La FDA exige désormais que toutes les soumissions pré commercialisation pour les « cyber dispositifs » incluent un plan de cybersécurité complet. La section 524B de la loi FD&C, promulguée par la loi de crédits consolidés de 2023, a donné à la FDA l'autorité explicite de refuser les soumissions dépourvues d'une documentation adéquate en matière de cybersécurité. Les directives de cybersécurité pré commercialisation de la FDA (septembre 2023) détaillent précisément ce que les fabricants doivent fournir.
Qu'est ce qu'un « cyber dispositif » ?
Au titre de la section 524B, un cyber dispositif est tout dispositif qui :
- Inclut un logiciel validé, installé ou autorisé par le promoteur
- A la capacité de se connecter à Internet
- Contient des caractéristiques technologiques susceptibles d'être vulnérables aux menaces de cybersécurité
Cette définition est intentionnellement large. Elle couvre les pompes à perfusion connectées, les dispositifs cardiaques implantables avec télémétrie sans fil, les systèmes d'imagerie diagnostique sur les réseaux hospitaliers et les SaMD connectés au cloud. Si votre dispositif comporte un logiciel et une forme quelconque de connectivité réseau, il s'agit d'un cyber dispositif.
Exigences pour les soumissions pré commercialisation
La FDA attend la documentation de cybersécurité suivante dans chaque soumission 510(k), De Novo et PMA pour les cyber dispositifs :
Gestion des risques de sécurité : une évaluation des risques de cybersécurité qui identifie les menaces et vulnérabilités, évalue leur impact potentiel sur la sécurité et l'efficacité du dispositif, et documente les contrôles mis en place pour les atténuer. La FDA recommande de s'aligner sur l'AAMI TIR57 (Principes pour la sécurité des dispositifs médicaux) et d'utiliser des cadres de modélisation des menaces tels que STRIDE.
Cadre de développement sécurisé du produit (SPDF) : la preuve que la sécurité a été intégrée dans le cycle de vie du développement logiciel. Cela comprend les pratiques de codage sécurisé, l'analyse statique et dynamique, les tests de pénétration et l'évaluation de la sécurité des composants tiers.
Nomenclature des composants logiciels (SBOM) : un SBOM lisible par machine listant tous les composants logiciels, y compris les logiciels commerciaux, open source et du commerce. Le SBOM doit inclure les noms des composants, les versions et les fournisseurs. La FDA accepte les formats conformes aux éléments minimaux du NTIA.
Plan de gestion de la cybersécurité : un plan post commercialisation décrivant comment le fabricant va :
- Surveiller le dispositif et son écosystème pour détecter les vulnérabilités
- Évaluer et trier les vulnérabilités identifiées
- Déployer les correctifs et mises à jour dans les délais
- Communiquer avec les utilisateurs sur les risques et actions de cybersécurité
Politique de divulgation des vulnérabilités : un processus documenté de divulgation coordonnée des vulnérabilités (CVD) permettant aux chercheurs externes de signaler des vulnérabilités et garantissant une réponse rapide.
Obligations pré commercialisation vs post commercialisation
| Domaine | Pré commercialisation (section 524B) | Post commercialisation |
|---|---|---|
| Évaluation des risques | Requise dans la soumission | Doit être mise à jour lorsque de nouvelles menaces apparaissent |
| SBOM | Requis dans la soumission | Doit être maintenu et mis à jour à chaque version logicielle |
| Correctifs | Plan requis dans la soumission | Les correctifs doivent être déployés dans les délais tout au long du cycle de vie du dispositif |
| Surveillance des vulnérabilités | Plan requis | Surveillance active requise pour les vulnérabilités connues dans les composants |
| Divulgation coordonnée | Politique requise | Doit être opérationnelle et réactive |
| Notification d'incidents | Plan référencé | Soumis aux exigences de notification existantes du MDR (21 CFR Part 803) |
Refus d'acceptation : que se passe t il sans documentation de cybersécurité
Depuis le 1er octobre 2023, la FDA applique des critères de refus d'acceptation (RTA) pour la cybersécurité. Si votre soumission pour un cyber dispositif n'inclut pas la documentation de cybersécurité requise, la FDA refusera de l'accepter pour examen de fond. Votre soumission n'entrera pas dans la file d'attente de révision tant que la documentation ne sera pas fournie.
