Comment la FDA de la FDA en matière de cybersécurité affecte la société Medtech
Ce son est généré automatiquement. Si vous avez des commentaires, veuillez nous en informer.
San Diego – La réglementation de la cybersécurité des dispositifs médicaux a subi de nombreux changements ces dernières années, car la gestion des aliments et des médicaments a utilisé sa nouvelle autorité pour superviser les équipements arrivant sur le marché.
Michelle Jump, PDG de Cyber Security Medsec, a déclaré que la FDA a changé son approche de la carotte au bâton et a utilisé les pouvoirs et les instructions nouvellement attribués au Congrès comme un levier plus fort auprès de l’industrie.
Le nouvel organe de la nouvelle agence est issu de ce qu’on appelle l’article 524b. Fin 2022, la section, qui a été ajoutée à la loi fédérale sur les aliments, les médicaments et les cosmétiques par le biais de dépenses omnibus, a introduit des exigences plus strictes et plus robustes pour les dispositifs médicaux, telles que le plan de surveillance et l’identification des vulnérabilités potentielles de la cybersécurité.
Parallèlement aux instructions de la nouvelle agence, a déclaré Jump, l’article 524b a modifié la manière dont la FDA réglemente les dispositifs médicaux cyber-sécurisés.
Jump s’est entretenu avec Medtech Dive lors de la conférence Medtech d’Advamed sur la nouvelle approche de la FDA en matière de réglementation de la cybersécurité et les plus grands défis auxquels l’entreprise est confrontée.
Cet entretien a été modifié pour plus de longueur et de clarté.
Dive : De nombreux changements ont eu lieu dans le domaine de la cybersécurité au cours des deux ou trois dernières années. Comment était-ce de passer par le point de vue de l’industrie ?
Michelle Jump, PDG de Medsec
Autorisation Medsec
Michelle Saut : Lorsque de nouvelles instructions sont sorties, les premières instructions avant la commercialisation… Je l’ai lu et il y a beaucoup de détails, mais l’essentiel des exigences de la FDA n’a pas changé. La raison pour laquelle les gens se sentaient différents est que cela coïncidait également avec cette passe 524b. Quand je dis carottes et bâton, c’est arrivé. Parce que la FDA avait une piste. Ils ont demandé : « S’il vous plaît, arrêtez de faire ça ? Mais pour rendre une décision négative sur un [medical device] En envoyant, ils ont dû le combiner pour des raisons de sécurité ou d’efficacité pour réellement prendre cette décision… pour réellement mettre les pieds de la société au feu en termes de cyber, ils ont dû la lier. [to] sécurité.
Ce qui s’est passé avec le 524b et le nouveau leadership et ces choses – en particulier les lois 524b – maintenant, d’un coup, la FDA a simplement dû dire qu’elle n’offrait pas une cyber-certitude adéquate. Alors tout à coup, les choses que la FDA voulait faire, oui ou non, ont décidé de les soumettre. Cela a provoqué un énorme changement, parce que… La FDA a vu sur le marché de nombreux produits qui pensent avoir besoin d’une meilleure cybersécurité, je pense. Ainsi, lorsqu’ils ont obtenu le point de levier 524b, ils étaient désormais en droit de statuer d’une manière qui opposait des barrières plus fortes et plus strictes aux produits destinés au marché pour l’autorité du Congrès.
Quand les instructions sont sorties et sont sorties 524b… J’étais un peu flummmmo -green quand toutes ces entreprises ont dit : “Oh, mon Dieu, as-tu vu de nouvelles instructions ?” J’ai analysé ce que la FDA a demandé au cours des 10 dernières années, depuis les instructions de marché de 2016 jusqu’à aujourd’hui et savez-vous quoi ? Ils n’ont pas demandé beaucoup de choses différentes. À l’heure actuelle, ils disposent d’un meilleur levier pour dire non si vous ne le faites pas.
Avec ce changement d’approche réglementaire, passant de la carotte à la baguette que vous avez mentionné, pensez-vous que c’est parce qu’il y avait une réelle préoccupation que cette industrie ne prenne pas la cybersécurité au sérieux ?
C’était exactement le problème. La FDA est en grande partie responsable du changement massif d’attention portée à la sécurité que nous avons constaté au sein et à l’extérieur de l’industrie. D’autres organismes de réglementation se sont également inspirés de ce qu’a fait la FDA. La FDA a dirigé ce groupe de travail sur la cybersécurité pour [the International Medical Device Regulators Forum] – En collaboration avec le Canada – et nous avons vraiment repoussé la barre en ce qui concerne ce qui semble bon en matière de cybersécurité.
