La FDA richiede ora che tutte le domande pre-commercializzazione per i "cyber device" includano un piano completo di cybersicurezza. La Sezione 524B del FD&C Act, emanata attraverso il Consolidated Appropriations Act del 2023, ha conferito alla FDA l'autorità esplicita di rifiutare le domande prive di documentazione adeguata sulla cybersicurezza. La Guida FDA sulla cybersicurezza pre-commercializzazione (settembre 2023) dettaglia esattamente cosa devono fornire i fabbricanti.
Cos'è un "cyber device"?
Ai sensi della Sezione 524B, un cyber device è qualsiasi dispositivo che:
- Include software validato, installato o autorizzato dallo sponsor
- Ha la capacità di connettersi a Internet
- Contiene caratteristiche tecnologiche che potrebbero essere vulnerabili a minacce di cybersicurezza
Questa definizione è intenzionalmente ampia. Comprende pompe per infusione connesse, dispositivi cardiaci impiantabili con telemetria wireless, sistemi di imaging diagnostico su reti ospedaliere e SaMD connessi al cloud. Se il vostro dispositivo ha un software e una qualsiasi forma di connettività di rete, è un cyber device.
Requisiti per le domande pre-commercializzazione
La FDA si aspetta la seguente documentazione sulla cybersicurezza in ogni domanda 510(k), De Novo e PMA per i cyber device:
Gestione del rischio di sicurezza: Una valutazione del rischio di cybersicurezza che identifichi le minacce e le vulnerabilità, ne valuti il potenziale impatto sulla sicurezza e l'efficacia del dispositivo, e documenti i controlli implementati per mitigarle. La FDA raccomanda l'allineamento con AAMI TIR57 (Principi per la sicurezza dei dispositivi medici) e l'utilizzo di framework di modellazione delle minacce come STRIDE.
Secure Product Development Framework (SPDF): Evidenza che la sicurezza è stata integrata nel ciclo di vita dello sviluppo software. Ciò include pratiche di codifica sicura, analisi statica e dinamica, test di penetrazione e valutazione della sicurezza dei componenti di terze parti.
Software Bill of Materials (SBOM): Un SBOM leggibile da macchina che elenchi tutti i componenti software, inclusi software commerciali, open source e off-the-shelf. L'SBOM deve includere nomi dei componenti, versioni e fornitori. La FDA accetta formati allineati agli elementi minimi NTIA.
Piano di gestione della cybersicurezza: Un piano post-commercializzazione che descriva come il fabbricante:
- Monitorerà il dispositivo e il suo ecosistema per individuare vulnerabilità
- Valuterà e classificherà le vulnerabilità identificate
- Distribuirà patch e aggiornamenti in modo tempestivo
- Comunicherà con gli utilizzatori sui rischi e le azioni di cybersicurezza
Politica di divulgazione delle vulnerabilità: Un processo documentato di divulgazione coordinata delle vulnerabilità (CVD) che consenta ai ricercatori esterni di segnalare vulnerabilità e garantisca una risposta tempestiva.
Obblighi pre-commercializzazione e post-commercializzazione a confronto
| Area | Pre-commercializzazione (Sezione 524B) | Post-commercializzazione |
|---|---|---|
| Valutazione del rischio | Richiesta nella domanda | Deve essere aggiornata quando emergono nuove minacce |
| SBOM | Richiesto nella domanda | Deve essere mantenuto e aggiornato con ogni rilascio software |
| Patching | Piano richiesto nella domanda | Le patch devono essere distribuite tempestivamente durante l'intero ciclo di vita del dispositivo |
| Monitoraggio delle vulnerabilità | Piano richiesto | Monitoraggio attivo richiesto per le vulnerabilità note nei componenti |
| Divulgazione coordinata | Politica richiesta | Deve essere operativa e reattiva |
| Segnalazione degli incidenti | Piano referenziato | Soggetto ai requisiti di segnalazione MDR esistenti (21 CFR Parte 803) |
Refuse to Accept: cosa succede senza documentazione sulla cybersicurezza
Dal 1 ottobre 2023, la FDA applica i criteri di Refuse to Accept (RTA) per la cybersicurezza. Se la vostra domanda per un cyber device non include la documentazione di cybersicurezza richiesta, la FDA rifiuterà di accettarla per la revisione sostanziale. La vostra domanda non entrerà nella coda di revisione finché la documentazione non sarà fornita.
