Upload
phungtuyen
View
215
Download
0
Embed Size (px)
Citation preview
INUOVIREGOLAMENTIEUROPEISUIDISPOSITIVIMEDICI
ScenariITnelmondodellaSanitàinrelazionealnuovoMDR
CinziaSpagno
OrdinedegliingegneridellaprovinciadiTriesteUniversitàdegliStudidiTrieste
1
REGOLAMENTOUEDISPOSITIVIMEDICI
• Regolamento(UE)2017/745delParlamentoeuropeoedelConsiglio,del5aprile2017,relativoaidispositivimedici,chemodificaladirettiva2001/83/CE,ilregolamento(CE)n.178/2002eilregolamento(CE)n.1223/2009echeabrogaledirettive90/385/CEEe93/42/CEEdelConsiglio
2
CONTESTOLEREGOLE
• UE- regolamentoDM(2020-24)• UE- regolamentoprivacy(maggio2018)• DLgs – 81/2008sicurezzasullavoro(giàinvigore)• AGID– misureminimesicurezzaPA(31dic 2017)
COMEAPPLICARLE• ISO– 31000 riskmanagement— principi• ISO– 80001-1risk management- retiITmedicali• CEI- 62-237-1gestionedelsoftwarenelcontestosanitario
• CIS- TheCISCriticalSecurityControlsforEffectiveCyberDefenseVersion6.1
STUDIAMO!!3
REGOLAMENTOUEDISPOSITIVIMEDICI
• Regolamento(UE)2017/745delParlamentoeuropeoedelConsiglio,del5aprile2017,relativoaidispositivimedici,chemodificaladirettiva2001/83/CE,ilregolamento(CE)n.178/2002eilregolamento(CE)n.1223/2009echeabrogaledirettive90/385/CEEe93/42/CEEdelConsiglio
4
REGOLAMENTOUEDISPOSITIVIMEDICIDALSITOTUV
• Espansionedelloscopo- …• Maggioreevidenzaclinica- …• Identificazionedella"personaqualificata"- Iproduttorididispositivisaranno
tenutiadindividuarealmenounapersonaall'internodellaloroorganizzazionechesaràresponsabiledituttigliaspettiriguardantilaconformitàairequisitidellanuovaMDR.L'organizzazionedovràinoltredocumentarelesuequalifichespecificherispettoaicompitirichiesti.
• Implementazionedell'IdentificazioneUnivocadeiDispositivi(UDI- Unique DeviceIdentification)- LanuovaMDRpropostaimponemeccanismiperl’identificazioneunicadeldispositivo(UDI).Siprevedechequestorequisitoaumentilacapacitàdelfabbricantenellatracciabilitàdeidispositivinellacatenadifornitura,echefacilitiiproduttorinelrichiamareinmodorapidoedefficienteidispositivimedicichepresentanorischiperlasicurezza.Inoltre,labancadatieuropeadeidispositivimedici(Eudamed)dovrebbeessereampliataperdaremaggioriinformazionisuidispositivimediciapprovati.
