Het nieuwe artikel belicht de aspecten die verband houden met cyberbeveiliging voor op software gebaseerde medische apparaten die bedoeld zijn om op de markt te worden gebracht en te worden gebruikt in het VK.
Inhoudsopgave
De Medicines and Healthcare Products Regulatory Agency (MHRA), een Britse regelgevende autoriteit op het gebied van gezondheidsproducten, heeft een roadmap een beschrijving van de voorgestelde wijzigingen in het bestaande regelgevingskader voor op software en kunstmatige intelligentie (AI) gebaseerde producten die onder regelgeving vallen als medische hulpmiddelen. Op grond van dit document schetst de autoriteit de belangrijkste kwesties die moeten worden aangepakt en beschrijft zij ook de voorgestelde oplossingen. Het document is bedoeld om aanvullende verduidelijking te geven met betrekking tot de toekomstige ontwikkeling van een regelgevingskader voor medische hulpmiddelen dat moet worden overwogen door fabrikanten van medische hulpmiddelen en andere betrokken partijen.
De reikwijdte van de wijzigingen heeft onder meer betrekking op de aspecten die verband houden met cybersecurity. In dit verband erkent de autoriteit dat het bestaande regelgevingskader voor op software gebaseerde medische hulpmiddelen niet alle laatste ontwikkelingen op het gebied van cyberbeveiliging en bescherming tegen de respectieve risico's weerspiegelt. Bovendien zijn er bepaalde risico's verbonden aan verouderde medische software - apparaten die nog steeds in gebruik zijn, ook al worden ze niet ondersteund door hun oorspronkelijke fabrikanten/ontwikkelaars.
Volgens het document zijn de belangrijkste doelstellingen:
- Articuleren hoe cyberbeveiligingsproblemen zich vertalen in SaMD-problemen;
- Ervoor zorgen dat cyberbeveiliging adequaat wordt weerspiegeld in de SaMD-vereisten en in de vereisten voor toezicht na het in de handel brengen;
- Nauw samenwerken met andere instanties, bijvoorbeeld via de Connected Medical Device Security Steering Group, om ervoor te zorgen dat het SaMD-cyberbeveiligingsbeleid profiteert van synergieën.
Het document beschrijft verder de wijzigingen die moeten worden doorgevoerd in specifieke stukken wetgeving om ervoor te zorgen dat de hierboven geschetste doelen worden bereikt.
Secundaire wetgeving
Allereerst beschrijft het document de wijzigingen die moeten worden doorgevoerd in de secundaire wetgeving om ervoor te zorgen dat cyberbeveiligingsgerelateerde zaken naar behoren worden aangepakt en de respectieve risico's naar behoren worden beperkt. De autoriteit erkent dat veel medische apparaten die software bevatten op een netwerk moeten worden aangesloten om goed te kunnen werken. Dit stelt het product bloot aan risico's die verband houden met mogelijke gevolgtrekkingen bij hun normale werking.
Een soortgelijke vraag is door de autoriteit gesteld tijdens respectieve openbare raadplegingen en er is feedback van de industrie verkregen. Om ervoor te zorgen dat de geïdentificeerde risico's goed worden aangepakt, is de autoriteit voornemens secundaire wetgeving te ontwikkelen en uit te voeren die:
- Afstemmen op de principes van de Connected Medical Device Security Steering Group;
- Consistent zijn met en voortbouwen op aanvullende vereisten zoals de Product Security and Telecommunications Infrastructure Bill van het Department of Culture, Media and Sport, NHS DCB (Data Coordination Board)-normen en NHS Digital Technology Assessment Criteria-vereisten;
- Geharmoniseerd zijn met internationale beste praktijken.
