I forrige uke var jeg i Cork for å presentere artikkelen «Cybersecurity Guidances for Medical Devices: An MDCG and FDA Regulatory Comparison» på SmartComp-konferansen.
Økt integrasjon av medisinsk teknologi med IoT-teknologi og digital infrastruktur har store fordeler med forbedret diagnostikk, økt hjemmeoppfølging og persontilpasset behandling, men samtidig betyr dette at medisinsk utstyr blir mer eksponert for eksterne trusler. Dette er de regulerende myndighetene I EU og USA klar over, og både Medical Device Coordination Group (MDCG) i EU og Food and Drug Administration (FDA) i USA har gitt ut veiledninger for hvordan man kan tilfredsstille sikkerhetskrav fra hhv MDR og FDA.
Hvis man skal sammenligne MDCG og FDA, blir det litt som å sammenligne epler og bananer. MDCG er en gruppe som består av medlemmer oppnevnt av medlemsstater, og kan bare gi uforbindtlige råd for å tilstrebe at nasjonale myndigheter anvender MDR på en konsistent måte. FDA er på sin side en regulerende myndighet, og kan utstede bindende regler og forskrifter for det amerikanske markedet. MDR er et prinsipp-basert rammeverk, noe som lar MDCG skissere brede målsetninger med tilsvarende fleksible implementasjoner. FDA reder over et regelbasert rammeverk som fordrer eksplisitte mandater og klar etterlevelse. Denne forskjellen betyr også at FDA hyppigere har vært på banen med veiledninger som gjelder områder i heftig utvikling (som AI).
Både I NEMECYS-proejektet og i våre «søsterprosjekter» finansiert i samme utlysning har vi hatt utstrakt kontakt med interessenter inkludert både produsenter og helseaktører. Spesielt små produsenter av medisinsk utstyr er misfornøyde med veiledningen MDCG-2019-16, hvor de hevder at MDCG «gjør tydelige ideer mindre tydelige», og kompliserer forståelsen av MDR og hvem den gjelder for.
På den annen hånd mener interessentene at veiledningen fra FDA er tydelig og lett å forstå sammenlignet med MDCG-2019-16. Det praktiske formatet på FDA-veiledningen bidrar til at til og med små produsenter kan forstå reglene uten å hyre inn eksterne konsulenter. FDA-veiledningen kan også brukes som et verktøy for å sjekke etter manglende sikkerhetsinformasjon, og har en grad av målbarhet som også gjør den til en kilde for god sikkerhetspraksis, selv om den ikke er direkte anvendbar i Europa. Mange har også hevdet at det er lettere å oppnå godkjenning i USA pga mindre byråkrati (men i øyeblikket er det jo ikke godt å si hvordan det kommer til å stå til med finansieringen og kapasiteten til FDA framover).
MDCG 2019-16 beskyldes også for å bruke upresis eller udefinert terminologi som «cyber smart oppførsel» eller «operatør», noe som kan lede til misforståelse og divergerende tolkninger. Det savnes også praktiske eksempler som kan klargjøre de juridiske kravene. FDA bruker på sin side klare og konsistente definisjoner, ofte basert på etablerte industristandarder, noe som motvirker tvetydighet.
Sammen med våre søsterprosjekter har vi allerede publisert to vitenskapelige artikler med anbefalinger om forbedringer til MDCG 2019-16. Anbefalingene omfatter:
- Harmonisering av betraktninger rundt cybersikkerhet, pasientsikkerhet og personvern
- Forbedring av sikkerhetsmekanismer og strategier for å håndtere trusler
- Strukturert cybersikkerhet risikovurderinger gjennom hele livsløpet til medisinsk utstyr
- Styrking av etter-marked styring og overvåkning
- Harmoniser veiledninger med juridiske rammeverk som GDPR, AI-forordningen og NIS2
- Praktiske eksempler og strukturert implementasjonsveiledning
- Adressér AI i medisinsk utstyr ved å angi spesifikke sikkerhetsmekanismer
Det finnes mer informasjon på NEMECYS’ publikasjonsside: https://nemecys.eu/resources/publications/
Photo by RDNE Stock project from Pexels: https://www.pexels.com/photo/person-reading-documents-7888676/