Je pense que la FDA devrait être reconnue pour le chemin parcouru par cette industrie, mais tout le monde finit par perdre patience et crier après son enfant, n’est-ce pas ? Et je pense que les lois disaient : nous devons nous adresser aux gens qui n’écoutent pas… mais les exigences légales, les gens qui étaient choqués, étaient des gens qui attendaient des cris.
Y a-t-il encore des défis pour les entreprises qui souhaitent travailler avec la FDA ?
Ce qui me préoccupe, c’est que toutes ces choses sont importantes et doivent être faites, mais nous devons comprendre que le secteur de la santé a une limite quant à ce que les gens peuvent payer pour de nouveaux produits, ce que les fabricants peuvent payer pour le développement. Ainsi, si la barre est trop haute, vous pouvez vous retrouver là où il est difficile de gérer autant de produits. Peut-être que la société et moi n’en avons aucune preuve, mais vous pouvez facilement voir comment la société aime : “Eh bien, je veux vraiment lier ce produit, mais le cyberbar signifiera que je devrai embaucher une toute nouvelle équipe de gestion d’équipe. Je dois faire toutes ces choses.”
Et franchement, il n’y a pas assez de cyber-personnes pour couvrir l’ensemble du travail. Et les cybernétiques qui existent… veulent faire des choses intéressantes qui les ont amenés au Cyber. Il faut donc disposer de personnes suffisamment qualifiées pour effectuer la maintenance quotidienne dont la cybersécurité a réellement besoin. Et c’est ce qui constitue de nombreuses nouvelles instructions et lois – une gestion continue des vulnérabilités, des réparations continues, des choses qui ne sont pas aussi amusantes que la conception de nouveaux appareils. Mais il faut avoir un certain niveau de compréhension et de sécurité pour bien le faire, et il n’y a tout simplement pas assez de monde. Les équipes essaient de former au mieux les gens. Ils essaient de faire les choses qu’ils peuvent.
Mais ce qui nous intéresse le plus, c’est que la barre est assez haute et qu’elle aura un impact financier sur ce qui se passe et sur les produits qui peuvent rester sur le marché, car les entreprises ne peuvent retirer que les produits qui pourraient durer plus longtemps. Je ne dis pas que tout cela arrive, mais si nous regardons les conséquences d’une meilleure sécurité et d’une ligne beaucoup plus solide, cela pourrait se produire lorsque les fabricants décident quoi faire de leurs ressources.
Vous avez mentionné que la FDA 524b travaillait réellement avec les entreprises. L’agence a-t-elle maintenu ce niveau de coopération ?
La coopération de nos partenaires gouvernementaux a été un peu tendue en raison des changements dans les ressources au niveau gouvernemental. Je suis dans les standards internationaux et je vois la FDA se battre bec et ongles pour revenir dans les comités. Ils n’étaient pas autorisés à organiser ces grands ateliers comme ils le faisaient auparavant. Cela coûte de l’argent. Je dirais donc que, dans l’esprit de la FDA, elle soutient toujours grandement ce qui doit se produire. La réalité est que nous rencontrons actuellement des difficultés en matière de financement et de disponibilité en raison de la situation actuelle. [Reduction in Forces] en administration.
Quels sont les plus grands défis en matière de cybersécurité auxquels les entreprises sont confrontées ?
Cela dépend de la taille de la société. Parce que les petites entreprises sont complètement impressionnées par la quantité de paperasse qu’elles doivent créer et commencent souvent trop tard. Leur vie pourrait être beaucoup plus facile s’ils commençaient tôt, mais ils n’avaient même pas les ressources nécessaires pour savoir qu’ils devraient commencer plus tôt. Il est donc très difficile d’essayer de satisfaire aux exigences de la FDA avec une entreprise dont la société est petite, voire moyenne, et encore plus difficile à la fin du développement.
Pour les grandes entreprises, ce ne sont pas seulement de nouveaux produits qui sont lancés – les gens développent des produits excellents et sûrs depuis des années – mais ils se rendent compte que si nous devons remettre ce produit sur le marché, nous mettrons en place le 510 (K). Et maintenant que nous y regardons, peut-être que nous ne pourrons pas le faire. Parce que vous commencez à ouvrir des produits historiques qui ont été conçus comme les plus modernes une fois développés… Les gens ont fait d’énormes progrès dans ce qu’ils font, mais les hôpitaux utilisent des produits depuis 10,15 ou 20 ans. Que [legacy medical device] Un problème, c’est le problème discret qui n’apparaît pas constamment, parce que personne ne sait quoi en faire. Personne n’est venu. Et je pense qu’il existe de nombreux risques cachés dans les hôpitaux en raison de l’âge des produits qui ne sont pas réparés à ce stade, qui ne peuvent pas être réparés à ce stade.
