FDA des états unis : Directive finale relative à la gestion des risques cyber sécuritaires après commercialisation : 10 janvier 2017
La Food and Drug Administration des États-Unis recommande un effort accru après commercialisation pour la gestion des risques liés à la cybersécurité pour certains dispositifs médicaux et produits logiciels.
Une nouvelle directive préliminaire de l'autorité de réglementation reconnaît les limites/insuffisances de la gestion des risques liés à la cybersécurité avant la commercialisation, soulignant ainsi que les fabricants de dispositifs qui utilisent un logiciel ou micrologiciel ou qui contiennent une programmation logique, ou d'un logiciel qui fonctionne comme un dispositif médical, doivent aborder de manière plus approfondie ces risques une fois que leurs produits soient entrés sur le marché US.
Bien entendu, les efforts des entreprises pour la gestion des risques en matière de cybersécurité doivent également se conformer aux exigences 21 CFR Part 820 du système qualité.
Six composants critiques pour la gestion des risques en matière de cybersécurité
La directive identifie six éléments essentiels de ce que la FDA considère comme un programme de gestion des risques cybersécuritaires adéquat :
- La surveillance des sources de données cybersécuritaires pour détecter toute vulnérabilité.
- L'évaluation de l'impact de toute vulnérabilité d'un dispositif.
- La mise en place de processus pour gérer les vulnérabilités.
- La définition de la performance clinique essentielle d'un dispositif pour atténuer les risques en matière de cybersécurité.
- L'établissement d'une politique de divulgation de vulnérabilités coordonnée.
- La mise en place de pratiques d'atténuation pour faire face aux risques cybersécuritaires avant que les vulnérabilités ne soient exploitées.
Dernière Mise à jour : Mars 2017