Die FDA verlangt nun, dass alle Anträge vor dem Inverkehrbringen (Premarket Submissions) für „Cyber Devices" einen umfassenden Cybersicherheitsplan enthalten. Section 524B des FD&C Act, der durch den Consolidated Appropriations Act von 2023 erlassen wurde, gab der FDA die ausdrückliche Befugnis, Anträge abzulehnen, die keine angemessene Cybersicherheitsdokumentation enthalten. Die Premarket Cybersecurity Guidance der FDA (September 2023) beschreibt detailliert, was Hersteller vorlegen müssen.
Was ist ein „Cyber Device"?
Gemäss Section 524B ist ein Cyber Device jedes Produkt, das:
- Software enthält, die vom Sponsor validiert, installiert oder autorisiert wurde
- Die Fähigkeit besitzt, sich mit dem Internet zu verbinden
- Technologische Merkmale enthält, die für Cybersicherheitsbedrohungen anfällig sein könnten
Diese Definition ist bewusst weit gefasst. Sie umfasst vernetzte Infusionspumpen, implantierbare Herzgeräte mit drahtloser Telemetrie, diagnostische Bildgebungssysteme in Krankenhausnetzwerken und cloudbasierte SaMD. Wenn Ihr Produkt Software und irgendeine Form von Netzwerkkonnektivität besitzt, handelt es sich um ein Cyber Device.
Anforderungen an die Premarket Submission
Die FDA erwartet folgende Cybersicherheitsdokumentation in jeder 510(k)-, De-Novo- und PMA-Einreichung für Cyber Devices:
Sicherheitsrisikomanagement: Eine Cybersicherheits-Risikobewertung, die Bedrohungen und Schwachstellen identifiziert, ihre potenziellen Auswirkungen auf die Sicherheit und Wirksamkeit des Produkts bewertet und die implementierten Kontrollmassnahmen dokumentiert. Die FDA empfiehlt die Ausrichtung an AAMI TIR57 (Grundsätze der Sicherheit von Medizinprodukten) sowie die Verwendung von Bedrohungsmodellierungsframeworks wie STRIDE.
Secure Product Development Framework (SPDF): Nachweise, dass Sicherheit in den Softwareentwicklungslebenszyklus integriert wurde. Dies umfasst sichere Programmierpraktiken, statische und dynamische Analyse, Penetrationstests und die Sicherheitsbewertung von Drittanbieterkomponenten.
Software Bill of Materials (SBOM): Ein maschinenlesbares SBOM, das alle Softwarekomponenten auflistet, einschliesslich kommerzieller, Open-Source- und handelsüblicher Software. Das SBOM muss Komponentennamen, Versionen und Lieferanten enthalten. Die FDA akzeptiert Formate, die an den NTIA-Mindestelementen ausgerichtet sind.
Cybersicherheitsmanagementplan: Ein Postmarket-Plan, der beschreibt, wie der Hersteller:
- Das Produkt und sein Ökosystem auf Schwachstellen überwacht
- Identifizierte Schwachstellen bewertet und priorisiert
- Patches und Updates zeitnah bereitstellt
- Mit Nutzern über Cybersicherheitsrisiken und Massnahmen kommuniziert
Richtlinie zur Schwachstellen-Offenlegung: Ein dokumentierter Prozess zur koordinierten Schwachstellen-Offenlegung (CVD), der es externen Forschern ermöglicht, Schwachstellen zu melden, und eine zeitnahe Reaktion gewährleistet.
Pflichten vor und nach dem Inverkehrbringen
| Bereich | Premarket (Section 524B) | Postmarket |
|---|---|---|
| Risikobewertung | In der Einreichung erforderlich | Muss bei neuen Bedrohungen aktualisiert werden |
| SBOM | In der Einreichung erforderlich | Muss mit jeder Softwareversion gepflegt und aktualisiert werden |
| Patching | Plan in der Einreichung erforderlich | Patches müssen während des gesamten Produktlebenszyklus zeitnah bereitgestellt werden |
| Schwachstellenüberwachung | Plan erforderlich | Aktive Überwachung auf bekannte Schwachstellen in Komponenten erforderlich |
| Koordinierte Offenlegung | Richtlinie erforderlich | Muss betriebsbereit und reaktionsfähig sein |
| Vorfallmeldung | Plan referenziert | Unterliegt den bestehenden MDR-Meldeanforderungen (21 CFR Part 803) |
Refuse to Accept: Was ohne Cybersicherheitsdokumentation geschieht
Seit dem 1. Oktober 2023 wendet die FDA Refuse-to-Accept-Kriterien (RTA) für Cybersicherheit an. Wenn Ihre Einreichung für ein Cyber Device die erforderliche Cybersicherheitsdokumentation nicht enthält, wird die FDA die Annahme zur inhaltlichen Prüfung verweigern. Ihre Einreichung wird erst in die Prüfungswarteschlange aufgenommen, wenn die Dokumentation vorliegt.
