firmware ou componentes de hardware programáveis (por exemplo, CPU) que (a) não são suportados por seus desenvolvedores e (b) cujos riscos à segurança e eficácia do dispositivo são mitigados, resultando em um dispositivo que pode ser razoavelmente protegido contra ameaças atuais de segurança cibernética .
Conforme explicado pelo IMDRF, neste estágio, os fabricantes de dispositivos médicos ainda são responsáveis por lidar com as ameaças de segurança cibernética sempre que possível. Por exemplo, se não for viável para o fabricante inicial desenvolver atualizações, produtos de terceiros compatíveis podem ser usados.
Durante esta fase, o dispositivo depende muito de medidas de segurança e controles incorporados pelo projeto. Ao mesmo tempo, o fabricante inicial do produto deve informar devidamente os usuários sobre quaisquer possíveis limitações ou ameaças que ainda possam existir, bem como comunicar informações sobre medidas adicionais de proteção de segurança a serem tomadas. Em comparação com os produtos do segundo estágio, os dispositivos que estão no terceiro estágio geralmente requerem controles de compensação adicionais.
Fim de Serviço
O quarto estágio – Fim do Serviço (EOS) – se aplica a dispositivos médicos que:
- Estão em uso para fornecer assistência ao paciente e
- Foram declarados EOS pelo fabricante do dispositivo médico e não são atualmente comercializados ou vendidos pelo respectivo fabricante do dispositivo médico, ou
- Contêm software, firmware ou componentes de hardware programáveis (por exemplo, CPU) que (a) não são suportados por seus desenvolvedores e (b) cujos riscos à segurança e eficácia do dispositivo não são mitigados, resultando em um dispositivo que não pode ser razoavelmente protegido contra a segurança cibernética atual ameaças.
Afirma-se também que os fabricantes de dispositivos médicos devem informar aos usuários que o dispositivo em questão não terá mais suporte e também comunicar informações sobre riscos potenciais e formas de mitigá-los.
Avaliação de Risco
O documento também descreve a abordagem a ser aplicada com relação à avaliação de risco para desencadear uma transição para diferentes estágios do ciclo de vida. Em particular, o IMDRF menciona que as datas em que o EOS é alcançado para um dispositivo médico e seus componentes de software podem ser diferentes - por exemplo, um componente de software de terceiros pode conscientemente ter uma vida útil mais curta quando o dispositivo é vendido ou pode ser repentinamente declarado sem suporte anos antes do anúncio do fim do serviço pelo fabricante do dispositivo médico. Assim, nos casos em que o suporte de um componente de software desenvolvido por terceiros é conhecido antecipadamente, o fabricante deve desenvolver os planos que cobrem os riscos decorrentes a esse respeito. Além disso, o IMDRF enfatiza a importância de gerenciar os riscos associados a possíveis declarações repentinas de EOS não sincronizadas com o próprio dispositivo. A este respeito, a seguinte abordagem deve ser considerada:
- Se um único comentário em um dispositivo se tornar EOL/EOS, isso servirá como um gatilho para um MDM realizar uma avaliação de risco para determinar se há risco de segurança do paciente e, em caso afirmativo, de que tipo.
- Se houver impactos na segurança do paciente e o dispositivo estiver no estágio de suporte, os MDMs devem tentar mitigar o risco do componente sem suporte por meio de uma atualização ou outra alteração de design.
- Se houver impactos na segurança do paciente e o dispositivo estiver no estágio de suporte limitado, os MDMs devem tentar mitigar o risco do componente sem suporte (por exemplo, por meio de uma alteração no projeto ou controle de compensação).
Em resumo, o presente documento de orientação do IMDRF descreve detalhadamente a abordagem a ser aplicada no contexto da avaliação de risco e também fornece esclarecimentos adicionais sobre os estágios “Suporte limitado” e “Fim do serviço” do ciclo de vida total do produto. O documento enfatiza a importância de introduzir medidas adicionais necessárias para garantir a segurança e o desempenho adequado de um dispositivo médico quando ele não for mais suportado pelo fabricante.
Como o RegDesk pode ajudar?
O RegDesk é um sistema holístico de gerenciamento de informações regulatórias que fornece às empresas farmacêuticas e de dispositivos médicos inteligência regulatória para mais de 120 mercados em todo o mundo. Ele pode ajudá-lo a preparar e publicar aplicativos globais, gerenciar padrões, executar avaliações de mudanças e obter alertas em tempo real sobre mudanças regulatórias por meio de uma plataforma centralizada. Nossos clientes também têm acesso à nossa rede de mais de 4000 especialistas em conformidade em todo o mundo para obter verificação em questões críticas. A expansão global nunca foi tão simples.
Quer saber mais sobre nossas soluções? Fale com um especialista RegDesk hoje!
->
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- EVM Finanças. Interface unificada para finanças descentralizadas. Acesse aqui.
