2019年 7月 30日
La Therapeutic Goods Administration (TGA) de l'Australie a mis en place des directives définitives quant aux recommandations réglementaires en matière de cybersécurité avant et après la mise en marché à l'intention des fabricants et des promoteurs de dispositifs médicaux, de logiciels et de DIV.
Ces directives TGA s'appliquent aux logiciels en tant qu'instruments médicaux (SaMD | LIM) ainsi qu'aux dispositifs médicaux et DIV incorporant des composants qui peuvent être vulnérables aux cybermenaces.
Les directives de ce document de la TGA s'alignent étroitement sur les approches réglementaires élaborées par la Food and Drug Administration des États-Unis et Santé Canada, fondées sur les principes du cycle de vie complet du produit pour la gestion du risque et de la qualité. La convergence des exigences en matière de cybersécurité de la TGA avec les directives provisoires de la FDA des États-Unis sur la gestion des risques liés à la cybersécurité avant et après la mise en marché, les lignes directrices de Santé Canada sur la cybersécurité finalisées en juin 2019 et celles du MFDS coréen sur le même sujet montrent une réponse réglementaire qui s'harmonise de plus en plus face aux nouveaux risques et menaces pour les environnements des services de santé connectés.
Ces nouvelles directives sur la cybersécurité sont réparties en trois sections principales : Cycle de vie total produit, pré-commercialisation et post-commercialisation.
Cycle de vie total du produit (TPLC)
Sous la directive TPLC sont détaillés les principes essentiels et les mesures de cybersécurité appropriées pour se conformer à ces principes ; cette conformité est nécessaire pour qu'un dispositif ou un LIM soit inscrit au registre australien des produits thérapeutiques (ARTG) pour être commercialisé légalement dans le pays.
Voici quelques exemples de principes essentiels et de mesures de cybersécurité correspondantes :
Sous la directive TPLC, la TGA identifie également plusieurs normes que les fabricants peuvent mettre en œuvre afin de démontrer la conformité aux principes essentiels en matière de cybersécurité:
Enfin, la partie TPLC de ces directives comprend des recommandations sur la surveillance des risques liés à la cybersécurité. Les fabricants de produits figurant sur la liste de l'ARTG devraient élaborer et tenir à jour une nomenclature des logiciels (Software Bill of Materials - SBOM) pour collecter et surveiller les données afin d'identifier les nouvelles cybervulnérabilités et évaluer les risques.
Exigences avant la mise en marché
En ce qui concerne les exigences en matière de cybersécurité pré-commercialisation pour les titulaires d'homologations australiennes de dispositifs médicaux et de DIV, les instructions de la TGA recommandent deux approches de conception et de développement de la gestion des cyber-risques. Il s'agit notamment d'évaluations précoces de « sécurisation par la conception » de cyber-risques potentiels et de la « qualité par la conception » pour atténuer les risques associés à chaque fonction d'un dispositif.
Les recommandations en phase pré-commercialisation de la TGA identifient également les normes de base auxquelles celle-ci s'attend afin de satisfaire aux exigences essentielles : ISO 14971, ISO 13485, IEC 60601 et IEC 62304 pour les processus du cycle de vie des logiciels de dispositifs médicaux.
D'autres recommandations relatives à la cybersécurité avant la mise en marché comprennent :
Les obligations après commercialisation
Les exigences TGA post-commercialisation en matière de DM et de logiciels pour maintenir leurs inscriptions ARTG se résument à la continuité de la conformité aux Principes Essentiels, y compris pour la cybersécurité.
Selon le document, la nature en perpétuelle évolution du risque en matière de cybersécurité exige une gestion avant et après la mise en marché, ce qui veut dire que les processus de surveillance et de gestion du risque informatique doivent être inclus dans la continuité des plans et activités des fabricants après la mise en marché.