La digitalizzazione e la connettività sono diventate caratteristiche fondamentali per un numero sempre maggiore di prodotti, inclusi i dispositivi medici (Medical Devices, MD) e le macchine industriali. I fabbricanti di tali prodotti sono soggetti a rigorosi obblighi per garantire la sicurezza informatica dei loro componenti software, essenziali per proteggere la disponibilità, l'integrità e la riservatezza dei dati.
Il nostro obiettivo è quello di supportare i clienti nella navigazione dei complessi requisiti di conformità, in particolare quelli derivanti da:
Regolamenti UE per i Dispositivi Medici (MDR, Regolamento (UE) 2017/745)
Questa normativa impone che i software incorporati nei dispositivi medici, o che costituiscono essi stessi dispositivi, siano sviluppati e fabbricati tenendo conto dei principi del ciclo di vita dello sviluppo, della gestione del rischio (inclusa la sicurezza delle informazioni), della verifica e della convalida. I fabbricanti devono istituire, documentare, applicare e migliorare costantemente un sistema di gestione della qualità che garantisca la conformità.
Normative Europee sulla Cyber-Resilienza (NIS2 e CRA):
La Direttiva (UE) 2022/2555 (NIS 2) stabilisce misure per un livello comune elevato di cibersicurezza nell’Unione, e il Regolamento (UE) 2024/2847 (Cyber Resilience Act - CRA) stabilisce requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali. Sebbene i dispositivi medici coperti dal Regolamento (UE) 2017/745 siano generalmente esclusi dal CRA, dato che MDR affronta già i rischi di cibersicurezza, i principi di ciberresilienza e gli strumenti come le Distinte Base del Software (SBOM) sono essenziali per la gestione del rischio e delle vulnerabilità durante l'intero ciclo di vita del prodotto. …continua…
Nuovo Regolamento Macchine (Regolamento (UE) 2023/1230) e Ciberresilienza (Regolamento (UE) 2024/2847 - CRA)
Le aziende che fabbricano macchine rientranti nel Regolamento (UE) 2023/1230 e che sono anche considerate "prodotti con elementi digitali" ai sensi del Regolamento (UE) 2024/2847 (CRA), devono conformarsi a entrambi gli atti. In particolare, i fabbricanti devono rispettare: I requisiti essenziali di cibersicurezza stabiliti dal Regolamento sulla Ciberresilienza (CRA). I requisiti essenziali in materia di sa I requisiti essenziali in materia di salute e sicurezza del Regolamento Macchine, in particolare quelli relativi alla protezione contro la corruzione e la sicurezza e l’affidabilità dei sistemi di controllo (Allegato III, sezioni 1.1.9 e 1.2.1 del Reg. 2023/1230). Il CRA stabilisce requisiti essenziali di cibersicurezza che si applicano alla progettazione, sviluppo e produzione dei prodotti con elementi digitali, nonché ai processi di gestione delle vulnerabilità messi in atto dai fabbricanti. Questo approccio garantisce che la sicurezza sia considerata per tutto il ciclo di vita del prodotto. La conformità ai requisiti essenziali di cibersicurezza del CRA può facilitare il rispetto dei requisiti di sicurezza analoghi stabiliti nel Regolamento Macchine. Per dimostrare la conformità ai requisiti essenziali (Allegato I del CRA), i fabbricanti devono effettuare una valutazione dei rischi di cibersicurezza.
Regolatorio FDA per i Medical Device e la Cyber-Risk Management:
Oltre ai requisiti di gestione del rischio europei (che impongono ai fabbricanti di individuare e documentare i pericoli noti e prevedibili associati a ciascun dispositivo), l'esperienza di Euranet si estende anche al supporto per il rispetto del regolatorio FDA (come specificato nella sua query iniziale) in materia di cybersecurity. In questo contesto, è rilevante che la FDA ritiene appropriata la definizione del termine "rischio" utilizzata dalla norma ISO 13485. L'applicazione di questo termine "rischio" all'interno degli standard QMSR (Quality Management System Regulation) pertinenti alla FDA è specificamente riferita ai requisiti di sicurezza o prestazione del dispositivo medico o al rispetto dei requisiti normativi applicabili (applicable regulatory requirements).
