La Therapeutic Goods Administration (TGA) de l'Australie a mis en place des directives définitives quant aux recommandations réglementaires en matière de cybersécurité avant et après la mise en marché à l'intention des fabricants et des promoteurs de dispositifs médicaux, de logiciels et de DIV.

Ces directives TGA s'appliquent aux logiciels en tant qu'instruments médicaux (SaMD | LIM) ainsi qu'aux dispositifs médicaux et DIV incorporant des composants qui peuvent être vulnérables aux cybermenaces.

Vers une approche réglementaire harmonisée de la cybersécurité

Les directives de ce document de la TGA s'alignent étroitement sur les approches réglementaires élaborées par la Food and Drug Administration des États-Unis et Santé Canada, fondées sur les principes du cycle de vie complet du produit pour la gestion du risque et de la qualité. La convergence des exigences en matière de cybersécurité de la TGA avec les directives provisoires de la FDA des États-Unis sur la gestion des risques liés à la cybersécurité avant et après la mise en marché, les lignes directrices de Santé Canada sur la cybersécurité finalisées en juin 2019 et celles du MFDS coréen sur le même sujet montrent une réponse réglementaire qui s'harmonise de plus en plus face aux nouveaux risques et menaces pour les environnements des services de santé connectés.

Principaux éléments des orientations TGA en matière de cybersécurité

Ces nouvelles directives sur la cybersécurité sont réparties en trois sections principales : Cycle de vie total produit, pré-commercialisation et post-commercialisation.

Cycle de vie total du produit (TPLC)

Sous la directive TPLC sont détaillés les principes essentiels et les mesures de cybersécurité appropriées pour se conformer à ces principes ; cette conformité est nécessaire pour qu'un dispositif ou un LIM soit inscrit au registre australien des produits thérapeutiques (ARTG) pour être commercialisé légalement dans le pays.

Voici quelques exemples de principes essentiels et de mesures de cybersécurité correspondantes :

• Principe essentiel : L'utilisation d'un instrument médical ne doit pas compromettre la santé ou la sécurité du public
  • Un fabricant devrait examiner si et comment l'utilisation prévue d'un dispositif expose le produit aux cyber-risques, ainsi que la façon dont ces risques devraient être gérés.
• Principe essentiel : Conformité de la conception et de la fabrication d'un dispositif aux principes de sécurité
  
  • Un fabricant devrait tenir compte de la cybersécurité dans la conception de son produit et utiliser les principes de conception intrinsèquement sûrs pour réduire ces risques de cybersécurité pour les patients et les utilisateurs.
• Principe essentiel : Sécurité à long terme
  
  • Un fabricant devrait élaborer un plan d'entretien régulier des éléments de cybersécurité d'un dispositif, y compris la façon dont les mises à jour seront fournies et vérifiées et si des accessoires sont nécessaires pour cette maintenance.

Sous la directive TPLC, la TGA identifie également plusieurs normes que les fabricants peuvent mettre en œuvre afin de démontrer la conformité aux principes essentiels en matière de cybersécurité:

• ISO 14971 pour l'application de la gestion des risques aux dispositifs médicaux
• Exigences du système qualité ISO 13485 pour la conformité réglementaire
• Normes CEI 60601 pour la sécurité et les performances des équipements électriques médicaux
• Exigences de cybersécurité logicielle UL 2900-2-1 pour les composants de système de soins de santé connectables en réseau
• Exigences de sûreté et de sécurité AAMI/UL 2800 pour les dispositifs et systèmes médicaux interopérables

Enfin, la partie TPLC de ces directives comprend des recommandations sur la surveillance des risques liés à la cybersécurité. Les fabricants de produits figurant sur la liste de l'ARTG devraient élaborer et tenir à jour une nomenclature des logiciels (Software Bill of Materials - SBOM) pour collecter et surveiller les données afin d'identifier les nouvelles cybervulnérabilités et évaluer les risques.

Exigences avant la mise en marché

En ce qui concerne les exigences en matière de cybersécurité pré-commercialisation pour les titulaires d'homologations australiennes de dispositifs médicaux et de DIV, les instructions de la TGA recommandent deux approches de conception et de développement de la gestion des cyber-risques. Il s'agit notamment d'évaluations précoces de « sécurisation par la conception » de cyber-risques potentiels et de la « qualité par la conception » pour atténuer les risques associés à chaque fonction d'un dispositif.

Les recommandations en phase pré-commercialisation de la TGA identifient également les normes de base auxquelles celle-ci s'attend afin de satisfaire aux exigences essentielles : ISO 14971, ISO 13485, IEC 60601 et IEC 62304 pour les processus du cycle de vie des logiciels de dispositifs médicaux.

D'autres recommandations relatives à la cybersécurité avant la mise en marché comprennent :

• Des stratégies de gestion des risques fondées sur le cadre de cybersécurité du National Institute of Standards and Technology (NIST) des États-Unis ;
• La gestion de la fabrication et des chaînes d'approvisionnement selon les critères des Principes Essentiels ;
• Des considérations techniques telles que l'architecture modulaire, les tests d'intrusion et la sécurité de la plate-forme d'exploitation.

Les obligations après commercialisation

Les exigences TGA post-commercialisation en matière de DM et de logiciels pour maintenir leurs inscriptions ARTG se résument à la continuité de la conformité aux Principes Essentiels, y compris pour la cybersécurité.

Selon le document, la nature en perpétuelle évolution du risque en matière de cybersécurité exige une gestion avant et après la mise en marché, ce qui veut dire que les processus de surveillance et de gestion du risque informatique doivent être inclus dans la continuité des plans et activités des fabricants après la mise en marché.

Plus d'informations Emergo by UL sur la règlementation TGA de l'Australie et celle de la cybersécurité

• Assistance à la Gestion des risques liés à la cybersécurité et la fourniture
• Conseil pour l'homologation de DM auprès de la TGA australienne
• Conseil pour l'homologation TGA pour les fabricants de DIV
• Représentation locale du commanditaire TGA Australie pour les entreprises d'équipement médical étrangères
• Séminaire web : Aligner les normes UL 2900 aux directives de la FDA