בחודש יוני 2025, ה-FDA פרסם עדכון חשוב להנחיה בנושא
במכשירים רפואיים - מסמך שמסביר איך בודקים, כותבים ומגישים תוכן סייבר כחלק מהגשה רגולטורית מוקדמת.
העדכון כולל בעיקר תיקונים קלים ושיפורים בהפניות ובניסוח. אבל שינוי אחד מרכזי קפץ לראש העדיפויות: נוסף פרק חדש (סעיף VII) שמחייב לעמוד בדרישות של חוק פדרלי חדש - סעיף 524B.
וזה משנה את כללי המשחק.
כל מכשיר עם USB הוא מעכשו מכשיר סייבר.
ה-FDA מגדיר "Cyber Device" כמכשיר שמחובר, או עשוי להתחבר לרשת. אפילו בעקיפין.
למשל: מכשיר עם יציאת USB, גם אם לא מיועד להתחבר לרשת, נחשב מכשיר סייבר. למה? כי אפשר לחבר אליו מתאם רשת.
המשמעות היא שכמעט כל מכשיר רפואי שיש בו תוכנה נופל תחת ההגדרה הזאת.
מה ה-FDA רוצה מכם עכשיו?
1. תוכנית סדורה לניהול פגיעויות (Vulnerability Management Plan)
-
-
עדכונים רגילים לפי לו"ז סביר
-
תיקונים קריטיים – גם מחוץ למחזור
-
נוהל לגילוי ותיאום חולשות (CVD)
-
2. תהליך דיזיין ותחזוקה עם חשיבה סייברית
צריך להראות שהתוכנה והמערכת מתוכננות מראש עם הגנות מתאימות, לא רק טלאים בדיעבד.
זה כולל שילוב של תקנים כמו IEC 81001‑5‑1 ו-AAMI SW96 לאורך מחזור החיים של המוצר.
3. SBOM (רשימת רכיבי תוכנה)
ה-FDA רוצה לדעת בדיוק מה יש בפנים, כולל תוכנות צד שלישי, קוד פתוח, רכיבים מסחריים וכו'.
גם שינויים קטנים? בהחלט.
מעדכנים מכשיר שאושר לפני 2023?
גם אם השינוי לא נוגע לאבטחת מידע, תצטרכו להגיש:
-
-
תוכנית ניהול פגיעויות
-
הוכחה שאין חולשות קריטיות (למשל דרך pen test, ניתוח סיכונים וכו')
-
SBOM מעודכן
-
אם השינוי כן משפיע על סייבר, תצטרכו לעמוד בכל הדרישות במלואן.
בלי זה, ההגשה לא תעבור.
זה מסר ברור מה-FDA: אם אין לכם תיעוד סייבר מסודר, אתם לא עוברים את הסף.
אפילו אם המכשיר שלכם בטוח. אפילו אם הוא כבר מאושר.
אז מה כדאי לעשות?
-
-
להתחיל לעבוד עם תבניות סייבר כבר בשלב הפיתוח
-
לעדכן נהלים פנימיים לפי סעיף 524B
-
לוודא שיש לכם SBOM מעודכן וזמין
-
לחשוב על סייבר מראש, לא רגע לפני ההגשה
-
תגובות
הוסף רשומת תגובה