רקע
ב־27 ביוני 2025 פרסם ה-FDA גרסה מעודכנת להנחיה בנושא אבטחת סייבר במכשור רפואי: “Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions”. המסמך מחליף את הגרסה הקודמת מספטמבר 2023 ומעגן עקרונות אבטחת סייבר כחלק בלתי נפרד ממערכת ניהול האיכות של המוצר.
העדכון משקף תפיסה רגולטורית רחבה יותר – אבטחת סייבר לאורך כל מחזור החיים של המכשיר (Total Product Life Cycle), ולא רק בשלב הפיתוח.
עיקרי העדכונים
1. Cyber Devices – הגדרה מחייבת
המונח החדש מתייחס למכשירים הכוללים תוכנה, בעלי חיבור לרשת (כולל חיבורים עקיפים כמו USB), ובעלי מאפיינים שעשויים להפוך אותם פגיעים לאיומי סייבר. לפי סעיף 524B שנוסף ל-FD&C Act (במסגרת FDORA 2022), יצרנים מחויבים כעת להגיש במסמכי ה-Premarket:
- תוכנית לניטור, זיהוי ותגובה לפגיעויות לאחר שיווק
- SBOM מלא ומעודכן (Software Bill of Materials)
- נהלים שמספקים הבטחה סבירה לעמידות באיומי סייבר
2. SBOM – מרכיב רגולטורי חובה
רשימת רכיבי התוכנה, כולל רכיבי צד שלישי, נדרשת בהגשה רגולטורית. זהו כלי חיוני לזיהוי סיכונים ולניהול פגיעויות לאורך כל מחזור החיים של המכשיר.
3. גישת Assume Breach – מוכנות ולא רק מניעה
ה-FDA מדגיש מעבר מחשיבה מונעת בלבד (Secure-by-Design) לחשיבה פרואקטיבית הכוללת היערכות לפריצה בפועל:
- יכולות זיהוי בזמן אמת
- רישום תקריות
- תגובה מבוססת ניתוח סיכון תוך שמירה על בטיחות ותפקוד המכשיר
4. שילוב תקן ANSI/AAMI SW96
המסמך המעודכן כולל הפניה מפורשת לתקן ANSI/AAMI SW96 – לצד AAMI TIR57 – כמסגרת מקיפה לניהול סיכוני סייבר. שילוב זה מציב רף מקצועי אחיד וברור יותר.
5. סייבר כחלק ממערכת ניהול האיכות
במבט קדימה, ה-FDA מקשר את ההנחיה לרפורמת ה-QSR שתיכנס לתוקף ב-2 בפברואר 2026. שינוי זה יישר קו עם תקן ISO 13485 ויחייב שילוב של שיקולי אבטחת סייבר כחלק מה-QMS.
דוגמה מהשטח
אירועים קודמים כמו פגיעויות SweynTooth או מתקפות כופר על בתי חולים באירופה ממחישים את הצורך בגישה מערכתית ומקיפה. ה-FDA דורש לא רק מניעה אלא גם תגובה אפקטיבית ומבוססת תהליכים.
לסיכום
עדכון יוני 2025 הוא צעד משמעותי ברגולציית אבטחת המידע למכשור רפואי. הוא מחייב יצרנים להיערכות מערכתית, מקצועית ומבוססת לאורך כל מחזור חיי המוצר – מהתכנון ועד לאחר ההפצה.
האם אתם מוכנים לעמוד ברף החדש?
