Son nokta güvenliği, yönetişim ve risk yönetimi, sağlık hizmetleri
Cihaz Yapımcıları Tasarım, Etiketleme ve Gönderme Gereksinimleri hakkında ayrıntılar alır
Marianne Kolbasuk McGee (Healthinfosec) •
27 Haziran 2025
Gıda ve İlaç İdaresi, yeni tıbbi cihazlar için siber güvenlik kontrolleri hakkında yeni nihai rehberlik yayınladı. Eylül 2023’te yayınlanan önceki rehberliğin yerini alan yeni belge, FDA’nın siber güvenlik cihazı tasarımı, etiketleme ve çoğu cihaz üreticisinin artık ajansa gönderilen gönderimlerine dahil etmesi gereken bilgileri sunmaktadır.
Ayrıca bakınız: Gartner Raporu | SD-WAN için Sihirli Çeyrek
Yeni rehber – Tıbbi Cihazlarda Siber Güvenlik: Kalite Sistemi Düşünceleri ve Önceden Başvuruların İçeriği – FDA’nın Kongre’nin Aralık 2022’de Başkan Joe Biden tarafından imzalanan bir omnibus finansmanı faturası aracılığıyla ajansa verdiği tıbbi cihaz siber güvenliği üzerindeki genişletilmiş otoritesini yansıtıyor.
Bu fatura, uzun süredir federal gıda, uyuşturucu ve kozmetik eylemini, Bölüm 524b ekleyerek değiştirdi – üreticilerin, internete bağlanabilen bir ürün gibi bir ürünün öngörüsünde yer alması gereken bir dizi siber güvenlik gereksinimi içeren cihazların siber güvenliğini sağlayarak (bkz: bkz: bkz: ÖZEL: FDA’nın Yeni Kanun Etkisi Üzerine Siber Lideri).
“Dil depresörlerini masif ahşaptan çıkarmadığınız sürece, ürününüz muhtemelen bir siber cihaz olarak nitelendirilir. Bu, tasarım kontrolleriniz, risk yönetimi dosyalarınızın ve ön pazarlama gönderilerinizin bu yeni gerçeği yansıtması gerektiği anlamına gelir.”
– Kevin Fu, Profesör, Northeastern Üniversitesi ve Yönetmen, Archimedes Sağlık ve Tıbbi Cihaz Siber Güvenlik Merkezi
Bu genişletilmiş otorite altında, FDA, ajansın gerektirdiği belirli siber güvenlik ayrıntılarını içermeyen tıbbi cihaz önceden pazar gönderimlerini otomatik olarak reddedebilir.
Güvenlik firması Medcrypt’in güvenlik stratejisti Axel Wirth, “FDA’nın aldığı yaklaşım, Ekim 2023’te yürürlüğe giren FD&C Yasası, özellikle Bölüm 524b’deki güncellemelerden kaynaklanan değişiklikleri dahil etmektir.” Dedi.
“Bu, örneğin, bir ‘siber cihazın’ oldukça geniş bir tanımını içerir. Ayrıca FDA, bu tür ‘siber cihazlar’ için ön pazarlama gönderileri için hangi siber güvenlik bilgilerinin gerekli olduğunu açıklar. Birçok durumda, bunlar mutlaka yeni gereksinimler değil, FDA’nın piyasa onayı için sunulan siber güvenlik bilgilerinde daha fazla özgüllük sağlama beklentilerini açıklığa kavuşturuyor “dedi.
FDA’nın temel önerilerinin birçoğu ajansın önceki rehberliği ile tutarlı olmaya devam ederken, “2025 belgesi ‘zorunlu unsurları sunuyor” dedi.
Bunlar arasında, yazılım faturaları ve piyasa sonrası güvenlik açığı yönetimi planları için yetkinin yanı sıra, üreticilerin ön pazarlama sunumlarının bir parçası olarak “siber güvenliğin makul güvencesini” nasıl göstermeleri gerektiğine dair açık rehberlik olduğunu söyledi.
FDA ifadesi
Bilgi Güvenliği Medya Grubu’na verilen bir açıklamada FDA sözcüsü, yeni rehberliğin sağlık sektörüne yönelik siber güvenlik tehditlerinin daha sık ve daha şiddetli hale geldiği ve klinik etki potansiyeli artan potansiyel taşımadığını söyledi. “Siber olaylar, tıbbi cihazları ve hastane ağlarını çalışmaz hale getirmiştir, ABD ve küresel olarak hasta bakımının sağlanmasını bozar. Cihaz güvenliği ve etkinliğinin, daha büyük sistemin bir parçası olarak yeterli cihaz siber güvenliğini ve güvenliğini içermesini sağlar.” Dedi.
Diyerek şöyle devam etti: “FDA’nın tıbbi cihaz siber güvenliğini güçlendirme ve halk sağlığını koruma taahhüdü, özellikle bu sürekli gelişen tehditler ve ABD sağlık altyapısına daha sık müdahaleler karşısında ajans için en önemli öncelik olmaya devam ediyor.”
Nihai rehber, FDA’nın siber güvenlik cihazı tasarımı, etiketleme ve FDA’nın önerdiği belgeler hakkındaki önerilerini sunar. Açıklamada, “Bu öneriler tutarlılığı teşvik etmek, verimli pazar incelemesini kolaylaştırmak ve pazarlanan tıbbi cihazların siber güvenlik tehditlerine yeterince dayanıklı olmasını sağlamaya yöneliktir.” Dedi. “Bu rehber aynı zamanda FDA’nın siber cihazlar için FD&C Yasası’nın 524B Bölümü ile ilgili önerilerini de ele alıyor.”*
Yeni rehberliğin önerileri, cihaz üreticilerinin ajansın ön pazarlama cihaz gereksinimlerini karşılamasına yardımcı olmayı amaçlarken, FDA’nın belgesi önerilerinin genellikle diğer ürün kategorileri için de geçerli olabileceğini not eder.
