[2020-01-06] Parmi les nouvelles exigences introduites par les nouveaux règlements RDM et RDMIV, la maitrise des risques liés aux nouvelles technologies paraissait une évidence au vu de la recrudescence des dispositifs médicaux connectés, des échanges de données patients et les nombreuses interactions avec des « serveurs informatiques déportés » (« cloud »).
Pour aider les fabricants à s’y retrouver dans ces nouvelles exigences, le « Medical Device Coordination Group » (MDCG) a publié le 6 janvier 2020 un guide sur la cybersécurité qui était attendu depuis longtemps, car ce sujet revient régulièrement sur le tapis (de souris) :
« MDCG 2019-16 Guidance on Cybersecurity for medical devices »
Bien que les textes des règlements RDM et RDMIV ne fassent pas directement mention du terme cybersécurité, le MDCG a identifié et explicité les 17 sections de l’annexe I des deux règlements (annexe relative aux exigences générales en matière de sécurité et de performances) dans lesquelles figurent des exigences se rattachant à la cybersécurité.
Au-delà de cette annexe fournissant des exigences plus ou moins explicites comme la maitrise de l’environnement informatique ou l’interopérabilité des dispositifs, le nouveau règlement insiste sur la notion d’état de l’art, renvoyant implicitement vers les autres législations européennes sur le sujet. Ainsi, le RGPD (Règlement Général sur la Protection des Données à caractère personnel), tout comme le règlement européen sur la cybersécurité (« Cybersecurity Act ») du 17 avril 2019 et la directive « Network and Information System Security (NIS) » adoptée le 6 juillet 2016 sont vues comme autant de sources venant renforcer la maîtrise des risques liés à la cybersécurité. Le MDCG offre dans ce guide un travail de correspondance assez appréciable avec ces documents législatifs qui permet de bien couvrir l’ensemble des exigences réglementaires.
La cybersécurité ne se limite donc pas à la maitrise des risques liés aux défaillances du dispositif causées par des intrusions de logiciels malveillants (« malwares ») ou des attaques par « déni de service ». Il faudra prendre en compte tous les aspects liés aux accès non autorisés à des données patient, et même réfléchir aux risques de piratage de dossiers documentations techniques pouvant mettre en péril la traçabilité des dispositifs ou leur conformité.
L’Annexe II du guide fournit d’ailleurs un certain nombre d’exemples de risques liés à la cybersécurité. A noter que tout risque de cybersécurité pouvant conduire à un risque utilisateur ou patient devra bien évidemment repasser par un processus de gestion des risques selon la norme EN ISO 14971.
De quoi alimenter encore et toujours la colonne vertébrale de votre documentation technique : le dossier de gestion des risques !
Article rédigé par Karim Chelly (Kobalt Software), membre du réseau DM Experts