Il ne s'agit pas d'une déficience de révision discrétionnaire. C'est un point de blocage ferme au stade de l'acceptation.
SBOM : exigences pratiques
Le SBOM doit être fourni pour chaque composant logiciel du dispositif, y compris :
- Les composants du système d'exploitation et du noyau
- Les bibliothèques et cadres tiers
- Les paquets logiciels open source
- Le micrologiciel personnalisé et le code applicatif (par nom de composant et version)
La FDA attend des fabricants qu'ils surveillent activement les composants du SBOM pour les vulnérabilités connues en utilisant des ressources telles que la base de données nationale des vulnérabilités (NVD) et qu'ils évaluent si les CVE identifiées affectent la sécurité ou l'efficacité du dispositif.
| Élément du SBOM | Détail requis |
|---|---|
| Nom du composant | Nom complet tel que publié par le fournisseur |
| Version | Numéro de version exact déployé dans le dispositif |
| Fournisseur | Développeur ou distributeur d'origine |
| Relations de dépendance | Dépendances directes et transitives |
| Hash/somme de contrôle | Valeur de vérification d'intégrité (recommandé) |
Comparaison avec les exigences européennes
Les fabricants vendant à la fois aux États Unis et dans l'UE font face à des exigences de cybersécurité provenant de plusieurs cadres :
| Exigence | FDA (section 524B) | RDM UE (annexe I, 17.4) | CRA UE (le cas échéant) |
|---|---|---|---|
| Évaluation des risques | AAMI TIR57 / STRIDE | ISO 14971 + MDCG 2019-16 | Annexe I du CRA, partie I |
| SBOM | Requis dans la soumission pré commercialisation | Non explicitement requis (couvert par la documentation technique) | Requis, maintenu tout au long du cycle de vie |
| Notification des vulnérabilités | Politique CVD + MDR 803 | Système de vigilance (article 87 du RDM) | 24 h/72 h/14 jours au CSIRT/ENISA |
| Correctifs | Plan de cycle de vie requis | Couvert par le plan de SAC | Mises à jour de sécurité pendant minimum 5 ans |
| Tests de pénétration | Attendus dans les preuves SPDF | Recommandés dans le MDCG 2019-16 | Attendus dans le cadre de la sécurité dès la conception |
Vous cherchez le bon outil de veille réglementaire ? Consultez notre guide pour évaluer les plateformes de veille réglementaire.
Points clés à retenir
- Tout dispositif médical connecté (« cyber dispositif ») doit inclure une documentation complète de cybersécurité dans les soumissions pré commercialisation à la FDA
- La FDA refusera d'accepter les soumissions dépourvues de documentation de cybersécurité
- Un SBOM est obligatoire et doit faire l'objet d'une surveillance active pour les vulnérabilités connues
- Les fabricants doivent mettre en place une politique de divulgation coordonnée des vulnérabilités
- Un plan de gestion de la cybersécurité post commercialisation avec des engagements de correction et de surveillance est requis
- Les fabricants destinant leurs produits à l'UE doivent aligner leur approche de cybersécurité sur les exigences de la FDA et du RDM/CRA afin d'éviter les efforts en double
Comment RegAid vous aide
RegAid couvre les directives de cybersécurité de la FDA, les exigences de cybersécurité de l'annexe I du RDM UE et le MDCG 2019-16. Posez la question « Quelle documentation de cybersécurité la FDA exige t elle pour une soumission 510(k) ? » et obtenez une réponse sourcée reliant les exigences de la section 524B aux directives pré commercialisation de la FDA et aux attentes en matière de SBOM.