FDA, “501 (k) premarket incelemesinden muaf olsun ya da olmasın,” 501 (k) premarket incelemesinden muaf olsun ya da olmasın ve ayrıca “ilaç tespiti ve biyolojik cihaz” ürünleri gibi kombinasyon ürünlerini içerir.
FDA, “Bu öneriler, tutarlılığı teşvik etmek, verimli pazar incelemesini kolaylaştırmak ve pazarlanan tıbbi cihazların siber güvenlik tehditlerine yeterince dayanıklı olmasını sağlamaya yöneliktir.” Dedi.
Daha fazla netlik sağlamak
Bazı uzmanlar, yeni rehberliğin, cihaz siber güvenliğini ele almak söz konusu olduğunda, ajansın mevcut düşüncelerini ve beklentilerini bir belgede birleştirdiğini söylüyor ve bu da ön pazarlama siber gereksinimlerine uymak da dahil olmak üzere.
Sağlık bilgi paylaşımı ve analiz merkezinde tıbbi cihaz siber güvenliği başkan yardımcısı Phil Engert, “En son FDA rehberliği, 2023 ön pazarlık rehberliğinin ve FDA’nın tıbbi cihazların siber güvenliği için FDA yasal otoritesi veren 524B’de yer alan unsurların uygulanmasını açıklayan seçkin güncellemelerin birleşmesidir.” Dedi.
“Bu yeni yayınlanan rehber, bu iki belgeyi tek bir uyumlu rehber belgede birleştiriyor” dedi.
Northeastern Üniversitesi’nde profesör ve Arşimet Sağlık Hizmetleri ve Tıbbi Cihaz Siber Güvenliği Direktörü Kevin Fu, FDA’nın yeni rehberliğinin siber güvenliğin açıkça bir tıbbi cihazın “güvenlik ve etkililik tespitlerinin” bir parçası olduğunu açıkladığını söyledi.
“Hata ayıklama bağlantı noktaları, mühendislik arayüzleri ve hareketsiz kablosuz modüller artık bir ürünü ‘siber cihaz’ tanımı altında açıkça getiriyor. Bu daha önce ima edildi, ama şimdi açıktır “dedi.
“Bu, üreticilere düzenleyici bir kapsamda netlik kazandırıyor. Bir üreticinin yazılım güncelleme süreci, erişim kontrol mekanizmaları ve hatta varsayılan sistem yapılandırmaları artık düzenleyici değerlendirmenin bir parçası.” Dedi.
Bazı uzmanlar, ABD Sağlık ve İnsan Hizmetleri Dairesi de dahil olmak üzere federal hükümet içindeki yeniden yapılandırma ve işten çıkarmaların çoğunda, yeni belgenin ayrıca tıbbi cihaza ve sağlık hizmeti topluluğuna önemli bir sinyal gönderdiğini söyledi.
“FDA’nın ABD devlet kurumları arasında siber güvenlik konusunda liderlik etmeye devam ettiğini görmeye teşvik ediyorum.” Dedi.
Rios, “Yeni yasal yetkililer sıkı bir şekilde yerinde ve FDA bunları kullanmaya istekli olduğunu gösterdi. Üreticiler not almalı ve ajansın beklentilerini anladıklarından emin olmalı.” Dedi.
Ancak yönetim bütçe kesintileri ve yeniden yapılanmalar federal hükümet genelinde kaynakları etkiliyor ve FDA ve tıbbi cihaz siber güvenlik ile ilgili çabaların revizyonda zarar görmediğini söyledi.
“Üreticiler, muhtemelen personel indirimleri ve organizasyonel değişimler nedeniyle daha uzun bekleme süreleri ve daha yavaş geri bildirimler bildiriyorlar.” Dedi.
Covid-19 pandemik sırasında FDA’da özel bir danışman olarak görev yapan Fu, “Birkaç önemli FDA siber güvenlik uzmanının ayrılmasıyla, ajansın bir sonraki siber saldırı veya ülke çapında sağlık hizmetlerinin kesintisi meydana gelmesi durumunda, ulusal güvenliği korumak için zamanında ölçeklendirme kapasitesinden endişe duyuyorum.” Dedi.
“Kongre, büyüyen tehditlere karşı koymak için FDA’nın tıbbi cihazı siber güvenlik bütçesini ikiye katlamalı veya üç katına çıkarmalıdır.”
Üreticilerin FDA’nın siber güvenlik beklentilerini gezmesine yardımcı olan mevcut çalışmalarında, “Tasarım kontrollerine, güncelleme süreçlerine ve belgelere erken ilginin FDA incelemesi sırasında maliyetli gecikmeleri nasıl önleyebileceğini ve uzun vadeli piyasa sonrası riskini azaltabileceğini gördüm.” Dedi.
“Pratik terimlerle, masif ahşaptan dil depresörleri yapmadığınız sürece, ürününüz büyük olasılıkla bir siber cihaz olarak nitelendirilir. Bu, tasarım kontrolleriniz, risk yönetimi dosyalarınızın ve premarket gönderimlerinizin bu yeni gerçeği yansıtması gerektiği anlamına gelir.”
27 Haziran 2025 20: 30’da UTC’nin FDA’nın ISMG’ye yaptığı açıklamayı dahil etmek için UTC.