Cybersäkerhetsläget inom hälso- och sjukvården befinner sig i ständig förändring. Med tanke på den ständiga ökningen av antalet och omfattningen av både försök till och genomförda cyberbrott måste vårdorganisationer och tillverkare av medicintekniska produkteridagha robusta processer för hantering av sårbarheter och rapportering av incidenter på plats. När allt kommer omkring kan oåtgärdade cybersäkerhetsbrister i den medicinska utrustning som används av sjukhus och kliniker liknas vid olåsta dörrar som bjuder in inkräktare – eller i detta fall, cyberbrottslingar.
I början av 2023 godkändes den amerikanska Omnibus Appropriations Bill, som ger den amerikanska livsmedels- och läkemedelsmyndigheten (FDA) finansiering och rättslig befogenhet att reglera cybersäkerheten för medicintekniska produkter.
Detta markerar en ny milstolpe inom säkerheten för medicintekniska produkter, eftersom det inte finns någon lagstiftning som specifikt behandlar säkerhetskraven för dessa produkter. Istället har varje medicinteknisk tillverkare sina egna policyer och rutiner för hur de hanterar cybersäkerheten för sina produkter (och tillhörande system) och tjänster, baserade på de riktlinjer som FDA tillhandahåller.
Även om dessa åtgärder i vissa fall är tillräckliga kvarstår cybersäkerhetsbristerna i de flesta fall.
Tillverkarna måste nu införa ett ramverk för säker produktutveckling, där cybersäkerheten är inbyggd i produkterna. Detta innebär att man tillämpar principen ”secure by design”, vilket säkerställer produktens säkerhet och effektivitet med cybersäkerhet som en integrerad del, samt möjliggör en process för att spåra sårbarheter som kan upptäckas i framtiden efter produktens lansering.
Omnibuslagen, som undertecknades i mars 2023, fastställer vidare att de definierade cybersäkerhetskraven måste uppfyllas av all medicinsk utrustning som innehåller programvara, kan anslutas till internet eller kan utsättas för cyberhot.
Den sammanfattar vilka förväntningar FDA kommer att ställa på tillverkarna när det gäller den dokumentation de måste tillhandahålla, med utgångspunkt i FDA:s vägledning från april 2022. Enligt bestämmelserna måste alla nya ansökningar om godkännande av en medicinteknisk produkt uppfylla kraven i:
Avsnitt 524B – en
Avser inlämning av en plan för att övervaka, identifiera och åtgärda (inom rimlig tid) cybersäkerhetsbrister efter marknadsintroduktionen, inklusive offentliggörande av sårbarheter och relaterade förfaranden.
Avsnitt 524B – b
Utformning, utveckling och underhåll av processer och rutiner för att säkerställa att produkterna och tillhörande system är cybersäkra, samt för att tillhandahålla uppdateringar och korrigeringar efter marknadsintroduktionen till produkten/tillhörande system. Detta inkluderar SBOM (software BOM) – kommersiella, OTS- och open source-programvarukomponenter.
Avsnitt 524B – c
För programvara som validerats, installerats eller godkänts av sponsorn som en enhet eller i en enhet. Detta inkluderar tekniska egenskaper som validerats och installerats av sponsorn och som kan vara sårbara för cybersäkerhetshot.
Avsnitt 524B – d – Undantag och ikraftträdandedatum
Det finns vissa specificerade fall i Federal Register – identifierade enheter/kategorier av enheter – som är undantagna från att uppfylla cybersäkerhetskraven.
De föreslagna ändringarna ska träda i kraft den 1 april 2023 för alla nya ansökningar som lämnas in av medicintekniska OEM-tillverkare till FDA.
Efter det att samlingslagen trätt i kraft är den som lämnar in en medicinteknisk produkt med cybersäkerhetsfunktioner till FDA skyldig att:
- lämna in en plan till FDA:s sekreterare för att i god tid spåra, identifiera och åtgärda cybersäkerhetsutnyttjanden och sårbarheter efter marknadsintroduktionen, inklusive samordnad rapportering av sårbarheter och relaterade förfaranden;
- Utforma, skapa och upprätthålla processer och rutiner för att ge en rimlig säkerhetsnivå som garanterar att produkten och tillhörande system är cybersäkra, samt tillhandahålla uppdateringar och korrigeringar efter marknadsintroduktionen för produkten och tillhörande system för att åtgärda:
- Kända oacceptabla sårbarheter med en rimlig regelbundenhet;
- Kritiska sårbarheter så snart som möjligt utanför den regelbundna cykeln; och
- Tillhandahålla en programvaruförteckning till FDA:s minister, inklusive kommersiella, öppen källkods- och färdiga programvarukomponenter.
Som tillverkare av medicintekniska produkter erbjuder den reviderade lagstiftningen därför nya möjligheter för er att tillhandahålla robusta cybersäkerhetsfunktioner under hela produktens livscykel. Förutom att uppfylla de lagstadgade kraven skulle det också hjälpa er att skapa nytt värde på marknaden genom ökat förtroende och tillit från era kunder.
När lagen träder i kraft kan vi därför förvänta oss att få se framväxten av en förnyad och säker cybermiljö inom hela medicinteknikbranschen – en miljö som bidrar till att skydda mot de växande utmaningarna från cyberbrottslingar världen över.