Le nouvel article met en lumière les aspects liés à la cybersécurité pour les dispositifs médicaux logiciels destinés à être commercialisés et utilisés au Royaume-Uni.
Table des matières
L'Agence de réglementation des médicaments et des produits de santé (MHRA), une autorité de réglementation britannique dans le domaine des produits de santé, a publié une feuille de route décrivant les modifications proposées au cadre réglementaire existant pour les logiciels et les produits basés sur l'intelligence artificielle (IA) soumis à la réglementation en tant que dispositifs médicaux. En vertu de ce document, l'autorité expose les principaux problèmes à traiter et décrit également les solutions proposées. Le document vise à fournir des éclaircissements supplémentaires concernant l'élaboration future d'un cadre réglementaire pour les dispositifs médicaux à prendre en considération par les fabricants de dispositifs médicaux et les autres parties concernées.
La portée des changements couvre, entre autres, les aspects liés à la cybersécurité. À cet égard, l'autorité reconnaît que le cadre réglementaire existant pour les dispositifs médicaux basés sur des logiciels ne reflète pas toutes les dernières évolutions dans le domaine de la cybersécurité et de la protection contre les risques respectifs. En outre, il existe certains risques associés aux dispositifs médicaux logiciels hérités - ceux qui sont toujours utilisés même s'ils ne sont pas pris en charge par leurs fabricants/développeurs d'origine.
Selon le document, les principaux objectifs sont de :
- Expliquer comment les problèmes de cybersécurité se traduisent en problèmes de SaMD ;
- Veiller à ce que la cybersécurité soit correctement reflétée dans les exigences SaMD et dans les exigences de surveillance post-commercialisation ;
- Travailler en étroite collaboration avec d'autres organismes, par exemple, par le biais du groupe de pilotage sur la sécurité des dispositifs médicaux connectés, pour garantir que la politique de cybersécurité de SaMD tire parti des synergies.
Le document décrit en outre les modifications à apporter à des textes législatifs spécifiques afin de garantir la réalisation des objectifs décrits ci-dessus.
Législation secondaire
Tout d'abord, le document décrit les modifications à apporter au droit dérivé afin de garantir que les questions liées à la cybersécurité sont traitées correctement et que les risques respectifs sont dûment atténués. L'autorité reconnaît que de nombreux dispositifs médicaux contenant des logiciels doivent être connectés à un réseau pour fonctionner correctement. Cela expose le produit à des risques associés à des inférences potentielles dans ses opérations normales.
Une question similaire a été soulevée par l'autorité au cours des consultations publiques respectives, et les commentaires de l'industrie ont été obtenus. Afin de s'assurer que les risques identifiés sont correctement traités, l'autorité entend développer et mettre en œuvre une législation secondaire qui :
- S'aligner sur les principes du Groupe directeur sur la sécurité des dispositifs médicaux connectés ;
- Être cohérent et s'appuyer sur les exigences complémentaires telles que le projet de loi sur la sécurité des produits et l'infrastructure des télécommunications du ministère de la Culture, des Médias et des Sports, les normes NHS DCB (Data Coordination Board) et les exigences des critères d'évaluation de la technologie numérique du NHS ;
- Être harmonisé avec les meilleures pratiques internationales.
Outre l'introduction d'une législation secondaire, l'autorité a l'intention de publier des documents d'orientation supplémentaires afin d'aider les fabricants de dispositifs médicaux/développeurs de logiciels à garantir le respect des exigences réglementaires respectives. Ces documents d'orientation décriront la manière dont les dispositions de la législation sous-jacente doivent être interprétées et fourniront également des recommandations supplémentaires à suivre. En particulier, l'autorité mentionne que dans ces documents d'orientation à élaborer :
- Les questions liées à la cybersécurité seront décrites dans le contexte du cycle de vie complet du produit ;
- Il sera explicitement précisé que les questions de cybersécurité relèvent de la responsabilité partagée de toutes les parties impliquées dans les opérations avec des dispositifs médicaux et nécessitent des efforts conjoints ;
- Des clarifications supplémentaires seront fournies en ce qui concerne les responsabilités et les exigences des fabricants de dispositifs médicaux telles qu'elles sont énoncées dans la législation applicable ;
- Des éclaircissements supplémentaires seront également fournis en ce qui concerne les vulnérabilités de cybersécurité communes aux dispositifs médicaux de diagnostic général et in vitro.
L'autorité mentionne également que les principales parties prenantes seront impliquées dans l'élaboration des documents d'orientation susmentionnés.
Pratiques d'excellence
L'autorité entend porter une attention particulière aux bonnes pratiques à suivre par les fabricants de dispositifs médicaux afin d'assurer la sécurité et le bon fonctionnement de leurs produits. En particulier, la MHRA souligne l'importance des risques associés aux produits qui ne sont plus pris en charge par leurs fabricants mais qui sont toujours utilisés. Cela crée des risques uniques qui doivent être dûment atténués. À cette fin, l'autorité a l'intention de publier un document d'orientation distinct décrivant en détail les meilleures pratiques à suivre à cet égard.
Le processus
La feuille de route couvre également les aspects liés au signalement des vulnérabilités de cybersécurité identifiées. À cet égard, l'autorité entend prendre des mesures pour améliorer les procédures de signalement existantes afin de s'assurer que toutes les vulnérabilités identifiées sont signalées en temps opportun. L'intention est d'améliorer la cohérence et de clarifier les exigences en matière de rapports pour que les parties concernées les suivent.
En résumé, le présent document décrit les points clés auxquels la MHRA prêtera attention dans le cadre de la poursuite de l'amélioration du cadre réglementaire existant pour les dispositifs médicaux contenant des logiciels, ainsi que les produits basés sur l'IA. Le document met en évidence les problèmes les plus critiques identifiés par l'autorité et décrit également les mesures particulières à prendre pour s'assurer qu'ils sont traités correctement.
Comment RegDesk peut-il aider?
RegDesk est un système holistique de gestion des informations réglementaires qui fournit aux entreprises de dispositifs médicaux et pharmaceutiques des informations réglementaires pour plus de 120 marchés dans le monde. Il peut vous aider à préparer et à publier des applications mondiales, à gérer les normes, à effectuer des évaluations des modifications et à obtenir des alertes en temps réel sur les modifications réglementaires via une plate-forme centralisée. Nos clients ont également accès à notre réseau de plus de 4000 experts en conformité dans le monde entier pour obtenir une vérification sur des questions critiques. L'expansion mondiale n'a jamais été aussi simple.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoAiStream. Intelligence des données Web3. Connaissance Amplifiée. Accéder ici.
- Frapper l'avenir avec Adryenn Ashley. Accéder ici.
- La source: https://www.regdesk.co/mhra-roadmap-on-software-ai-framework-improvement-cybersecurity/
