Cybersécurité des dispositifs médicaux dans l'Union Européenne

Maurice Navarro
Consultant qualité & logiciel pour dispositifs médicaux

En décembre 2019, la Commission Européenne a publié un guide sur la cybersécurité des dispositifs médicaux.

Ce guide est diffusé dans un contexte où (i) la cybersécurité des dispositifs médicaux est une préocupation internationale et (ii) plusieurs états de l'Union Européenne avaient déjà publié des guides ou établi des législations sur le sujet (Voir ).

Quelles sont les conséquences de cette situation pour les fabricants de dispositifs médicaux ?

C'est le sujet traité dans cet article.

Cybersécurité des dispositifs médicaux dans l'Union Européenne

Contexte d'élaboration du guide de l'Union Européenne "Guidance on cybersecurity for medical devices"

Face à l'intensification des cyberattaques contre les centres de santé, la cybersécurité des dispositifs médicaux a fait l'objet de guides et de législations de mise en œuvre dans plusieurs états.

Exemples d'états ayant publié des guides sur la cybersécurité des dispositifs médicaux
État Guide(s)
Australie Medical device cyber security guidance for industry
Canada Ligne directrice : Sur les exigences relatives à la cybersécurité des instruments médicaux avant leur mise en marché
Suisse Guideline for app developers, manufacturers and distributors
USA

Content of Premarket Submissions for Management of Cybersecurity in Medical Devices

Cybersecurity for Networked Medical Devices Containing Off-the-Shelf (OTS) Software

Postmarket Management of Cybersecurity in Medical Devices

Le sujet reste d'actualité et en constante évolution. Ainsi, une nouvelle version du guide "Content of Premarket Submissions for Management of Cybersecurity in Medical Devices" est en préparation par la FDA.

Si on considère l'Union Européenne, la cybersécurité des dispositifs médicaux est aussi une préoccupation des états membres depuis plusieurs années.

Ainsi, différents états de l'Union Européenne se sont penché sur le sujet avant la diffusion du guide sur la cybersécurité du MDCG (Medical Device Coordination Group) par la Commission Européenne.

Exemples de guides sur la cybersécurité des dispositifs médicaux dans l'Union Européenne
État Guide(s)
Allemagne Cyber Security Requirements for Network-Connected Medical Devices
France Cybersécurité des dispositifs médicaux intégrant du logiciel au cours de leur cycle de vie (projet)

C'est dans ce contexte, où la cybersécurité est une préocupation internationale et où, dans l'Union Européenne, des états membres établissent des recommandations et/ou des législations à l'attention des fabricants de dispositifs médicaux, que la Commission Européenne a publié un guide sur la cybersécurité des dispositifs médicaux.

Que faire quand il existe déjà un guide ou une législation nationale sur la cybersécurité des dispositifs médicaux ?

Etant donné le contexte, la parution d'un guide sur la cybersécurité des dispositifs médicaux dans l'Union Européenne peut amener une question : quelles consignes respecter quand un guide et/ou une législation nationale a/ont précédé le guide de l'Union Européenne ?

En ce qui concerne les guides nationaux sur la cybersécurité des dispositifs médicaux, deux points sont à prendre en compte :

  • ces guides sont basés sur la réglementation européenne qui traite des dispositifs médicaux et

  • ils ont été rédigés sous le regard de l'autorité nationale compétente pour l'interprétation de la réglementation sur les dispositifs médicaux (en France il s'agit de l'ANSM).

Ainsi, les guides nationaux existants dans l'Union Européenne sur la cybersécurité des dispositifs médicaux sont en accord avec les exigences de la réglementation européenne sur les dispositifs médicaux.

Quant aux législations nationales sur la cybersécurité des dispositifs médicaux, le raisonnement est similaire :

  • les législations des états membres de l'Union Européenne ne peuvent pas être en désaccord avec la réglementation européenne et

  • si le cas de figure se produit, la législation nationale devient automatiquement non applicable.

Pour lever toute ambiguïté sur le sujet, ces considérations ont été prises en compte pour rédiger le guide publié par la Commission Européenne.

Ainsi, le guide de l'Union Européenne sur la cybersécurité des dispositifs médicaux indique que

In Europe, guidance documents were developed by France, Germany, Switzerland and the UK, moreover other national legislation could apply (e.g. ASIP certification in France, NEN 7510 in the Netherlands). The principles therein contained are incorporated into this guidance document.

Source : "Guidance on cybersecurity for medical devices" - MDCG - Décembre 2019

Par conséquent, dans les états membres de l'Union Européenne, les guides nationaux et les législations nationales sur la cybersécurité des dispositifs médicaux apparaissent comme des compléments du guide distribué par la Commission Européenne.

Deux cas de figure sont dès lors envisageables :

  • soit le guide ou la législation nationale apporte des éclaircissements par rapport au guide sur la cybersécurité des dispositifs médicaux de l'Union Européenne,

  • soit il n'y a que des redondances entre le guide ou la législation nationale et le guide de l'Union Européenne.

Intérêt du guide sur la cybersécurité pour les fabricants de dispositifs médicaux

La publication d'un guide sur la cybersécurité des dispositifs médicaux par l'Union Européenne met un terme à une situation qui pouvait être perçue comme cause de "concurrence déloyale".

En effet, dans les pays avec une législation nationale ou des recommandations particulières sur le sujet, les fabricants de dispositifs médicaux nationaux pouvaient se sentir victimes de contraintes auxquelles leurs concurrents d'autres pays de l'Union Européenne n'étaient pas soumis.

Mais, au delà de ces considérations, le contexte dans lequel ce guide a été publié présente des avantages pour les fabricants de dispositifs médicaux.

En effet, en plus du guide de l'Union Européenne sur la cybersécurité des dispositifs médicaux, les fabricants disposent des guides nationaux qui avaient été rédigés jusque là.

Ce sont autant de sources d'information qui facilitent la mise en œuvre des exigences de cybersécurité dans le cadre de leur(s) dispositif(s).

Pour en savoir plus

Les considérations de cybersécurité impactent le système d'exploitation des dispositifs médicaux.

Les systèmes d'exploitation au regard de la cybersécurité des dispositifs médicaux

Conséquences des recommandations de l'ANSM au sujet des systèmes d'exploitation dans le cadre de la cybersécurité des dispositifs médicaux intégrant du logiciel (DMIL)

L'ANSM travaille sur un guide au sujet de la cybersécurité des dispositfs médicaux.

Cybersécurité des logiciels (de) dispositifs médicaux en France

Teneur et implications des recommandations de l'ANSM pour la cybersécurité des dispositifs médicaux intégrant du logiciel au cours de leur cycle de vie

Maurice Navarro

Maurice Navarro

Consultant qualité & logiciel pour dispositifs médicaux

Depuis plus de 15 ans, j'accompagne la réalisation de projets logiciels et la mise en place de systèmes de gestion de la qualité pour assurer le marquage CE de dispositifs médicaux fiables, sûrs et commercialisables sans délais.

Le 24 / 01 / 2020

Accueil
A propos
Articles
Ressources
Services
Contact

MAURICE NAVARRO

Consultant qualité & logiciel pour
dispositifs médicaux

mnavarro@lebureau27.com

Mentions légales|Plan du site
Mentions légales
Plan du site