Digitalna preobrazba zdravstvenega varstva je prinesla neverjetne inovacije, odprla pa je tudi nove možnosti za tveganja. Ko medicinske naprave postajajo vse bolj medsebojno povezane, je zagotavljanje njihove varnosti pred kibernetskimi grožnjami pomembnejše kot kdaj koli prej. V prepoznanju tega je Uprava za hrano in zdravila ZDA (FDA) z dokončnimi smernicami o kibernetski varnosti, izdanimi junija 2025, dvignila letvico za proizvajalce.
Ta novi dokument, "Kibernetska varnost v medicinskih napravah: Pomisleki pri sistemu kakovosti in vsebina predmarketnih predložitev," nadomešča prejšnje različice in uvaja pomembne spremembe glede na osnutek iz leta 2022. Za proizvajalce medicinskih naprav razumevanje teh posodobitev ni le vprašanje dobre prakse — gre za pravno skladnost. Tukaj je pregled novosti in pomena za industrijo.
Največja sprememba: FDORA in pravno zavezujoče zahteve
Najpomembnejša posodobitev je vključitev Zakona o celoviti reformi hrane in zdravil iz leta 2022 (FDORA). Ta zakonodaja daje FDA nova pooblastila in vzpostavlja pravno zavezujoče zahteve glede kibernetske varnosti.
- Uvajanje pojma "kibernetska naprava": Smernice iz leta 2025 vključujejo pravno definicijo "kibernetske naprave". Naprava spada v to kategorijo, če vsebuje programsko opremo, ima možnost vzpostavitve internetne povezave in vsebuje tehnološke funkcije, ki so lahko ranljive za kibernetske grožnje.
- Predložitve so zdaj obvezne: Za vsako napravo, ki ustreza tej definiciji, so proizvajalci zdaj po zakonu dolžni vključiti specifične informacije o kibernetski varnosti v predmarketne predložitve (510(k), PMA, De Novo itd.). S tem se dokumentacija o kibernetski varnosti premika iz priporočila v regulatorno nujnost.
SBOM: Od "mora" do "mora biti"
Specifikacija programske opreme (SBOM) zagotavlja inventar vseh programskih komponent naprave, kar je ključnega pomena za identifikacijo in upravljanje ranljivosti.
- Pravna zahteva: Medtem ko je osnutek iz leta 2022 močno priporočal predložitev SBOM-a, smernice iz leta 2025, sklicujoč se na oddelek 524B Zakona FD&C, to določajo kot zakonsko zahtevo za vse kibernetske naprave.
- Posodobljeni standardi: Od proizvajalcev se pričakuje, da bodo SBOM-e predložili v strojno berljivi obliki, ki je usklajena z "minimalnimi elementi", ki jih je določila Nacionalna uprava za telekomunikacije in informacije (NTIA). Smernice tudi priporočajo vključitev podrobnosti o ravni podpore programske opreme in datumu konca podpore.
Bolj rafinirani pristop k upravljanju tveganj
Končne smernice zaostrijo razliko med upravljanjem tveganj za varnost bolnikov in tveganj kibernetskih groženj.
- Varnost in zaščita: Pojasnjuje, da je upravljanje varnostnih tveganj ločen proces od upravljanja varnostnih tveganj, podrobno opisanega v ISO 14971. Ključna razlika je v tem, da se varnostno tveganje osredotoča na "izkoriščljivost" grožnje in ne na njeno zgodovinsko verjetnost, s čimer se prizna, da so kibernetske grožnje namerne in ne naključne napake.
- Meritve življenjskega cikla: Za zagotovitev stalne varnosti smernice priporočajo, da proizvajalci sledijo in poročajo o specifičnih meritvah v celotnem življenjskem ciklu izdelka (TPLC). To vključuje podatke o odstotku ugotovljenih ranljivosti, ki so bile odpravljene, in času, potrebnem za razvoj in uvajanje popravkov.
Izboljšana jasnost glede dokumentacije in preglednosti
Smernice iz leta 2025 zagotavljajo jasnejši in bolj organiziran načrt za to, kar FDA pričakuje v predložitvi.
- Načrti za upravljanje kibernetske varnosti: Kar je osnutek iz leta 2022 imenoval "Načrti za upravljanje ranljivosti", se zdaj imenuje "Načrti za upravljanje kibernetske varnosti". Ta sprememba usklajuje koncept z zakonsko zahtevo po oddelku 524B(b)(1) za dokumentiran načrt za spremljanje in odpravljanje ranljivosti po trženju.
- Koristna povzetek dokumentacije: V dobrodošlem koraku za proizvajalce smernice dodajajo nov dodatek s povzetno tabelo vse priporočene dokumentacije. Ta tabela pomaga prilagoditi zahtevane informacije glede na specifično tveganje kibernetske varnosti naprave.
Na prvi pogled: Osnutek 2022 vs. Končne smernice 2025
| Funkcija |
Osnutek smernic 2022 |
Končne smernice 2025 |
| Pravna osnova |
Temelji na splošnih pooblastilih FDA in obstoječi Uredbi o sistemu kakovosti (QSR). |
Izrecno vključuje FDORA in oddelek 524B Zakona FD&C ter ustvarja nove zakonske zahteve. |
| "Kibernetska naprava" |
Izraz se ni uporabljal; smernice so se na splošno nanašale na naprave s programsko opremo. |
Pravno opredeljen izraz s specifičnimi obveznimi zahtevami za predmarketne predložitve po oddelku 524B. |
| SBOM |
Priporočen kot najboljša praksa za upravljanje tveganj. |
Zakonsko zahtevano za kibernetske naprave, z vsebino usklajeno z minimalnimi standardi NTIA. |
| Upravljanje tveganj |
Priporočena ocena varnostnega tveganja ločeno od ocene varnostnega tveganja. |
Zagotavlja podrobnejšo razliko med upravljanjem varnostnih in zaščitnih tveganj, pri čemer poudarja izkoriščljivost nad verjetnostjo. |
| Načrti po trženju |
Priporoča "Načrte za upravljanje ranljivosti". |
Zahteva "Načrte za upravljanje kibernetske varnosti" za kibernetske naprave, s podrobnimi procesi za spremljanje in odpravljanje ranljivosti po oddelku 524B(b)(1). |
| Meritve TPLC |
Na splošno priporoča upravljanje tveganj TPLC. |
Priporoča, da se specifične meritve, kot so gostota napak in časovnice popravkov, sledijo in zagotovijo v predložitvah. |
Kaj to pomeni za proizvajalce
Smernice FDA za kibernetsko varnost iz leta 2025 označujejo ključni premik od priporočila k regulaciji. Proizvajalci medsebojno povezanih medicinskih naprav morajo prilagoditi svoje procese za izpolnjevanje teh novih, pravno uveljavljenih standardov. Ključne ugotovitve vključujejo vključitev novih zakonskih obveznosti v sisteme kakovosti, implementacijo obveznega generiranja SBOM in sprejetje strožjega, na življenjski cikel osredotočenega pristopa k upravljanju varnostnih tveganj. Proaktivno ukvarjanje s temi posodobljenimi zahtevami je bistveno za zagotovitev skladnosti in, kar je najpomembnejše, za zaščito varnosti bolnikov v vse bolj povezanem svetu.