• Rigorosasupervisionepost-vendita- …• Caratteristichetecniche- LanuovaMDRprevedechelaCommissioneeuropeao
deigruppidiesperti(ancoradadefinire)pubblichinodelleSpecificheComuni(CommonSpecifications),chedovrannoesserepreseinconsiderazionedaiproduttorieorganisminotificati.QuesteSpecificheComunidevonoesistereinparalleloallenormearmonizzateealloStatodell'Arte. 5
REGOLAMENTOUEPRIVACY
• Regolamento(UE)2016/679delParlamentoeuropeoedelConsiglio,del27aprile2016,relativoallaprotezionedellepersonefisicheconriguardoaltrattamentodeidatipersonali,nonchéallaliberacircolazioneditalidatiecheabrogaladirettiva95/46/CE(regolamentogeneralesullaprotezionedeidati)
6
REGOLAMENTOUEPRIVACYDALSITOGARANTEPRIVACY(GUIDA)
• …• Titolare,responsabile,incaricatodeltrattamento• ladesignazionediunRPD-DPO• Registrodeitrattamenti• databreach• Approcciobasatosulrischiodeltrattamentoemisurediaccountability dititolarieresponsabili
• …
7
DLgs 81
• Testounicoinmateriadisicurezzasullavoro• Decretolegislativo,09/04/2008n° 81,G.U.30/04/2008
8
MISUREMINIMEDISICUREZZAAGID
• AGENZIAPERL'ITALIADIGITALE• CIRCOLARE 18aprile2017,n.2/2017• Sostituzionedellacircolaren.1/2017del17marzo2017,recante:«MisureminimedisicurezzaICTperlepubblicheamministrazioni.(DirettivadelPresidentedelConsigliodeiministri1° agosto2015)».(17A03060) (GUSerieGeneralen.103del05-05-2017)
9
MISUREMINIMEDISICUREZZAAGID
LadirettivadelPresidentedelConsigliodeiministri1° agosto2015,inconsiderazionedell'esigenzadiconsolidareunsistemadireazioneefficiente,cheraccordilecapacitàdirispostadellesingoleamministrazioni,conl'obiettivodiassicurarelaresilienzadell'infrastrutturainformaticanazionale,afrontedieventiqualiincidentioazioniostilichepossonocompromettereilfunzionamentodeisistemi edegliassettifisicicontrollatidaglistessi,vistoanchel'inasprirsidelquadrogeneraleconunpreoccupanteaumentodeglieventiciberneticiacaricodellapubblicaamministrazione,sollecitatutteleamministrazioniegliorganichiamatiadintervenirenell'ambitodegliassettinazionalidireazioneadeventiciberneticiadotarsi,secondounatempisticadefinitaecomunquenelpiùbrevetempopossibile,distandardminimidiprevenzioneereazioneadeventicibernetici.
10
MISUREMINIMEDISICUREZZAAGID
• Ilresponsabiledellastrutturaperl'organizzazione,l'innovazioneeletecnologiedicuiall'art.17delC.A.D.,ovvero,insuaassenza,ildirigentealloscopodesignato,halaresponsabilitàdellaattuazionedellemisureminimedicuiall'art.1.
11
MISUREMINIMEDISICUREZZAAGID• CSC1 INVENTARIODEIDISPOSITIVIAUTORIZZATIENONAUTORIZZATI
"Gestireattivamentetuttiidispositivihardwaresullarete(tracciandoli,inventariandoliemantenendoaggiornatol’inventario)inmodochel’accessosiadatosoloaidispositiviautorizzati,mentreidispositivinonautorizzatienongestitisianoindividuatiesialoroimpeditol’accesso"
• CSC2 INVENTARIODEISOFTWAREAUTORIZZATIENONAUTORIZZATIGestireattivamente(inventariare,tracciareecorreggere)tuttiisoftwaresullareteinmodochesiainstallatoed eseguitosolosoftwareautorizzato,mentreilsoftwarenonautorizzatoenongestitosiaindividuatoenevengaimpedital’installazioneol’esecuzione
• CSC3 PROTEGGERELECONFIGURAZIONIDIHARDWAREESOFTWARESUIDISPOSITIVIMOBILI,LAPTOP,WORKSTATIONESERVERIstituire,implementareegestireattivamente(tracciare,segnalare,correggere)laconfigurazionedisicurezzadilaptop,servereworkstationutilizzandounagestionedellaconfigurazioneeunaproceduradicontrollodellevariazionirigorose,alloscopodievitarechegliattacchiinformaticipossanosfruttarelevul-nerabilità diservizieconfigurazioni.
• CSC4 VALUTAZIONEECORREZIONECONTINUADELLAVULNERABILITÀAcquisire,valutareeintraprenderecontinuamenteazioniinrelazioneanuoveinformazionialloscopodiindividuarevulnerabilità,correggereeminimizzarelafinestradiopportunitàpergliattacchiinformatici.
• CSC5 USOAPPROPRIATODEIPRIVILEGIDIAMMINISTRATORERegole,processiestrumentiattiadassicurareilcorrettoutilizzodelleutenzeprivilegiateedeidirittiamministrativi.
• CSC8 DIFESECONTROIMALWAREControllarel’installazione,ladiffusioneel’esecuzionedicodicemalignoindiversipuntidell’azienda,ottimizzandoaltempostessol’utilizzodell’automazioneperconsentireilrapidoaggiornamentodelledifese,laraccoltadeidatieleazionicorrettive.
