Pubblicate le linee guida finali dell’FDA sulla gestione della cybersecurity post vendita dei dispositivi medici.

La protezione dei dispositivi medici dalle minacce alla cybersecurity richiede un approccio del ciclo di vita a tutto campo. Questo inizia con lo sviluppo del prodotto iniziale e si estende per tutta la durata della sua vita. Con queste parole sono state annunciate le linee guida finali della US Food and Drug Administration (FDA) sulla gestione della sicurezza informatica post vendita dei dispositivi medici. Le nuove norme si integrano con quelle legate agli stessi dispositivi, in fase di pre immissione sul mercato. Erano state rese note a ottobre del 2014. Oggi i dispositivi medici sono collegati alla rete di un ospedale o addirittura a una connessione internet di un paziente a casa. Le nuove pratiche hanno portato a significativi progressi tecnologici nella cura dei malati. Allo stesso tempo, però, hanno causato un aumento del rischio di violazioni della sicurezza informatica. Questi potrebbero influenzare le prestazioni e la funzionalità del dispositivo. Di conseguenza, la stessa vita dell’utilizzatore.

FDA: i produttori garantiscano la cybersecurity in tutto il ciclo vitale dei dispositivi medici

Il modo migliore per combattere i pericoli cibernetici, secondo l’FDA è far sì che i produttori prendano in considerazione la cybersecurity durante tutto il ciclo di vita totale di prodotto o di un dispositivo. A proposito, l’agenzia federale suggerisce che inseriscano controlli di sicurezza informatica quando progettano e sviluppano il dispositivo. Ciò per assicurare le sue prestazioni corrette, anche di fronte alle minacce del cyberspazio. Inoltre, volta che il prodotto sarà sul mercato o utilizzato dai pazienti, si chiede di monitorare e affrontare le preoccupazioni legate alla cyber sicurezza.

Le raccomandazioni nelle linee guida sulla cybersecurity della FDA

Per migliorare la cybersecurity dei dispositivi medici, l’FDA ha stilato una serie di raccomandazioni alle aziende produttrici. Innanzitutto creare un modo per monitorare e rilevare le vulnerabilità di sicurezza informatica nei loro prodotti. Inoltre, comprendere, valutare e rilevare il livello di rischio che una vulnerabilità rappresenta per la sicurezza del paziente. L’Agenzia suggerisce anche di stabilire un processo per lavorare con i ricercatori della sicurezza cibernetica e altre parti interessate a ricevere informazioni su potenziali vulnerabilità (la “coordinated vulnerability disclosure policy”). A ciò si aggiunge che i produttori dovrebbero distribuire mitigazioni (come ad esempio patch). L’obiettivo è prevenire possibili minacce cyber e vulnerabilità, prima che possano essere sfruttate e causare danni. Infine, si ricorda che è fondamentale per i produttori e le parti interessate in tutto l’intero ecosistema applicare i principi chiave del National Institute of Standards and Technology’s (NIST), legati al miglioramento della cybersecurity delle infrastrutture critiche.

Le linee guida integrali dell’FDA sulla cybersecurity nella gestione dei dispositivi medici post vendita (file PDF)