La FDA a publié un projet de directive le 13 mars 2024, visant à mettre à jour ses directives existantes sur la cybersécurité des dispositifs médicaux. Les commentaires du public sont ouverts jusqu’au 13 mai 2024, après quoi la FDA examinera et intégrera les commentaires dans le document d’orientation final.
Cette mise à jour impliquera d’inclure des détails supplémentaires concernant les catégories de dispositifs relevant de la section 524B(c) de la loi sur les aliments, les médicaments et les cosmétiques (FD&C Act), ainsi que de préciser qui est mandaté pour assurer la conformité aux mesures de cybersécurité des dispositifs médicaux.
Une fois finalisé, ce projet de directive décrira les informations jugées nécessaires par la FDA pour remplir les obligations décrites dans la section 524B du FD&C Act, comme indiqué dans un avis publié dans le Federal Register.
L’agence a souligné que les individus doivent soumettre des informations démontrant le respect des normes de cybersécurité d’un dispositif médical s’il est qualifié de cyberdispositif dans le cadre de diverses soumissions telles que 510(k), demande d’approbation préalable à la mise sur le marché (PMA), protocole de développement de produit (PDP), De Novo ou exemption de dispositif humanitaire (HDE). Selon l’article 524B(c), un cyberappareil est un appareil qui se connecte à Internet par quelque moyen que ce soit, qui est sensible aux menaces de cybersécurité et qui contient des logiciels validés, installés ou autorisés.
Les exigences en matière de documentation en vertu de l’article 524B englobent les processus et les procédures assurant la cybersécurité de l’appareil et de ses systèmes associés. Il s’agit notamment d’identifier et de traiter de manière proactive les vulnérabilités de cybersécurité, d’établir un plan et un calendrier pour la publication des mises à jour et des correctifs pour les vulnérabilités et de maintenir une documentation pour faire face aux nouveaux risques et vulnérabilités tout au long du cycle de vie du produit. De plus, une nomenclature logicielle est requise, quelles que soient les sources de composants de l’appareil.
En ce qui concerne les modifications apportées aux appareils, la FDA suggère aux fabricants de cyberdispositifs d’adapter leurs soumissions en fonction de la nature du changement et de son impact sur la cybersécurité. Parmi les changements susceptibles d’affecter la cybersécurité, citons les modifications apportées aux algorithmes d’authentification ou de cryptage, l’introduction de nouvelles fonctionnalités de connectivité ou les mises à jour logicielles.
S’il est peu probable qu’un changement ait une incidence sur la cybersécurité, les fabricants peuvent fournir des renseignements sommaires au lieu d’une documentation complète, à condition qu’il y ait une assurance raisonnable de cybersécurité.
Dans son examen de la cybersécurité, la FDA a l’intention de se concentrer sur les modifications des contrôles de cybersécurité ou les changements susceptibles d’avoir un impact sur la cybersécurité. De plus, il tiendra compte des préoccupations connues en matière de cybersécurité applicables à l’appareil lors des examens préalables à la mise en marché afin d’assurer une assurance raisonnable de cybersécurité.
Pour les soumissions 510(k), la FDA examine les changements dans l’environnement de l’appareil, les modifications des caractéristiques technologiques qui peuvent introduire de nouveaux risques ou vulnérabilités, et le fonctionnement de l’appareil avec de nouveaux risques ou vulnérabilités.
À propos d’Accel
Accel Groups est une équipe dévouée de professionnels chevronnés dans les domaines réglementaire, clinique et de l’accès au marché. Nous aidons les fabricants de dispositifs médicaux et de DIV avec des solutions complètes de cycle de vie des produits, de la préclinique, de la stratégie, de l’évaluation et des essais cliniques, de la soumission réglementaire à la surveillance post-commercialisation. Nos directeurs régionaux ont un minimum de 10+ ans d’expérience dans leur spécialité pour nous permettre de fournir une expertise régionale approfondie, mais avec des solutions globales à guichet unique. Renseignez-vous sur nos kits de démarrage pour les entreprises en démarrage avec une voie réglementaire dans les principaux pays.