• CSC10 COPIEDISICUREZZAProcedureestrumentinecessariperprodurreemantenerecopiedisicurezzadelleinformazionicritiche,cosìdaconsentirneilripristinoincasodinecessità.
• CSC13 PROTEZIONEDEIDATIProcessiinterni,strumentiesisteminecessariperevitarel’esfiltrazione deidati,mitigarneglieffettiegarantirelariservatezzael’integritàdelleinformazionirilevanti
12
• Cosaciimponelanormativa?Safety-nessunodevesubiredannofisico:lavoratore,paziente,visitatore,passante…-nientedevesubiredannofisico:ambiente,beniaziendali,…Security-nessunodevesubiredannononfisico:lavoratore,paziente,visitatore,passante…(es.lesionedirittifondamentali)-nientedevesubiredannononfisico:azienda(es.perditaeconomica,dannod’immagine,segretoindustriale,…)
• Qualeilnuovoapproccio?Misureidoneeadeguateallostatodell’arteAccountabilityà Devofarelagestionedelrischio
13
• Comemantenereilrischioneilivelliaccettabili?Operandosecondolenorme/glistandard/lebestpracticeà secondolaregoladell’arte
• Bastoio?Politica…Mercato…
Lacatenadellasicurezzaimponechetuttiglianellidellacatenaportino
ilgiustocontributoallasicurezzacomplessiva14
ISO31000
• ISO31000:2009• Riskmanagement— Principlesandguidelines
• Analisi• Valutazione• Controllo• Monitoraggio
15
ISO31000
• LanormaISO31000indicacheilcosiddetto trattamentodelrischio sipuòcompiere:
• Evitandoirischi,decidendodinonavviareocontinuareattivitàchecomportanol’insorgeredelrischio;
• Accettandooaumentandoilrischioperraggiungerecerteopportunità;
• Eliminandolafontedirischio;• Modificandolaprobabilitàdirischio;• Modificandoleconseguenzedelrischio;• Condividendoilrischioconaltra/eparte/i(inclusochisi
occupadi rischiofinanziario);• Mantenendoilrischioaseguitodidecisioniinformate.
16
IEC80001-1
• IEC80001-1:2010• ApplicationofriskmanagementforIT-networksincorporatingmedicaldevices-- Part1:Roles,responsibilitiesandactivities
affrontal’aspettodicomeiDISPOSITIVI MEDICIpossanoesserecollegatialleRETI-IT
17
IEC80001-1• IncorporareunDMinunaRETE-ITvaprogettato• LaGESTIONEDELRISCHIOdovrebbeessereapplicataprima
dell’incorporazioneedurantel’interociclodivita• Ilfabbricante halaresponsabilitàdellaGESTIONEDELRISCHIOdel
DMdurantelaprogettazione,l’implementazioneelaproduzione• LaDOCUMENTAZIONE ANNESSA dovrebbefornireistruzionisucome
incorporareilDISPOSITIVO MEDICO nella RETE-ITesullecaratteristicheminimedellaRETE-ITnecessarieperrispettarelaDESTINAZIONE D’USOdelDISPOSITIVO MEDICO
• ACCORDI DI RESPONSABILITÀ possonodefinireruolieresponsabilitàtracolorochesonocoinvoltinell’incorporazionediunDISPOSITIVOMEDICO inunaRETE-IT
• L’ORGANIZZAZIONE RESPONSABILE deveindicarelepersoneincaricatepersvolgerespecificiruolidefinitinellapresenteNorma,laqualedefinisceleresponsabilitàassociateataliruoli.IlpiùimportantetraquestiruolièquellodiRESPONSABILE DEL RISCHIO DELLA RETE IT-MEDICALE(MEDICAL-IT NETWORK RISK MANAGER).
18
IEC80001-1• IlRISK MANAGER DELLA RETE-ITMEDICALE halaresponsabilitàdiassicurare
chelaGESTIONE DEL RISCHIO siainclusaneiPROCESSI:– dipianificazioneediprogettazionedellenuoveincorporazionidi
DISPOSITIVI MEDICI odimodificheataliincorporazioni;– dellamessainfunzionedellaRETE-ITMEDICALE edelsuosuccessivo
utilizzo;e– dellaGESTIONE DEL RILASCIO DELLE MODIFICHE edellagestionedei
cambiamentiapportatiallaRETE-ITduranteilsuointerociclodivita.
