MDCG 2019-16 Rev.1 : Guidance on cybersecurity for medical devices – December 2019

23 Nov 2020 | MDCG

Thème Cybersécurité
Public visé Fabricants
Produits concernés DM qui comportent des systèmes électroniques programmables et logiciels qui sont des DM à part entière.
Référence Réglementaire

RDM (UE) 2017/745

Article 2(23)

Annexe I 17.2

RDIV (UE) 2017/746

Annexe I 17.4

Article 2(16)
Documents cités

IMDRF/CYBER WG/N 60

Règlement (UE) 2016/679

Directive (UE) 2016/1148

ANSM :  Cybersécurité des dispositifs médicaux intégrant des logiciels au cours de leur cycle de vie

Cyber Security Requirements for Network-Connected Medical Devices; see https://www.allianz-fuercybersicherheit.de/ACS/DE/_/downloads/BSI-CS_132E.pdf?__blob=publicationFile&v=5

eHealth Suisse: Guideline for app developers, manufacturers and distributors; see https://www.e-healthsuisse.ch/fileadmin/user_upload/Dokumente/2018/E/180731_Leitfaden_fuer_App_Entwickler_def_EN.pdf

Règlement (UE) 2019/881

MEDDEV 2.12 – 1 rev 8

Nombreuses références normatives :

      • EN ISO
      • EN 62304
      • EN ISO 31000
      • EN ISO/IEC 27000
      • EN ISO/IEC 27001
      • EN ISO/IEC 60601-1-x
      • IEC 82304-1
      • ISO/IEC 80001-1
      • ISO/IEC 80001-5-1
      • IEC/TR 80001-2-2
      • IEC/TR 80001-2-8
      • ISO/IEC 80001-xx including IEC/TR 80001-2-1, IEC/TR 80001-2-3, IEC/TR 80001-2-4, IEC/TR 80001-2-5, ISO/TR 80001-2-6, ISO/TR 80001-2-7 or other
      • EN ISO 62366 / ISO 60601-4
      • IEC 62443-4-
      • IEC 62443-4-1
      • IEC/TR 60601-4

 

Synthèse : Ce guide couvre les exigences de cybersécurité pour les activités de pré-commercialisation et de post-commercialisation. Il concerne les dispositifs médicaux comportant des systèmes électroniques programmables et les logiciels qui sont des dispositifs à part entière.

En introduction, le guide du MDCG fournit une liste des Exigences générales en matière de sécurité et de performances (EGSP) des Annexes I du MDR et de l’IVDR, concernant la cybersécurité (cf Table 1). Ces exigences imposent aux fabricants de dispositifs médicaux de tenir compte de l’état de l’art tout au long du cycle de vie de leurs dispositifs (conception, développement et mises à jour). Les fabricants doivent démontrer que leurs décisions sont prises selon l’état de l’art (basé sur les normes applicables, guides, leurs propres connaissances et les informations scientifiques et techniques disponibles publiquement) et qu’ils maitrisent les risques liés à la sécurité.

Le guide fournit également une liste des activités de cybersécurité que les fabricants doivent réaliser tout au long du cycle de vie de leur produit (cf table 2).

Concepts élémentaires de cybersécurité

Le second chapitre du guide MDCG 2019-16 présente un certain nombre de concepts importants concernant la cybersécurité, qui s’appuient sur le principe CIA (Confidentialité, Intégrité et accessibilité) qui doit être appliqué tout au long de la durée de vie du dispositif.

Le fabricant doit avoir une bonne compréhension de l’infrastructure dans laquelle le dispositif sera utilisé, afin de déployer les niveaux de défense appropriés et assurer ainsi que son dispositif médical est développé et fabriqué de telle sorte que les risques associés à l’environnement d’utilisation sont éliminés ou réduits autant que possible (cf EGSP 17.4 du MDR et EGSP 16.4 de l’IVDR). Le guide souligne la responsabilité conjointe des fabricants et des autres intervenants (intégrateur système, opérateur, utilisateur final).

Conception et fabrication sûres

Le troisième chapitre du guide MDCG 2019-16 rappelle que la sécurité et l’efficacité du dispositif ne peuvent être assurées que si les risques sont gérés dès la conception et tout au long du cycle de vie du dispositif.

Le fabricant doit également énoncer les exigences minimales concernant l’environnement et l’infrastructure dans lesquels le dispositif fonctionnera. Le guide donne une liste indicative des exigences que peut formuler le fabricant.

Le guide MDCG-16 établit que le principal moyen de vérifier et valider la sécurité est la réalisation de tests et il cite quelques méthodes de test.

Documentation

Le guide MDCG-16 rappelle la documentation que doit établir le fabricant (Dossier de Gestion des Risques, Documentation Technique, Documentation Technique relative à la surveillance après commercialisation). Il détaille comment les exigences générales 23 (MDR) et 20 (IVDR) s’appliquent aux dispositifs comprenant un logiciel ou aux logiciels qui sont des dispositifs à part entière, et quelles informations doivent être fournies avec le dispositif.

 Suivi après commercialisation et vigilance

Un programme de surveillance après commercialisation concernant la cybersécurité doit couvrir les aspects suivants :

      • Fonctionnement du dispositif dans son environnement

Partage et diffusion d’information de cybersécurité et de connaissances de vulnérabilités et menaces

Rev 1 : La révision de ce MDCG ne comporte pas de modifications significatives par rapport à sa version initiale.