Die FDA macht einen großen Schritt nach vorn bei der Sicherheit medizinischer Geräte

Last-Minute-Omnibus-Ausgabenrechnungen sind die Bonbongläser von Capitol Hill. Diese Gesetzentwürfe, die am Ende des Jahres zwölf Monate überfälliger Gesetzesverabschiedungen zusammenfassen, sind oft mit „Schweinefleisch“ vollgestopft – politischen Süßungsmitteln, die in letzter Minute eingearbeitet wurden, um die Gunst der lokalen Wähler der Politiker zu gewinnen. Allerdings können sie manchmal längst überfällige Maßnahmen einleiten, die andernfalls auf dem Hügel scheitern würden.

Letzten Dezember betrug der Betrag 1.7 Billionen US-Dollar Gesetz über konsolidierte Mittel (CAA) enthielt eine entscheidende Komponente: eine Gesetzgebung, die Hersteller medizinischer Geräte endlich dazu zwingen würde, den Überblick über die Cybersicherheit zu behalten, nachdem ihre Geräte aus den Regalen genommen wurden.

Abschnitt 3305 des CAA änderte den Federal Food, Drug, & Cosmetic Act durch die Hinzufügung von Abschnitt 542B „Gewährleistung der Cybersicherheit von Medizinprodukten“. Diese neue Regelung gilt für jedes von der FDA abgedeckte Gerät, das mit dem Internet verbunden ist und anfällig für Cybersicherheitsprobleme sein könnte.

Ein kontinuierlicher Ansatz zur Cybersicherheit 

Ein Teil der Formulierungen im neuen Gesetz stammt aus einem verbindlichen Regelwerk, das sich im Kongress durchgesetzt hatte. Mit dem im März 2022 erlassenen Protecting and Transforming Cyber ​​Health Care (PATCH) Act wurde versucht, Cybersicherheitskontrollen für medizinische Geräte gesetzlich zu regeln.

In Anlehnung an den PATCH Act verpflichtet das neue Gesetz die Hersteller medizinischer Geräte, der Agentur nach der Markteinführung der Geräte einen Plan zur Überwachung, Identifizierung und Behebung von Cybersicherheitslücken vorzulegen.

Gerätehersteller müssen außerdem ein koordiniertes Programm zur Offenlegung von Sicherheitslücken einführen. Das bedeutet, dass sie Fehler nicht länger unter den Teppich kehren können, indem sie sie oder die Forscher, die sie ansprechen, ignorieren.

Anbieter müssen außerdem eine Software-Stückliste (SBOM) anbieten, in der aufgeführt ist, welche Softwarekomponenten das Gerät verwendet – eine große Anspielung der FDA auf die Sicherheit der Lieferkette.

Der FDA-Sekretär muss die Leitlinien der Agentur zu Cybersicherheitsanträgen für medizinische Geräte vor dem Inverkehrbringen aktualisieren und dabei das Feedback von Interessengruppen, einschließlich Herstellern und Gesundheitsdienstleistern, berücksichtigen. Die FDA muss außerdem jedes Jahr Informationen und Ressourcen zur Verbesserung der Cybersicherheit medizinischer Geräte veröffentlichen.

Das US Government Accountability Office (GAO) wird außerdem einen Jahresbericht veröffentlichen, in dem alle Hindernisse aufgeführt werden, auf die Interessenvertreter bei der Sicherung der Unterstützung der Bundesregierung zur Verbesserung der Cybersicherheit von Geräten gestoßen sind.

Die Formulierung der CAA ist nicht die erste, die von den Geräteherstellern gewisse Cybersicherheitsbemühungen erfordert. Die FDA verfügt bereits über eine Quality System Regulation (QSR), die den Geräteherstellern einen risikobasierten Ansatz für die Cybersicherheit vorschreibt, was bedeutet, dass sie die Wahrscheinlichkeit und Auswirkungen von Cyberrisiken ermitteln müssen.

Das QSR geht allerdings nur so weit. Durch die konkrete Beschreibung des laufenden Programms zur Behebung der Cybersicherheit nach der Veröffentlichung erzwingt das neue Gesetz mehr Kontinuierlicher Ansatz zur Cybersicherheit statt eines „Fire-and-Forget“-Ansatzes, der die Gerätesicherheit nur zu einem bestimmten Zeitpunkt nachweist.