• LaGESTIONE DEL RISCHIO dovrebbeaffrontarelePROPRIETÀ CHIAVE (KEYPROPERTIES) appropriateadunaRETE-ITcheincorporaunDM:
• SICUREZZA (SAFETY) (assenzadiRISCHI inaccettabilidilesionefisicaodidanniallasalutedipersoneoallecoseoall’ambiente);
• EFFICACIa (capacitàdiprodurreilrisultatoprevistoperilpazienteeperl’ORGANIZZAZIONE RESPONSABILE);e
• SICUREZZA DEI DATI E DEL SISTEMA (SECURITY) (statooperativodiunaRETE IT-MEDICALE, incuilerisorseinformatiche,datiesistemi,sonoragionevolmenteprotettedaldegradodellalororiservatezza,integritàedisponibilità).
19
CEI62-237
• GuidaCEI62-2372015-02"GuidaallagestionedelsoftwareedelleretiITmedicalinelcontestosanitario.Parte1:gestionedelsoftware«
strumentoperleOrganizzazioniResponsabili(OR)perlacorrettaidentificazione,gestioneedutilizzodeisoftwareimpiegatiincontestosanitario
20
CEI62-237• SiapplicasiaalsoftwareDM(D1)chenonDmsiaconscoposanitario(D2-D3-D4)che
senzascoposanitario(C1-C2)
• Definizioni.• Contestosanitario:luogofisicoovirtualeincuisisvolgonoazioniconscopisanitaridiretti
oindiretti,ovverovengonogestitidatiadusoclinico.• Scoposanitario:azioneeseguitaperavereuneffettooilcontrollo/monitoraggiosullo
statodisalute(fisico,mentale,sociale)diunoopiùindividui.• Scopomedico:scoposanitarioconfinalitàdiagnostichee/oterapeutichesuunsolo
individuo.
• Identificazionedelsoftware.– Qualificazione:èDMononèDM– Classificazione(seèDMilfabbricanteassegnaunaclassedirischio).– Categorizzazionedeisw usatiincontestosanitario(siaDMchenon)sullabasedi5fattori,alloscopodi
individuareperciascunsw usatoincontestosanitariospecificipercorsidigestione:• Destinazioned'uso• Contestodidestinazione,
– ovveroscopo(generico,sanitario,medico)econtesto/ambienteprevistidalFabbricante(incasodiDMèfacile,altrimentisecondolaDirettivasullasicurezzageneraledeiprodotti2001/95/CEloscopomedicodeveessereesclusodalFabbricantedidispositivoconscopogenerico);
• Contestod'uso• Usoeffettivo
– ovveroscopoecontesto/ambienteeffettivichedecide/rileval'ORaprescinderedaquantodichiarailFabbricante;• Possibilieffettisusaluteesicurezzainbaseallaspecificacombinazionedeiquattrofattoriprecedenti.
21
CEI62-237• Categorie(inaumentodilivellodiattenzione):• Asw;• Bsw usatoincontestosanitario;• Csw chenonha/nonassumescopisanitari;• C1sw concontestodidestinazionesanitariochenonha/nonassumescopi
sanitari(prontuariofarmaceutico,atlantemedico);• C2sw genericochenonha/nonassumescopisanitari(wordprocessorsoloper
scriverereferti,fogliodicalcolopergestioneesenzioni);• Dsw cheha/assumescopisanitari;• D1sw DM(sw TC,sw elaborazione3D);• D2sw nonDMconcontestodidestinazionesanitarioescopisanitariindicati
(cartelladirepartoconmeroinserimentodati,sw perelaborazioniepidemiologiche);
• D3sw concontestodidestinazionesanitariosenzascopisanitariindicatimacheassumescopisanitari(sw perlagestionedelmagazzinoconsumabili,swgestionedatalogger sistemidirefrigerazione);
• D4sw genericocheassumescopisanitari(wordprocessorusatocomegestoredocumentalereferticondecisionicliniche,sw statisticogenericousatoperelaorazioni diagnostichesuunsignolo paziente).
