Un guide sur la cybersécurité des dispositifs médicaux dans l'Union Européenne
En décembre 2019, la Commission Européenne a publié un guide sur la cybersécurité des dispositifs médicaux.
Ce guide est diffusé dans un contexte où (i) la cybersécurité des dispositifs médicaux est une préocupation internationale et (ii) plusieurs états de l'Union Européenne avaient déjà publié des guides ou établi des législations sur le sujet (Voir Cybersécurité des logiciels (de) dispositifs médicaux en France).
Quelles sont les conséquences de cette situation pour les fabricants de dispositifs médicaux ?
C'est le sujet traité dans cet article.
Contexte d'élaboration du guide de l'Union Européenne "Guidance on cybersecurity for medical devices"
Face à l'intensification des cyberattaques contre les centres de santé, la cybersécurité des dispositifs médicaux a fait l'objet de guides et de législations de mise en œuvre dans plusieurs états.
NdA : Liste non exhaustive.
Le sujet reste d'actualité et en constante évolution. Ainsi, une nouvelle version du guide "Content of Premarket Submissions for Management of Cybersecurity in Medical Devices" est en préparation par la FDA.
Si on considère l'Union Européenne, la cybersécurité des dispositifs médicaux est aussi une préoccupation des états membres depuis plusieurs années.
Ainsi, différents états de l'Union Européenne se sont penché sur le sujet avant la diffusion du guide sur la cybersécurité du MDCG (Medical Device Coordination Group) par la Commission Européenne.
| Etat | Guide(s) |
| Allemagne | Cyber Security Requirements for Network-Connected Medical Devices |
| France | Cybersécurité des dispositifs médicaux intégrant du logiciel au cours de leur cycle de vie (projet) |
NdA : Cette liste n'est pas exhaustive. De fait, le Royaume Uni a aussi travaillé sur la cybersécurité des dispositifs médicaux avant le Brexit.
C'est dans ce contexte, où la cybersécurité est une préocupation internationale et où, dans l'Union Européenne, des états membres établissent des recommandations et/ou des législations à l'attention des fabricants de dispositifs médicaux, que la Commission Européenne a publié un guide sur la cybersécurité des dispositifs médicaux.
Que faire quand il existe déjà un guide ou une législation nationale sur la cybersécurité des dispositifs médicaux ?
Etant donné le contexte, la parution d'un guide sur la cybersécurité des dispositifs médicaux dans l'Union Européenne peut amener une question : quelles consignes respecter quand un guide et/ou une législation nationale a/ont précédé le guide de l'Union Européenne ?
En ce qui concerne les guides nationaux sur la cybersécurité des dispositifs médicaux, deux points sont à prendre en compte :
ces guides sont basés sur la réglementation européenne qui traite des dispositifs médicaux et
ils ont été rédigés sous le regard de l'autorité nationale compétente pour l'interprétation de la réglementation sur les dispositifs médicaux (en France il s'agit de l'ANSM).
Ainsi, les guides nationaux existants dans l'Union Européenne sur la cybersécurité des dispositifs médicaux sont en accord avec les exigences de la réglementation européenne sur les dispositifs médicaux.
Quant aux législations nationales sur la cybersécurité des dispositifs médicaux, le raisonnement est similaire :
les législations des états membres de l'Union Européenne ne peuvent pas être en désaccord avec la réglementation européenne et
si le cas de figure se produit, la législation nationale devient automatiquement non applicable.
Pour lever toute ambiguïté sur le sujet, ces considérations ont été prises en compte pour rédiger le guide publié par la Commission Européenne.
Ainsi, le guide de l'Union Européenne sur la cybersécurité des dispositifs médicaux indique que
In Europe, guidance documents were developed by France, Germany, Switzerland and the UK, moreover other national legislation could apply (e.g. ASIP certification in France, NEN 7510 in the Netherlands). The principles therein contained are incorporated into this guidance document.