Jahrelanger Kampf für Cybersicherheit 

Das Gesetz, das am 29. März 2023 in Kraft trat, ist der Höhepunkt einer langen Initiative der FDA zur Geräte-Cybersicherheit. Dies geht auf das Jahr 2005 zurück, als die Agentur dies veröffentlichte Tipps und Tricks, zum Umgang mit vernetzten Geräten, die kommerzielle Standardsoftware enthalten. Im Jahr 2014 gab es erstmals konkrete Leitlinien zur Planung und Dokumentation von Cybersicherheitsmaßnahmen für Geräte nach dem Verkauf heraus. Dies wurde 2018 aktualisiert.

Dann, im April 2022, wurde es veröffentlicht ein weiterer Entwurf von Cybersicherheitsrichtlinien zu den Einreichungen zur Marktzulassung, die das Dokument von 2018 ersetzten. In diesem Dokument wurde auch eine Software-Stückliste zur Nachverfolgung von Komponenten Dritter gefordert. Es wurde ein Secure Product Development Framework empfohlen, um Sicherheitslücken und integrierte Update-Funktionen für Geräte zu reduzieren.

Obwohl die Bemühungen der Behörde lobenswert waren, waren ihre FDA-Richtlinien zur Gerätesicherheit bisher freiwillig, was im Allgemeinen bedeutet, dass die Einhaltung durch die Branche lückenhaft sein wird.

Experten, die für die FDA gearbeitet haben, weisen darauf hin, dass Cybersicherheit für die Behörde ein harter Kampf war. Es gab nicht einmal eine einzige Person, die sich der Leitung der Cybersicherheitsfunktion widmete, bis Anfang 2021 eine neue Rolle im Center for Devices and Radiological Health geschaffen wurde. Der Cybersicherheitsprofessor Kevin Fu übernahm als Leihgabe der University of Michigan für ein Jahr die Rolle des amtierenden Direktors für Cybersicherheit medizinischer Geräte.

Im Juni 2022, nachdem er die Rolle verlassen hatte, wurde Fu gewarnt dass der FDA das Personal oder das entsprechende Budget fehlte, um das wachsende Cybersicherheitsproblem anzugehen.

Was kommt als nächstes 

Die FDA hat erklärt, dass sie Geräte zunächst nicht nur aufgrund von Problemen mit Abschnitt 542B ablehnen wird, sondern bei der Überprüfung lieber mit Anbietern zusammenarbeiten wird. Nach dem 1. Oktober 2023 wird jedoch davon ausgegangen, dass die Anbieter genügend Zeit hatten, ihre Cybersicherheitsdokumentation vor dem Inverkehrbringen vorzubereiten, und behält sich das Recht vor, die Annahme eines Geräts zu verweigern, wenn die Dokumentation die Anforderungen nicht erfüllt.

Die Anforderungen gelten nicht für vorhandene Geräte und konzentrieren sich nur auf neue Einreichungen. Das bedeutet, dass Geräte, die vor Ende März dieses Jahres eingeführt wurden, jahrelang weiterlaufen könnten, ohne dass Aktualisierungspläne für die Cybersicherheit erforderlich wären, insbesondere wenn Krankenhäuser es für angebracht halten, sie zu überholen, um ihre Ressourcen zu verbrauchen.

Vorschriften für Cybersicherheitsausrüstung gelten selten rückwirkend, daher ist damit zu rechnen, dass für vor Ort eingesetzte Kits ein Freibrief gilt. Dennoch ist dies ein großer Schritt, um Gerätehersteller für die Sicherheit ihrer Geräte verantwortlich zu machen.

Man hätte gehofft, dass sich die Anbieter zur Verantwortung gezogen hätten, aber leider nein. Letztes Jahr, das FBI gewarnt über eine Plage ungepatchter, unsicherer medizinischer Geräte. Das Büro warnte davor, dass diese Geräte, darunter alles von Insulinpumpen bis hin zu Herzschrittmachern, gehackt werden könnten, um die Gesundheit der Patienten zu gefährden. Es hieß, über vier von zehn Geräten, die das Ende ihrer Lebensdauer erreicht hatten, verfügten noch immer über keine Sicherheitspatches oder Upgrades.

Anbieter dazu zu bringen, dies ernst zu nehmen, ist nur die eine Hälfte der Herausforderung. Die andere Möglichkeit besteht darin, Gesundheitsdienstleister dazu zu bewegen, Pflaster anzuwenden, sobald diese verfügbar sind. Kaum ein Drittel der Gesundheitsdienstleister wissen, wo sich alle ihre Geräte befinden oder wann das Ende ihrer Lebensdauer erreicht ist. Selbst wenn dies der Fall ist, ist das Flicken empfindlicher lebenserhaltender Ausrüstung ein anspruchsvoller Prozess. Dennoch ist ein kleiner Schritt besser als gar keiner, vermuten wir.