Die FDA hat am 13. März 2024 einen Leitlinienentwurf veröffentlicht, der darauf abzielt, ihre bestehenden Leitlinien zur Cybersicherheit von Medizinprodukten zu aktualisieren. Öffentliche Kommentare sind bis zum 13. Mai 2024 möglich, danach wird die FDA das Feedback prüfen und in das endgültige Leitliniendokument einfließen lassen.
Diese Aktualisierung beinhaltet die Aufnahme zusätzlicher Details zu den Kategorien von Produkten, die unter Abschnitt 524B(c) des Food, Drug, and Cosmetic Act (FD&C Act) fallen, sowie die Angabe, wer beauftragt ist, die Einhaltung der Cybersicherheitsmaßnahmen für Medizinprodukte sicherzustellen.
Nach Fertigstellung wird dieser Leitlinienentwurf die Informationen enthalten, die von der FDA als notwendig erachtet werden, um die in Abschnitt 524B des FD&C Act beschriebenen Verpflichtungen zu erfüllen, wie in einer im Federal Register veröffentlichten Mitteilung angegeben.
Die Behörde betonte, dass Einzelpersonen Informationen einreichen müssen, die die Einhaltung der Cybersicherheitsstandards durch ein Medizinprodukt belegen, wenn es sich im Rahmen verschiedener Einreichungen wie 510(k), Premarket Approval Application (PMA), Product Development Protocol (PDP), De Novo oder Humanitarian Device Exemption (HDE) als Cyber-Gerät qualifiziert. Gemäß Abschnitt 524B(c) ist ein Cybergerät ein Gerät, das sich auf beliebige Weise mit dem Internet verbindet, anfällig für Cybersicherheitsbedrohungen ist und validierte, installierte oder autorisierte Software enthält.
Die Dokumentationsanforderungen nach Abschnitt 524B umfassen Prozesse und Verfahren, die die Cybersicherheit des Geräts und der zugehörigen Systeme gewährleisten. Dazu gehören die proaktive Identifizierung und Behandlung von Cybersicherheitsschwachstellen, die Erstellung eines Plans und Zeitplans für die Veröffentlichung von Updates und Patches für Schwachstellen und die Pflege der Dokumentation, um neue Risiken und Schwachstellen während des gesamten Produktlebenszyklus zu adressieren. Darüber hinaus ist eine Software-Stückliste erforderlich, unabhängig von den Komponentenquellen des Geräts.
In Bezug auf Gerätemodifikationen schlägt die FDA vor, dass Hersteller von Cyber-Geräten ihre Einreichungen auf der Grundlage der Art der Änderung und ihrer Auswirkungen auf die Cybersicherheit anpassen. Beispiele für Änderungen, die sich auf die Cybersicherheit auswirken können, sind Änderungen an Authentifizierungs- oder Verschlüsselungsalgorithmen, die Einführung neuer Konnektivitätsfunktionen oder Software-Updates.
Wenn es unwahrscheinlich ist, dass eine Änderung die Cybersicherheit beeinträchtigt, können die Hersteller zusammenfassende Informationen anstelle einer umfassenden Dokumentation bereitstellen, sofern eine angemessene Gewähr für die Cybersicherheit besteht.
Bei ihrer Überprüfung der Cybersicherheit beabsichtigt die FDA, sich auf Änderungen der Cybersicherheitskontrollen oder Änderungen zu konzentrieren, die sich wahrscheinlich auf die Cybersicherheit auswirken. Darüber hinaus werden bekannte Cybersicherheitsbedenken für das Gerät bei der Durchführung von Überprüfungen vor dem Inverkehrbringen berücksichtigt, um eine angemessene Gewährleistung der Cybersicherheit zu gewährleisten.
Bei 510(k)-Einreichungen prüft die FDA Änderungen in der Umgebung des Geräts, Änderungen an technologischen Merkmalen, die neue Risiken oder Schwachstellen mit sich bringen können, und den Betrieb des Geräts mit neuen Risiken oder Schwachstellen.
Über Accel
Accel Groups ist ein engagiertes Team von erfahrenen Fachleuten in den Bereichen regulatorischer, klinischer und Marktzugang. Wir unterstützen Hersteller von Medizinprodukten und IVDs mit kompletten Lösungen für den Produktlebenszyklus, von der präklinischen, strategischen, klinischen Bewertung und Studie über die Einreichung von Zulassungsanträgen bis hin zur Überwachung nach der Markteinführung. Unsere regionalen Auftraggeber verfügen über mindestens 10+ Jahre Erfahrung in ihrem Fachgebiet, damit wir die regionale fundierte Expertise mit globalen One-Stop-Shop-Lösungen anbieten können. Fragen Sie uns nach unseren Start-up-Kits für Start-up-Unternehmen mit regulatorischen Pfaden in wichtigen Ländern.