Naast het invoeren van secundaire wetgeving, is de autoriteit van plan aanvullende richtsnoeren uit te geven om fabrikanten/softwareontwikkelaars van medische hulpmiddelen te helpen bij het waarborgen van de naleving van de respectieve wettelijke vereisten. Deze richtsnoeren beschrijven de manier waarop de bepalingen van de onderliggende wetgeving moeten worden geïnterpreteerd en geven ook aanvullende aanbevelingen die moeten worden opgevolgd. De autoriteit vermeldt met name dat in deze op te stellen richtsnoeren:
- De zaken met betrekking tot cybersecurity worden beschreven in de context van de gehele productlevenscyclus;
- Er zal expliciet worden vermeld dat de cybersecurity-zaken een gedeelde verantwoordelijkheid zijn van alle partijen die betrokken zijn bij operaties met medische hulpmiddelen en een gezamenlijke inspanning vergen;
- Er zal aanvullende verduidelijking worden gegeven met betrekking tot de verantwoordelijkheden van en vereisten voor fabrikanten van medische hulpmiddelen zoals uiteengezet in de toepasselijke wetgeving;
- Er zal ook aanvullende verduidelijking worden gegeven met betrekking tot kwetsbaarheden in de cyberbeveiliging die vaak voorkomen bij medische hulpmiddelen voor algemene en in-vitrodiagnostiek.
De autoriteit vermeldt ook dat de belangrijkste belanghebbenden zullen worden betrokken bij de ontwikkeling van de bovengenoemde richtsnoeren.
Best Practices
De autoriteit is voornemens speciale aandacht te besteden aan de beste praktijken die fabrikanten van medische hulpmiddelen moeten volgen om de veiligheid en goede werking van hun producten te waarborgen. De MHRA benadrukt met name het belang van risico's verbonden aan producten die niet langer worden ondersteund door hun fabrikanten, maar nog steeds in gebruik zijn. Dit creëert unieke risico's die naar behoren moeten worden beperkt. Hiertoe is de autoriteit voornemens een afzonderlijk richtsnoer uit te brengen waarin in detail de beste praktijken worden beschreven die in dit verband moeten worden gevolgd.
processen
De roadmap behandelt ook de aspecten die verband houden met het melden van geïdentificeerde cyberbeveiligingskwetsbaarheden. In dit verband is de autoriteit voornemens stappen te ondernemen om de bestaande meldingsprocedures te verbeteren om ervoor te zorgen dat alle geïdentificeerde kwetsbaarheden tijdig worden gesignaleerd. De bedoeling is om de consistentie te verbeteren en de rapportagevereisten duidelijk te maken voor de betrokken partijen.
Samenvattend schetst dit document de belangrijkste punten waar MHRA aandacht aan zal besteden in het kader van de verdere verbetering van het bestaande regelgevingskader voor medische hulpmiddelen die software bevatten, evenals op AI gebaseerde producten. Het document belicht de meest kritieke problemen die door de autoriteit zijn geïdentificeerd en beschrijft ook de specifieke stappen die moeten worden genomen om ervoor te zorgen dat ze correct worden aangepakt.
Hoe kan RegDesk helpen?
RegDesk is een holistisch Regulatory Information Management System dat medische hulpmiddelen en farmaceutische bedrijven voorziet van regelgevende informatie voor meer dan 120 markten wereldwijd. Het kan u helpen bij het voorbereiden en publiceren van wereldwijde applicaties, het beheren van standaarden, het uitvoeren van wijzigingsbeoordelingen en het verkrijgen van real-time waarschuwingen over wijzigingen in de regelgeving via een gecentraliseerd platform. Onze klanten hebben ook toegang tot ons netwerk van meer dan 4000 compliance-experts wereldwijd om verificatie te verkrijgen op kritieke vragen. Wereldwijde expansie is nog nooit zo eenvoudig geweest.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoAiStream. Web3 gegevensintelligentie. Kennis versterkt. Toegang hier.
- De toekomst slaan met Adryenn Ashley. Toegang hier.
- Koop en verkoop aandelen in PRE-IPO-bedrijven met PREIPO®. Toegang hier.
- Bron: https://www.regdesk.co/mhra-roadmap-on-software-ai-framework-improvement-cybersecurity/
