La crescente preoccupazione per i rischi posti dalle vulnerabilità nei software medtech ha reso la sicurezza informatica un punto focale per i regolatori di tutto il mondo negli ultimi anni: ora la Commissione UE offre una guida per soddisfare gli standard di sicurezza informatica sui dispositivi medici in Europa.
Nel documento intitolato Guidance on Cyber security for medical devices ci sono nuovi requisiti di sicurezza per tutti i dispositivi che incorporano sistemi e software programmabili e impongono ai produttori di dispositivi di seguire principi di gestione dei rischi all’avanguardia e di stabilire soglie minime per le misure di sicurezza della tecnologia Internet, compresa la protezione contro l’accesso non autorizzato.
Indice degli argomenti
La guida alla cyber security per i dispositivi medici
Il Medical Device Coordination Group della Commissione europea ha pubblicato una guida lunedì 9 gennaio 2020 volta a preparare i produttori a soddisfare i requisiti di cyber security sia pre-mercato che post-mercato ai sensi delle nuove normative UE sui dispositivi medici.
Il documento di 47 pagine incorpora pezzi di altre normative e linee guida dell’UE e globali che riguardano il dominio della sicurezza informatica per i dispositivi medici e fornisce una revisione radicale delle normative dell’Unione Europea sui dispositivi medici in atto da molti anni entrerà in vigore il 26 maggio 2020.
Le normative riclassificano molti dispositivi a un livello di rischio più elevato, richiedendo una revisione da parte dell’organismo notificato. Il regolamento diagnostico in vitro associato entra in vigore due anni dopo. Il gruppo di coordinamento dei dispositivi medici della Commissione (MDCG), istituito ai sensi dell’articolo 103 del nuovo regolamento sui dispositivi medici, ha il compito di armonizzare l’attuazione delle nuove norme sui dispositivi medici. È composto da rappresentanti di tutti gli Stati membri della CE.
È importante ricordare che prima della pubblicazione della Guidance on Cybersecurity for medical devices il MDCG ha pubblicato anche una linea guida destinata ad aiutare i produttori di software medicale a stabilire se il loro prodotto rientri nell’ambito di applicazione dei Regolamenti (UE) 2017/745-746 e si qualifichi quindi come software dispositivo medico (medical device software, MDSW). La guidance include nel proprio ambito anche le applicazioni “app” che siano gestite su un telefono cellulare, nel cloud o su altre piattaforme.
Gli obiettivi
La convergenza degli sforzi globali di cyber security sanitaria è necessaria per garantire il mantenimento della sicurezza dei pazienti, incoraggiando al contempo l’innovazione e consentendo l’accesso tempestivo dei pazienti a dispositivi medici sicuri ed efficaci.
Lo scopo del documento appena pubblicato è di è aiutare i produttori a soddisfare tutti i requisiti essenziali di sicurezza informatica dell European Medical Devices Regulation – MDR entrato in vigore il 25 maggio 2017, e del regolamento UE 2017/746 relativo ai dispositivi medico-diagnostici in vitro IVDR entrato in vigore il 26 maggio 2017.
Queste normative introducono infatti un regime di operatore economico completo per i dispositivi medici. Mentre le vecchie direttive sostituite da queste normative regolavano solo il produttore e il rappresentante autorizzato, l’MDR e l’IVDR regolano l’importatore e il distributore, coprendo la catena di approvvigionamento fino all’utente finale.
Le indicazioni per i produttori
La Guida appena rilasciata discute come gli Operatori economici (OE) ai sensi dell’MDR e dell’IVDR possano organizzarsi e cooperare in modo tale che ciascuno dei loro obblighi possa essere adempiuto senza inutili ripetizioni dell’azione fornendo al contempo prove oggettive di completamento e garantire la conformità.
Inoltre, suggerisce gli obblighi di produttori, rappresentanti autorizzati, importatori e distributori e descrivono gli strumenti condivisi che possono essere realizzati mediante sistemi o accordi di gestione della qualità condivisi.
I produttori di dispositivi dovranno dimostrare di aver utilizzato informazioni all’avanguardia per prendere decisioni sulla gestione dei rischi di sicurezza informatica in base a standard, linee guida, conoscenze proprie e dati scientifici e tecnici disponibili al pubblico.
Le disposizioni Medical Device Coordination Group per la sicurezza informatica dedica ampio spazio ai seguenti temi:
- privacy e protezione dei dati
- indagini cliniche condotte per mostrare la conformità dei dispositivi
- procedure di valutazione della conformità
- sistemi di sorveglianza post-mercato
- piani e rapporti, rapporti periodici di aggiornamento sulla sicurezza
- rapporti e analisi di incidenti gravi e correttivi di sicurezza sul campo azioni
- reportistica di tendenza, documentazione tecnica, valutazione clinica e follow-up post-mercato
La guida chiarisce inoltre che a livello dell’UE, la direttiva NIS (UE) 2016/1148 e il regolamento generale sulla protezione dei dati (UE) 2016/679 (GDPR) sono rilevanti per la sicurezza informatica dei dispositivi medici o per gli operatori che si occupano di proteggere o trattare dati personali archiviati in dispositivi medici e potrebbero applicarsi parallelamente alle normative MDR/IVDR.
Infine, a livello dell’UE, dovrebbe essere menzionato anche l’atto dell’UE sulla cyber security (regolamento (UE) 2019/881) che introduce per la prima volta un quadro di certificazione a livello dell’UE per prodotti, servizi e processi TIC.
Infine la guida del gruppo afferma anche l’importanza di fare riferimento alla Guida alla sicurezza informatica dei dispositivi medici, sviluppata da un gruppo di lavoro del Forum internazionale sui regolatori dei dispositivi medici, che cerca un approccio armonizzato alla sicurezza informatica a livello mondiale.