22
• Processioperatividigestionedelsw.Sonodifferenziatiinbaseallaclassificazionedelsw maingeneraleprevedono4lineediazione.
• IstituzionedelFascicolodiprodotto/sistema:raccoltadidocumenticreataeaggiornatadall'ORdituttoquantoriguardailsw (doccollaudo,docFabbricante(dich conformitàdirettiveCE,manualid'usoelabeling,manualed'installazioneemanutenzione),analisidiusoeffettivoecontestod'usoeimpattosusaluteesicurezzaconeventualediniegoall'usooderogaconmisuremitigazionerischi,docdigestioneeanalisideirischi,docformazioneall'uso,rapportidiinterveno emanutenzioneperiodica(preventivaeverifichefunzionali),"sorveglianza"incidenti/malfunzionamenti,verbaledidismissione,Responsability Agreement80001).
• Verificheinfasedicollaudoomessainservizio:creareilFascicolo;eseguirequalificazione/classificazioneecategorizzazionedelsw aprescinderedaquantodichiaratodalFabbricanteedintraprendereazioniincasodidifformità;eseguireanalisiegestionedelrischioinrelazioneall'usoeffettivonelcontestod'usospecifico(secondoISO14971e31000).
• Manutenzioneerivalutazioneperiodicadeisoftware/sistemiutilizzatinelcontestosanitario:verificareperiodicamentequantoriscontratoinfasedicollaudoancheinconsiderazionedelciclodivitadelsoftwareedieventualimalfunzionamenti,aggiornandoladocumentazione.
• Dismissionediunprodottosoftware:sw nonDMusatocomeDM,sw nonconformiconleleggivigenti,sw periqualiillivellodirischiononèaccettabile(anchesullabasediincidentiomancatiincidenti);valutarel'impattodelladismissionebilanciandolarapiditàdisostituzioneconlenecessitàd'usodelsw legateallapraticaclinica.
23
• TheCenterforInternetSecurity• CriticalSecurityControlsforEffectiveCyberDefense
• Version6.1• August31,2016
24
• CSC1:InventoryofAuthorizedandUnauthorizedDevices• CSC2:InventoryofAuthorizedandUnauthorizedSoftware• CSC3:SecureConfigurationsforHardwareandSoftwareonMobileDevices,Laptops,Workstations,andServers• CSC4:ContinuousVulnerabilityAssessmentandRemediation• CSC5:ControlledUseofAdministrativePrivileges• CSC6:Maintenance,Monitoring,andAnalysisofAuditLogs• CSC7:EmailandWebBrowserProtections• CSC8:MalwareDefenses• CSC9:LimitationandControlofNetworkPorts,Protocols,andServices• CSC10:DataRecoveryCapability• CSC11:SecureConfigurationsforNetworkDevicessuchasFirewalls,Routers,andSwitches• CSC12:BoundaryDefense• CSC13:DataProtection• CSC14:ControlledAccessBasedontheNeedtoKnow• CSC15:WirelessAccessControl• CSC16:AccountMonitoringandControl• CSC17:SecuritySkillsAssessmentandAppropriateTrainingtoFillGaps• CSC18:ApplicationSoftwareSecurity• CSC19:Incident Response andManagement• CSC20:PenetrationTestsandRedTeamExercises
25
REGOLAMENTOUEDISPOSITIVIMEDICI
• Regolamento(UE)2017/745delParlamentoeuropeoedelConsiglio,del5aprile2017,relativoaidispositivimedici,chemodificaladirettiva2001/83/CE,ilregolamento(CE)n.178/2002eilregolamento(CE)n.1223/2009echeabrogaledirettive90/385/CEEe93/42/CEEdelConsiglio
26
Articolo2Definizioni
• Aifinidelpresenteregolamentosiapplicanoleseguentidefinizioni:
• 1)«dispositivomedico»:qualunquestrumento,apparecchio,apparecchiatura,software,impianto,reagente,materialeoaltroarticolo,destinatodalfabbricanteaessereimpiegatosull'uomo,dasolooincombinazione,perunaopiùdelleseguentidestinazionid'usomedichespecifiche:
• —• diagnosi,prevenzione,monitoraggio,previsione,prognosi,trattamentooattenuazionedimalattie,….