Questa non è una carenza discrezionale della revisione. È un blocco rigido nella fase di accettazione.
SBOM: requisiti pratici
L'SBOM deve essere fornito per ogni componente software del dispositivo, inclusi:
- Sistema operativo e componenti del kernel
- Librerie e framework di terze parti
- Pacchetti software open source
- Firmware personalizzato e codice applicativo (per nome del componente e versione)
La FDA si aspetta che i fabbricanti monitorino attivamente i componenti dell'SBOM per le vulnerabilità note utilizzando risorse come il National Vulnerability Database (NVD) e valutino se le CVE identificate influiscono sulla sicurezza o sull'efficacia del dispositivo.
| Elemento SBOM | Dettaglio richiesto |
|---|---|
| Nome del componente | Nome completo come pubblicato dal fornitore |
| Versione | Numero di versione esatto installato nel dispositivo |
| Fornitore | Sviluppatore originale o distributore |
| Relazioni di dipendenza | Dipendenze dirette e transitive |
| Hash/checksum | Valore di verifica dell'integrità (raccomandato) |
Confronto con i requisiti UE
I fabbricanti che vendono sia negli Stati Uniti che nell'UE sono soggetti a requisiti di cybersicurezza provenienti da più quadri normativi:
| Requisito | FDA (Sezione 524B) | EU MDR (Allegato I, 17.4) | EU CRA (se applicabile) |
|---|---|---|---|
| Valutazione del rischio | AAMI TIR57 / STRIDE | ISO 14971 + MDCG 2019-16 | Allegato I del CRA Parte I |
| SBOM | Richiesto nella domanda pre-commercializzazione | Non esplicitamente richiesto (coperto dalla documentazione tecnica) | Richiesto, mantenuto durante l'intero ciclo di vita |
| Segnalazione delle vulnerabilità | Politica CVD + MDR 803 | Sistema di vigilanza (Articolo 87 MDR) | 24h/72h/14 giorni a CSIRT/ENISA |
| Patching | Piano per il ciclo di vita richiesto | Coperto dal piano PMS | Aggiornamenti di sicurezza per minimo 5 anni |
| Test di penetrazione | Previsto nelle evidenze SPDF | Raccomandato nel MDCG 2019-16 | Previsto nell'ambito della sicurezza fin dalla progettazione |
Cercate lo strumento giusto per la regulatory intelligence? Leggete la nostra guida alla valutazione delle piattaforme di regulatory intelligence.
Punti chiave
- Ogni dispositivo medico connesso ("cyber device") deve includere documentazione completa sulla cybersicurezza nelle domande pre-commercializzazione FDA
- La FDA rifiuterà di accettare le domande prive di documentazione sulla cybersicurezza
- Un SBOM è obbligatorio e deve essere monitorato attivamente per le vulnerabilità note
- I fabbricanti devono operare una politica di divulgazione coordinata delle vulnerabilità
- È richiesto un piano post-commercializzazione di gestione della cybersicurezza con impegni di patching e monitoraggio
- I fabbricanti che operano anche nell'UE dovrebbero allineare il loro approccio alla cybersicurezza sia con le aspettative FDA che con i requisiti MDR/CRA per evitare duplicazioni di impegno
Come RegAid può aiutare
RegAid copre la guida FDA sulla cybersicurezza, i requisiti di cybersicurezza dell'Allegato I del MDR UE e il documento MDCG 2019-16. Chiedete "Quale documentazione di cybersicurezza richiede la FDA per una domanda 510(k)?" e otterrete una risposta con riferimenti che collegano i requisiti della Sezione 524B alla guida pre-commercializzazione FDA e alle aspettative sull'SBOM.