LES POINTS PRINCIPAUX PAR EMERGO :

• Une norme UL de cybersécurité en matière de soins de santé et de dispositifs médicaux est en passe d'être reconnue par la FDA des États-Unis.
• L'ensemble des normes UL 2900 permettra aux déclarants sur le marché des dispositifs médicaux étasunien de démontrer les fonctionnalités de cybersécurité adéquates pour leurs produits.
• Les outils pour démontrer la conformité aux exigences de la FDA en matière de cybersécurité devraient aider les fabricants de dispositifs et les développeurs de logiciels médicaux dans leurs environnements pré et post-commercialisation.

Une série de normes publiées par UL pour traiter les questions liées à la cybersécurité des DM sera bientôt adoptée par la Food and Drug Administration étasunienne pour aider les fabricants à prouver leurs affirmations concernant l'assurance de cybersécurité.

Les normes UL 2900 ont été conçues dans le cadre du Programme d'assurance de cybersécurité (UL CAP) afin de fournir aux fabricants des critères mesurables et testables pour évaluer les vulnérabilités d'un logiciel de dispositif médical et les contrôles de sécurité ainsi qu'identifier les améliorations en matière de cybersécurité. La série de normes UL 2900 comprend :

• UL 2900-1 : exigences générales en cybersécurité des logiciels pour les produits et dispositifs connectables en/au réseau
• UL 2900-2-1 : exigences particulières pour les composants de systèmes de santé comprenant des logiciels et dispositifs médicaux
• UL 2900-2-2 : exigences particulières pour les systèmes de contrôle industriel

L'adoption par l'ANSI de l'UL 2900 est déjà en cours

Avant cette reconnaissance prévue de l'UL 2900 par la FDA, l'Institut de normalisation étasunienne (ANSI) avait déjà donné son accord par consensus pour l'UL 2900-1, et l'adoption de l'UL 2900-2-1 est également en cours.

« L'UL 2900 fournit aux fabricants de dispositifs médicaux des tests reproductibles qui peuvent fournir une preuve objective pour étayer les affirmations d'assurance en matière de cybersécurité, » explique Anura Fernando, Ingénieur principal, Interopérabilité et sécurité des systèmes médicaux chez UL. « Le programme UL CAP est fondé sur la norme UL 2900 et fournit aux autorités de règlementation et aux organismes de prestations de santé des certifications assurant que les exigences normalisées pour la cybersécurité ont été satisfaites, dans le cadre de l'examen avant commercialisation et la qualification. »

Que signifiera pour les déclarants aux États-Unis l'adoption de l'UL 2900 par la FDA ?

Étant donné l'adoption prochaine par l'ANSI et la FDA et la mise en application de l'ensemble complet des normes UL 2900 pour les logiciels et les dispositifs médicaux, quel impact cela aura-t-il sur les déclarants du marché étasunien ?

D'après A. Fernando, les exigences UL 2900 ont été conçues en phase avec les lignes directrices actuelles de la FDA relatives à la cybersécurité pré et post-commercialisation ainsi qu'avec celles du comité technique de l'ANSI. Les normes UL ont donc été créées pour soutenir les procédures de demandes règlementaires auprès de la FDA.

Il indique que « la reconnaissance par la FDA de l'UL 2900-1 a été complétée et une annonce publique est attendue dans le prochain avis du Registre fédéral étasunien sous la liste n° 47 des normes consensuellement reconnues par la FDA. »

A. Fernando ajoute que les fabricants seront en mesure d'utiliser la certification UL 2900 pour démontrer que leurs dispositifs répondent aux exigences règlementaires énoncées dans les lignes directrices pré et post-commercialisation de la FDA.