27
Articolo2Definizioni
• 4) «dispositivoattivo»:qualsiasidispositivoilcuifunzionamentodipendedaunafontedienergiadiversadaquellageneratadalcorpoumanopertalescopoodallagravitàecheagiscemodificandoladensitàditaleenergiaoconvertendola.Idispositividestinatiatrasmettere,senzamodifichedirilievo,l'energia,lesostanzeoaltrielementitraundispositivoattivoeilpazientenonsonoconsideratidispositiviattivi.
• Ancheilsoftwareèconsideratoundispositivoattivo;••
28
Articolo2Definizioni
• 25) «compatibilità»:lacapacitàdiundispositivo,compresoilsoftware,quandoutilizzatoinsiemeaunoopiùaltridispositivi,conformementeallasuadestinazioned'uso,di:
• conseguireleprestazionisenzaperderenécomprometterelacapacitàdifunzionarecomeprevisto;e/o
• essereintegratoe/ofunzionaresenzachesianecessariomodificareoadattarealcunapartedeidispositivicombinati;e/o
• essereutilizzatoinsiemeadaltridispositivisenzaconflitti/interferenzeoreazioniavverse;
29
Articolo2Definizioni
• 26) «interoperabilità»:lacapacitàdidueopiùdispositivi,compresoilsoftware,dellostessofabbricanteodifabbricantidiversidi:
• scambiareinformazionieutilizzareleinformazioniscambiateaifinidellacorrettaesecuzionediunafunzionespecificasenzamodificadelcontenutodeidati;e/o
• comunicaretradiloro;e/o• funzionarecongiuntamentecomeprevisto;
30
ALLEGATOIREQUISITIGENERALIDISICUREZZAEPRESTAZIONE
CAPOIREQUISITIGENERALI
• 1. Idispositivifornisconoleprestazioniprevistedallorofabbricanteesonoprogettatiefabbricatiinmodoche,innormalicondizionid'uso,sianoadattiallalorodestinazioned'uso.Essisonosicuriedefficacienoncompromettonolostatoclinicoolasicurezzadeipazienti,nélasicurezzaelasalutedegliutilizzatoriedeventualmentedialtrepersone,fermorestandocheglieventualirischiassociabilialloroutilizzosonoaccettabili,consideratiibeneficiapportatialpaziente,ecompatibiliconunelevatolivellodiprotezionedellasaluteedellasicurezza,tenendocontodellostatodell'artegeneralmentericonosciuto.
• 2. Ilrequisitoprevistonelpresenteallegatodiridurreirischiperquantopossibileindicalariduzionedeirischiperquantopossibilesenzacompromettereilrapportobenefici-rischi.
• 3. Ifabbricantistabiliscono,implementano,documentanoemantengonounsistemadigestionedelrischio.
31
ALLEGATOIREQUISITIGENERALIDISICUREZZAEPRESTAZIONE
CAPOIIREQUISITIRELATIVIALLAPROGETTAZIONE EALLAFABBRICAZIONE• 14.Fabbricazionedeidispositivieinterazioneconilloroambiente
• 14.2. Idispositivisonoprogettatiefabbricatiinmodotaledaeliminareoridurreperquantopossibile:
• irischiassociatiallapossibileinterazionenegativatrailsoftwareel'ambientetecnologico(«ambienteIT»)incuioperaeinteragisce;
32
ALLEGATOIREQUISITIGENERALIDISICUREZZAEPRESTAZIONE
CAPOIIREQUISITIRELATIVIALLAPROGETTAZIONEEALLAFABBRICAZIONE• 17.Sistemielettroniciprogrammabili— dispositivicontenentisistemielettroniciprogrammabiliesoftwarechecostituisconodispositiviaséstanti
• 17.1. Idispositivicontenentisistemielettroniciprogrammabili,compresiisoftware,oisoftwarechecostituisconodispositiviaséstanti,sonoprogettatiinmodotaledagarantirelariproducibilità,l'affidabilitàeleprestazioniinlineaconladestinazioned'usoperessiprevista.Incasodicondizionediprimoguastosonoprevistimezziadeguatipereliminareoridurre,perquantopossibile,irischichenederivanooilpeggioramentodelleprestazioni
33
ALLEGATOIREQUISITIGENERALIDISICUREZZAEPRESTAZIONE
CAPOIIREQUISITIRELATIVIALLAPROGETTAZIONE EALLAFABBRICAZIONE• 17.Sistemielettroniciprogrammabili—dispositivicontenentisistemielettroniciprogrammabiliesoftwarechecostituisconodispositiviaséstanti
• 17.2. Peridispositivicontenentiunsoftwareoperisoftwarechecostituisconodispositiviaséstanti,ilsoftwareèsviluppatoefabbricatoconformementeallostatodell'arte,tenendocontodeiprincipidelciclodivitadellosviluppo,dellagestionedelrischio,compresalasicurezzadelleinformazioni,dellaverificaedellaconvalida.
