Neuer FDA Guidance Entwurf "Cybersecurity in Medical Devices"
Melden Sie sich jetzt an für
den kostenlosen GMP-Newsletter
Am 8. April 2022 veröffentlichte die FDA (Center for Devices and Radiological Health - CDRH in Zusammenarbeit mit dem Center for Biologics Evaluation and Research - CBER) eine "Draft Guidance for Industry and Food and Drug Administration Staff - Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions". Der Entwurf kann innerhalb von 90 Tagen beim "Dockets Management Staff, Food and Drug Admininstration" kommentiert werden.
Der Entwurf soll, sobald er finalisiert ist, die bisherige Guidance "Content of Premarket Submissions for Management of Cybersecurity in Medical Devices" vom 2. Oktober 2014 ablösen.
Struktur der Guidance
Das sehr umfangreiche Dokument gliedert sich in sechs Oberkapitel und vier Appendizes:
- Indroduction
- Scope
- Background
- General Principles
- Using SPDF to Manage Cybersecurity Risks (SPDF = Secure Product Development Framework)
- Cybersecurity Transparency
- Appendix 1: Security Control Categories and Associated Recommendations
- Appendix 2: Submission Documentation for Security Architecture Flows
- Appendix 3: Submission Documentation for Investigational Device Exemptions
- Appendix 4: Terminology
Wen adressiert diese Guidance?
Dieser Leitfaden gilt für Geräte, die Software (einschließlich Firmware) oder programmierbare Logik enthalten, sowie für Software als Medizinprodukt. Der Leitfaden ist nicht auf Geräte beschränkt, die netzwerkfähig sind oder andere vernetzte Funktionen enthalten. Weitere Erläuterungen siehe unter "Scope".
Warum eine neue Guidance?
Die 2014 veröffentlichte Guidance wurde im Jahr 2016 ergänzt durch die Guidance "Postmarket Management of Cybersecurity in Medical Devices". Die sich schnell verändernde Landschaft mit verstärkten Bedrohungsszenarien, aber auch durch das wachsende Verständnis für diese Bedrohungen und dem Erkennen der Notwendigkeit geeigneter Abwehrmaßnahmen im gesamten Produkt-Lebenszyklus, erforderten aus Sicht der FDA die Neufassung dieser Guidance. Schon vor Markteinführung sollten seitens der Hersteller die Cybersicherheitsrisiken ausreichend berücksichtigt und Sicherheitsmaßnahme in die Entwicklung integriert werden.
