Новые требования к кибербезопасности медицинских устройств

В США производителей медицинских устройств при подаче заявок на новые продукты обяжут предоставлять информацию о его кибербезопасности. С 1 октября Управление по контролю качества пищевых продуктов и лекарственных средств (FDA) будет отклонять заявки, в которых отсутствуют сведения о кибербезопасности устройства и план по мониторингу, выявлению и устранению уязвимостей.

Новые требования по кибербезопасности относятся к любому медицинскому устройству, которое имеет программное обеспечение или может подключаться к сети Интернет. Теперь производители будут обязаны включать в документацию подтверждение способности продукта к установке обновлений и исправлений, информацию о средствах контроля и тестирования безопасности, а также предоставлять спецификацию ПО.

Еще в 2018 году исследователи кибербезопасности обнаружили уязвимости в кардиостимуляторах, которые могли привести к смерти, а в сентябре 2022 ФБР предупредило об уязвимостях в незащищенных медицинских устройствах. Представители FDA считают, что новая политика поможет ощутимо улучшить состояние устаревших устройств в будущем и, как следствие, обеспечить защиту пациентов.

В конце 2022 года были внесены поправки в Закон о продуктах, лекарствах и косметических средствах. В закон был добавлен раздел 524B «Обеспечение кибербезопасности медицинских устройств», который вступил в силу 29 марта 2023. В отличие от большинства документов FDA, новые правила были приняты без предварительного общественного обсуждения.

В период до 1 октября, когда новые правила окончательно вступят в силу, FDA будет помогать производителям медицинских устройств в оформлении документации по кибербезопасности, которые производители подают в Управление.