- Grupo de Mídia Quântica. IR/PR Amplificado. Acesse aqui.
- PlatoAiStream. Inteligência de Dados Web3. Conhecimento Amplificado. Acesse aqui.
- Fonte: https://www.regdesk.co/imdrf-guidance-on-cybersecurity-for-legacy-devices-limited-support-end-of-service-and-risk-assessment/
- :tem
- :é
- :não
- 1
- a
- Sobre
- Acesso
- Adicional
- Adicionalmente
- endereço
- endereçando
- avançar
- contra
- alertas
- Todos os Produtos
- tb
- an
- e
- anunciou
- qualquer
- aplicações
- aplicado
- abordagem
- SOMOS
- artigo
- AS
- aspectos
- Avaliando
- avaliação
- avaliações
- associado
- Associação
- At
- Autoridades
- disponível
- BE
- torna-se
- tornando-se
- sido
- antes
- ser
- entre
- ambos
- by
- CAN
- não podes
- Cuidado
- casas
- casos
- centralizada
- alterar
- Alterações
- clientes
- colaborando
- comentar
- comunicar
- Empresas
- comparação
- compatível
- compliance
- componente
- componentes
- consideração
- considerado
- conteúdo
- contexto
- continuou
- ao controle
- controles
- poderia
- cobertura
- CPU
- crítico
- Atual
- Atualmente
- Cíber segurança
- ciclo
- Data
- Datas
- dedicado
- Design
- detalhe
- Determinar
- desenvolver
- desenvolvido
- desenvolvedores
- dispositivo
- Dispositivos/Instrumentos
- diferente
- documento
- dois
- e
- cada
- eficácia
- enfatiza
- final
- garantir
- EOS
- Mesmo
- existir
- existente
- expansão
- esperado
- especialista
- especialistas
- explicado
- exposto
- factível
- seguido
- seguinte
- Escolha
- Fórum
- Quarto
- Quadro
- da
- mais distante
- Global
- expansão global
- grandemente
- orientações
- Hardware
- Ter
- saúde
- ajudar
- destaques
- holística
- HTTPS
- if
- Impacto
- importância
- importante
- impor
- melhoria
- in
- Incluindo
- Incorporado
- informar
- INFORMAÇÕES
- do estado inicial,
- instância
- instituições
- Inteligência
- Pretendido
- Internacionais
- para dentro
- introduzir
- introduzindo
- envolvido
- IT
- ESTÁ
- se
- articulação
- jpg
- Tipo
- Saber
- conhecido
- Legado
- Legal
- vida
- garantia vitalícia
- limitações
- Limitado
- mais
- gerencia
- de grupos
- Sistema de gestão
- gestão
- Fabricante
- Fabricantes
- Mercados
- Matéria
- max-width
- Posso..
- medidas
- médico
- Aparelho médico
- dispositivos médicos
- menções
- Mitigar
- mais
- Além disso
- a maioria
- Nacional
- Natureza
- necessário
- rede
- nunca
- Novo
- não
- nem
- títulos
- obter
- of
- frequentemente
- on
- Operações
- or
- ordem
- Outros
- A Nossa
- Acima de
- Visão geral
- particular
- partes
- festa
- Patches
- paciente
- assistência ao paciente
- pacientes
- realizar
- atuação
- significativo
- pessoas
- perspectiva
- farmacêutico
- planos
- plataforma
- platão
- Inteligência de Dados Platão
- PlatãoData
- possível
- potencial
- Preparar
- presente
- Produto
- Produtos
- adequado
- protegido
- proteção
- fornecido
- fornece
- fornecendo
- publicar
- publicado
- questão
- Frequentes
- alcançado
- em tempo real
- receber
- recomendações
- em relação a
- Reguladores
- reguladores
- requerer
- respeito
- aqueles
- responsabilidade
- responsável
- resultando
- Risco
- avaliação de risco
- riscos
- regras
- Execute
- Segurança
- mesmo
- Segundo
- segurança
- Medidas de Segurança
- serve
- serviço
- rede de apoio social
- simples
- desde
- solteiro
- So
- Software
- vendido
- Soluções
- alguns
- Fontes
- falar
- específico
- Etapa
- Estágio
- padrões
- estabelecido
- Ainda
- sujeito
- tal
- súbito
- RESUMO
- ajuda
- Suportado
- .
- tomado
- do que
- que
- A
- a articulação
- deles
- então
- Lá.
- lá no
- deles
- Terceiro
- De terceiros
- isto
- ameaças
- Através da
- tempo
- Título
- para
- Total
- transição
- desencadear
- Atualizar
- Atualizações
- usar
- usava
- usuários
- utilização
- Verificação
- via
- voluntário
- queremos
- maneiras
- BEM
- O Quê
- quando
- sempre que
- qual
- enquanto
- de quem
- precisarão
- de
- dentro
- no mundo todo
- anos
- Você
- zefirnet