34
ALLEGATOIREQUISITIGENERALIDISICUREZZAEPRESTAZIONE
CAPOIIREQUISITIRELATIVIALLAPROGETTAZIONEEALLAFABBRICAZIONE• 17.Sistemielettroniciprogrammabili— dispositivicontenentisistemielettroniciprogrammabiliesoftwarechecostituisconodispositiviaséstanti
• 17.3. Isoftwaredicuialpresentepuntodestinatiaessereusatiincombinazioneconpiattaformedicalcolomobilisonoprogettatiefabbricatitenendocontodellepeculiaritàdellapiattaformamobile(adesempiodimensioniegradodicontrastodelloschermo)edifattoriesterniconnessiallorouso(variazioniambientalirelativeallivellodiluceodirumore).
35
ALLEGATOIREQUISITIGENERALIDISICUREZZAEPRESTAZIONE
CAPOIIREQUISITIRELATIVIALLAPROGETTAZIONE EALLAFABBRICAZIONE• 17.Sistemielettroniciprogrammabili—dispositivicontenentisistemielettroniciprogrammabiliesoftwarechecostituisconodispositiviaséstanti
• 17.4. Ifabbricantiindicanorequisitiminimiinmateriadihardware,caratteristichedelleretiinformaticheemisuredisicurezzainformatica,compresalaprotezionecontrol'accessononautorizzato,necessari perfarfunzionareilsoftwarecomeprevisto.
36
ALLEGATOIREQUISITIGENERALIDISICUREZZAEPRESTAZIONE
CAPOIIREQUISITIRELATIVIALLAPROGETTAZIONE EALLAFABBRICAZIONE
• 18.Dispositiviattiviedispositiviaessicollegati
• 18.8. Idispositivisonoprogettatiefabbricatiinmodotaledaproteggerli,perquantopossibile,daaccessinonautorizzatichepotrebberoimpedirelorodifunzionarecomeprevisto.
37
ALLEGATOIREQUISITIGENERALIDISICUREZZAEPRESTAZIONE
CAPOIIIREQUISITIRIGUARDANTILEINFORMAZIONIFORNITECONILDISP.• 23.Etichetteeistruzioniperl'uso• 23.4.Informazionicontenutenelleistruzioniperl'uso
• Ater)peridispositivichecontengonosistemielettroniciprogrammabili,compresounsoftware,operisoftwarechecostituisconodispositiviaséstanti,requisitiminimiinmateriadihardware,caratteristichedelleretiinformaticheemisuredisicurezzainformatica,compresalaprotezionecontrol'accessononautorizzato,necessariperfarfunzionareilsoftwarecomeprevisto.
38
ALLEGATOVIINFORMAZIONIDAPRESENTAREPREVIAREGISTRAZIONEDEIDISPOSITIVIEDEGLI
OPERATORIECONOMICI…;DATIDIBASEDAFORNIREALLABANCADATIUDIUNITAMENTEALL'IDENTIFICATIVODELDISPOSITIVOUDI-DI…;ESISTEMAUDI
• PARTEC• SISTEMAUDI6.5. Software6.5.1. Criteri di attribuzione dell'UDIL'UDI è attribuito al livello di sistema del software. Sonosoggetti a questo requisito solo i software disponibiliseparatamente in commercio e quelli che costituisconodispositivi a sé stanti.