Source : "Guidance on cybersecurity for medical devices" - MDCG - Décembre 2019
Par conséquent, dans les états membres de l'Union Européenne, les guides nationaux et les législations nationales sur la cybersécurité des dispositifs médicaux apparaissent comme des compléments du guide distribué par la Commission Européenne.
Deux cas de figure sont dès lors envisageables :
soit le guide ou la législation nationale apporte des éclaircissements par rapport au guide sur la cybersécurité des dispositifs médicaux de l'Union Européenne,
soit il n'y a que des redondances entre le guide ou la législation nationale et le guide de l'Union Européenne.
Intérêt du guide sur la cybersécurité pour les fabricants de dispositifs médicaux
La publication d'un guide sur la cybersécurité des dispositifs médicaux par l'Union Européenne met un terme à une situation qui pouvait être perçue comme cause de "concurrence déloyale".
En effet, dans les pays avec une législation nationale ou des recommandations particulières sur le sujet, les fabricants de dispositifs médicaux nationaux pouvaient se sentir victimes de contraintes auxquelles leurs concurrents d'autres pays de l'Union Européenne n'étaient pas soumis.
Mais, au delà de ces considérations, le contexte dans lequel ce guide a été publié présente des avantages pour les fabricants de dispositifs médicaux.
En effet, en plus du guide de l'Union Européenne sur la cybersécurité des dispositifs médicaux, les fabricants disposent des guides nationaux qui avaient été rédigés jusque là.
Ce sont autant de sources d'information qui facilitent la mise en œuvre des exigences de cybersécurité dans le cadre de leur(s) dispositif(s).
Pour en savoir plus
Les considérations de cybersécurité impactent le système d'exploitation des dispositifs médicaux.
L'ANSM travaille sur un guide au sujet de la cybersécurité des dispositfs médicaux.
Sites connexes
Autres articles
Intérêt des normes harmonisées dans le cadre des logiciels dispositifs médicaux
EBIOS Risk Manager pour la cybersécurité des dispositifs médicaux
Prestations de conception et développement de logiciel (de) dispositif médical
Impact des logiciels SOUP sur les dispositifs médicaux (DM ou DMDIV)
Certification Qualité Hôpital Numérique (QHN) pour logiciel de santé
Langue du dossier technique d'un logiciel dispositif médical
Surveillance après commercialisation d'un logiciel dispositif médical (DM ou DMDIV)
Dispositions transitoires du Règlement (UE) 2017/745 pour les logiciels dispositifs médicaux
Conformité réglementaire de logiciel (de) dispositif médical
Qu'est-ce qu'un système de management de la qualité (SMQ) EN ISO 13485 ?
L'intelligence artificielle dans les logiciels (de) dispositifs médicaux
Attestation de conformité de logiciel dispositif médical (DM ou DMDIV)
Langue d'interface graphique de logiciel (de) dispositif médical
Utilité de la spécification d'utilisation d'un logiciel dispositif médical
Validation des logiciels pour les systèmes qualité des dispositifs médicaux
Norme CEI EN 82304-1 pour logiciel dispositif médical (DM ou DMDIV)
Dispositifs médicaux avec fonction de mesurage : identification et réglementation
Un guide sur la cybersécurité des dispositifs médicaux dans l'Union Européenne
Classification des logiciels (de) dispositifs médicaux (A, B, C…)
Les systèmes d'exploitation au regard de la cybersécurité des dispositifs médicaux
Cybersécurité des logiciels (de) dispositifs médicaux en France
Particularités de la gestion de risques de logiciel (de) dispositif médical
Détermination de besoins logiciels pour dispositifs médicaux : cas d'étude
Comment réduire le coût d'un logiciel (de) dispositif médical ?
Norme CEI 62366-1 et conception d'interfaces graphiques de logiciels (de) dispositifs médicaux
Norme EN 62304 et interface utilisateur des logiciels (de) dispositifs médicaux
Réglementation applicable aux logiciels (de) dispositifs médicaux