Dies ist kein ermessensbasierter Prüfungsmangel. Es handelt sich um eine harte Eingangskontrolle in der Annahmephase.
SBOM: Praktische Anforderungen
Das SBOM muss für jede Softwarekomponente des Produkts bereitgestellt werden, einschliesslich:
- Betriebssystem- und Kernelkomponenten
- Bibliotheken und Frameworks von Drittanbietern
- Open-Source-Softwarepakete
- Eigene Firmware und Anwendungscode (nach Komponentenname und Version)
Die FDA erwartet von Herstellern, dass sie SBOM-Komponenten aktiv auf bekannte Schwachstellen überwachen, und zwar unter Nutzung von Ressourcen wie der National Vulnerability Database (NVD), und bewerten, ob identifizierte CVEs die Sicherheit oder Wirksamkeit des Produkts beeinträchtigen.
| SBOM-Element | Erforderliches Detail |
|---|---|
| Komponentenname | Vollständiger Name gemäss Veröffentlichung durch den Lieferanten |
| Version | Exakte Versionsnummer, die im Produkt eingesetzt wird |
| Lieferant | Ursprünglicher Entwickler oder Distributor |
| Abhängigkeitsbeziehungen | Direkte und transitive Abhängigkeiten |
| Hash/Prüfsumme | Wert zur Integritätsüberprüfung (empfohlen) |
Vergleich mit EU-Anforderungen
Hersteller, die sowohl in den USA als auch in der EU verkaufen, sind mit Cybersicherheitsanforderungen aus mehreren Rahmenwerken konfrontiert:
| Anforderung | FDA (Section 524B) | EU MDR (Anhang I, 17.4) | EU CRA (falls anwendbar) |
|---|---|---|---|
| Risikobewertung | AAMI TIR57 / STRIDE | ISO 14971 + MDCG 2019-16 | CRA Anhang I Teil I |
| SBOM | In Premarket Submission erforderlich | Nicht explizit gefordert (durch technische Dokumentation abgedeckt) | Erforderlich, über den gesamten Lebenszyklus gepflegt |
| Schwachstellenmeldung | CVD-Richtlinie + MDR 803 | Vigilanzsystem (MDR Artikel 87) | 24h/72h/14 Tage an CSIRT/ENISA |
| Patching | Lebenszyklusplan erforderlich | Durch PMS-Plan abgedeckt | Sicherheitsupdates für mindestens 5 Jahre |
| Penetrationstests | Im SPDF-Nachweis erwartet | In MDCG 2019-16 empfohlen | Im Rahmen von Security by Design erwartet |
Suchen Sie das richtige Tool für regulatorische Intelligenz? Lesen Sie unseren Leitfaden zur Bewertung von Plattformen für regulatorische Intelligenz.
Wichtigste Erkenntnisse
- Jedes vernetzte Medizinprodukt („Cyber Device") muss umfassende Cybersicherheitsdokumentation in FDA-Premarket-Einreichungen enthalten
- Die FDA wird Einreichungen ohne Cybersicherheitsdokumentation nicht annehmen
- Ein SBOM ist verpflichtend und muss aktiv auf bekannte Schwachstellen überwacht werden
- Hersteller müssen eine Richtlinie zur koordinierten Schwachstellen-Offenlegung betreiben
- Ein Postmarket-Cybersicherheitsmanagementplan mit Zusagen zu Patching und Überwachung ist erforderlich
- Hersteller, die auch für den EU-Markt produzieren, sollten ihren Cybersicherheitsansatz sowohl an die FDA-Erwartungen als auch an die MDR/CRA-Anforderungen angleichen, um doppelten Aufwand zu vermeiden
Wie RegAid hilft
RegAid deckt die FDA-Cybersicherheitsleitlinien, die EU-MDR-Cybersicherheitsanforderungen aus Anhang I sowie MDCG 2019-16 ab. Stellen Sie die Frage „Welche Cybersicherheitsdokumentation verlangt die FDA für eine 510(k)-Einreichung?" und erhalten Sie eine quellenbasierte Antwort, die die Anforderungen von Section 524B mit der Premarket Guidance der FDA und den SBOM-Erwartungen verknüpft.