La FDA fait un grand pas en avant pour la sécurité des dispositifs médicaux

Les factures de dépenses omnibus de dernière minute sont les pots de bonbons de Capitol Hill. Ces projets de loi, qui cumulent 12 mois de retard législatif à la fin de l'année, sont souvent bourrés de « porc » – des édulcorants politiques utilisés à la dernière minute pour s'attirer les faveurs des électeurs locaux des politiciens. Cependant, ils peuvent parfois introduire des mesures attendues depuis longtemps qui, autrement, pourraient traîner sur la Colline.

En décembre dernier, les 1.7 XNUMX milliards de dollars Loi de crédits consolidée (CAA) comprenait un élément essentiel : une législation qui obligerait enfin les fabricants de dispositifs médicaux à rester au top de la cybersécurité après que leurs appareils quittent les rayons.

L'article 3305 de la CAA a modifié la loi fédérale sur les aliments, les médicaments et les cosmétiques en ajoutant l'article 542B, « Assurer la cybersécurité des dispositifs médicaux ». Cette nouvelle réglementation s'applique à tout appareil couvert par la FDA qui se connecte à Internet et pourrait être vulnérable aux problèmes de cybersécurité.

Une approche continue de la cybersécurité 

Une partie du langage de la nouvelle loi provient d'un ensemble de règles obligatoires qui ont été adoptées par le Congrès. La loi PATCH (Protecting and Transforming Cyber ​​Health Care), publiée en mars 2022, a tenté de légiférer sur les contrôles de cybersécurité des dispositifs médicaux.

Faisant écho au PATCH Act, la nouvelle loi oblige les fabricants de dispositifs médicaux à fournir à l'Agence un plan de surveillance, d'identification et de traitement des vulnérabilités en matière de cybersécurité après le lancement des appareils.

Les fabricants d’appareils doivent également adopter un programme coordonné de divulgation des vulnérabilités. Cela signifie qu’ils ne peuvent plus balayer les insectes sous le tapis en les ignorant ou en ignorant les chercheurs qui les soulèvent.

Les fournisseurs doivent également proposer une nomenclature logicielle (SBOM) répertoriant les composants logiciels utilisés par l'appareil, dans un grand clin d'œil de la FDA à la sécurité de la chaîne d'approvisionnement.

Le secrétaire de la FDA doit mettre à jour les directives de l'Agence sur les soumissions préalables à la commercialisation des dispositifs médicaux en matière de cybersécurité en utilisant les commentaires des parties prenantes, notamment les fabricants et les prestataires de soins de santé. La FDA doit également publier chaque année des informations et des ressources sur l’amélioration de la cybersécurité des dispositifs médicaux.

Le Government Accountability Office (GAO) des États-Unis publiera également un rapport annuel détaillant les obstacles rencontrés par les parties prenantes pour obtenir le soutien du gouvernement fédéral afin d'améliorer la cybersécurité des appareils.

Le langage de la CAA n'est pas le premier à exiger des efforts de cybersécurité de la part des fournisseurs d'appareils. La FDA dispose déjà d'un règlement sur le système qualité (QSR) qui impose aux fabricants d'appareils une approche de la cybersécurité basée sur les risques, ce qui signifie qu'ils doivent identifier la probabilité et l'impact des cyber-risques.

Cependant, le QSR ne va pas plus loin. En décrivant spécifiquement le programme de remédiation en matière de cybersécurité en cours après la publication, la nouvelle loi impose une approche plus approche continue de la cybersécurité plutôt qu'une approche « déclencher et oublier » qui atteste uniquement de la sécurité de l'appareil à un moment donné.

Des années de lutte pour la cybersécurité 

La loi, entrée en vigueur le 29 mars 2023, est l’aboutissement d’une longue initiative de la FDA sur la cybersécurité des appareils. Cela remonte à 2005, lorsque l'Agence a publié l'orientation sur la gestion des appareils en réseau contenant des logiciels commerciaux disponibles dans le commerce. En 2014, elle a publié ses premières orientations spécifiques sur la planification et la documentation des mesures de cybersécurité pour les appareils après la vente. Il l’a mis à jour en 2018.

Puis, en avril 2022, il a publié un autre ensemble de projets de lignes directrices en matière de cybersécurité sur les demandes d'approbation préalable à la commercialisation qui ont remplacé le document de 2018. Ce document prévoyait également une nomenclature logicielle pour suivre les composants tiers. Il recommande un cadre de développement de produits sécurisé pour réduire les vulnérabilités de sécurité et des capacités de mise à jour intégrées pour les appareils.

Bien que les efforts de l'agence aient été louables, ses directives de la FDA sur la sécurité des appareils ont jusqu'à présent été volontaires, ce qui signifie généralement que la conformité de l'industrie sera inégale.

Les experts qui ont travaillé pour la FDA ont suggéré que la cybersécurité était une lutte difficile pour l'Agence. Il n'y avait même pas une seule personne dédiée à la direction de la fonction cybersécurité jusqu'au début 2021, lorsqu'elle a créé un nouveau rôle au sein de son Centre des appareils et de la santé radiologique. Le professeur de cybersécurité Kevin Fu a occupé le poste de directeur par intérim de la cybersécurité des dispositifs médicaux, prêté par l'Université du Michigan pendant un an.

En juin 2022, après avoir quitté son poste, Fu averti que la FDA manquait de personnel ou de budget dédié pour résoudre le problème croissant de la cybersécurité.

Et après 

La FDA a déclaré qu'elle ne refuserait pas initialement les appareils uniquement en raison de problèmes liés à la section 542B, préférant travailler avec les fournisseurs lors de l'examen. Cependant, après le 1er octobre 2023, il supposera que les fournisseurs ont eu suffisamment de temps pour préparer leur documentation de cybersécurité préalable à la commercialisation et se réservera le droit de refuser d'accepter un appareil si la documentation ne satisfait pas aux exigences.

Les exigences ne s'appliqueront pas aux appareils existants, se concentrant uniquement sur les nouvelles soumissions. Cela signifie que les appareils introduits avant la fin mars de cette année pourraient continuer à fonctionner pendant des années sans nécessiter de plans de mise à jour de cybersécurité, surtout si les hôpitaux jugent opportun de les remettre à neuf pour exploiter leurs actifs.

Les réglementations régissant les équipements de cybersécurité sont rarement rétroactives, il faut donc s'attendre au laissez-passer gratuit pour les kits sur le terrain. Néanmoins, il s’agit d’un grand pas en avant pour responsabiliser les fournisseurs d’appareils de la sécurité de leurs appareils.

Vous auriez espéré que les fournisseurs se tiendraient responsables, mais hélas, non. L'année dernière, le FBI averti à propos d'un fléau de dispositifs médicaux non corrigés et non sécurisés. Le Bureau a averti que ces appareils, depuis les pompes à insuline jusqu'aux stimulateurs cardiaques, pourraient être piratés et mettre en danger la santé des patients. Il indique que plus de quatre appareils sur dix ayant atteint leur fin de vie ne disposaient toujours pas de correctifs de sécurité ou de mises à niveau.

Amener les fournisseurs à prendre cela au sérieux ne représente que la moitié du défi. L’autre consiste à amener les prestataires de soins de santé à appliquer les correctifs dès qu’ils sont disponibles. A peine un tiers des prestataires de soins de santé savent où se trouvent tous leurs appareils ou quand leur fin de vie arrive. Même si c’est le cas, réparer les équipements sensibles de survie reste un processus difficile. Pourtant, nous pensons qu’un petit pas vaut mieux que rien du tout.