39
ALLEGATOVIINFORMAZIONIDAPRESENTAREPREVIAREGISTRAZIONEDEIDISPOSITIVIEDEGLI
OPERATORIECONOMICI…;DATIDIBASEDAFORNIREALLABANCADATIUDIUNITAMENTEALL'IDENTIFICATIVODELDISPOSITIVOUDI-DI…;ESISTEMAUDI
• PARTEC• SISTEMAUDI6.5. Software6.5.2. È necessario un nuovo UDI-DI ogniqualvoltaintervenga una modifica che muti:a) le prestazioni originali,b) la sicurezza o l'uso previsto del software,c) l'interpretazione dei dati.Tali modifiche comprendono algoritmi nuovi o modificati,strutture di basi di dati, la piattaforma operativa,l'architettura o nuove interfacce utente o nuovi canali perl'interoperabilità. 40
ALLEGATOVIINFORMAZIONIDAPRESENTAREPREVIAREGISTRAZIONEDEIDISPOSITIVIEDEGLI
OPERATORIECONOMICI…;DATIDIBASEDAFORNIREALLABANCADATIUDIUNITAMENTEALL'IDENTIFICATIVODELDISPOSITIVOUDI-DI…;ESISTEMAUDI
• PARTEC• SISTEMAUDI6.5. Software6.5.3. le revisioni del software di modesta entitàrichiedono un nuovo UDI-PI e non un nuovo UDI-DI.Le revisioni del software di modesta entità sono in genereassociate a correzioni di bug, miglioramenti dell'usabilitàche non siano a fini di sicurezza, patch di sicurezza oall'efficienza operativa.Le revisioni del software di minore entità sono identificatemediante una modalità di identificazione specifica delfabbricante. 41
ALLEGATOVIIIREGOLEDICLASSIFICAZIONE
CAPOIDEFINIZIONISPECIFICHEALLEREGOLEDICLASSIFICAZIONE
• 2.5«Dispositivoattivodestinatoalladiagnosiealcontrollo»:qualsiasidispositivoattivoutilizzatodasolooincombinazioneconaltridispositivi,destinatoafornireinformazioniriguardantil'individuazione,ladiagnosi,ilcontrollooiltrattamentodistatifisiologici,statidisalute,malattieomalformazionicongenite.
42
ALLEGATOVIIIREGOLEDICLASSIFICAZIONE
CAPOIIREGOLEDIAPPLICAZIONE
• 3.3Ilsoftwaredestinatoafarfunzionareundispositivooainfluenzarnel'usorientranellastessaclassedeldispositivo.
• Seilsoftwarenonèconnessoconnessunaltrodispositivo,èclassificatoseparatamente.
43
ALLEGATOVIIIREGOLEDICLASSIFICAZIONE
CAPOIIIREGOLEDICLASSIFICAZIONE
• 6.DISPOSITIVIATTIVI• 6.3. Regola11• Ilsoftwaredestinatoafornireinformazioniutilizzateperprendere
decisioniafinidiagnosticioterapeuticirientranellaclasse IIa,amenochetalidecisioniabbianoeffettitalidapotercausare:
• ildecessooundeterioramentoirreversibiledellecondizionidisalutediunapersona,nelqualcasorientranellaclasse III,o
• ungravedeterioramentodellecondizionidisalutediunapersonaouninterventochirurgico,nelqualcasorientranellaclasse IIb.
• Ilsoftwaredestinatoamonitorareiprocessifisiologicirientranellaclasse IIa,amenochesiadestinatoamonitorareiparametrifisiologicivitali,ovelanaturadellevariazionididettiparametrisiataledapotercreareunpericoloimmediatoperilpaziente,nelqualcasorientranellaclasse IIb.
• Tuttiglialtrisoftwarerientranonellaclasse I.44
ALLEGATOVIIIREGOLEDICLASSIFICAZIONE
CAPOIIIREGOLEDICLASSIFICAZIONE
• 7. REGOLESPECIALI• 7.4. Regola17• IdispositividestinatispecificamentearegistrareleimmaginidiagnosticheottenutemedianteradiazionearaggiXrientranonellaclasse IIa.
45
HIMSS/NEMAStandardHN1-2013ManufacturerDisclosureStatementforMedicalDeviceSecurity
Èindispensabilelacollaborazionetraproduttoreeutilizzatore
46