Con la nuova guida in materia di cybersecurity dei dispositivi medici, la Food and Drug Administration (FDA) rafforza l’approccio “security by design” quale requisito essenziale lungo l’intero ciclo di vita del dispositivo. Il documento fornisce indicazioni operative ai produttori sulle misure tecniche e organizzative necessarie per garantire la resilienza informatica dei dispositivi connessi, con particolare attenzione alla gestione delle vulnerabilità, agli aggiornamenti di sicurezza e al monitoraggio continuo dei rischi post-commercializzazione.
La guida si inserisce nel quadro normativo introdotto dal Food and Drug Omnibus Reform Act (FDORA) e chiarisce le aspettative dell’Autorità in relazione alla documentazione cybersecurity da presentare nell’ambito delle procedure di autorizzazione e immissione in commercio. Tra gli elementi centrali figurano l’adozione di processi strutturati di risk management, la predisposizione di Software Bill of Materials (SBOM), la capacità di distribuire patch e aggiornamenti in modo tempestivo e la definizione di procedure coordinate di vulnerability disclosure.
Particolare rilievo viene attribuito ai rischi che incidenti cyber possono determinare sulla sicurezza del paziente, sulla continuità delle prestazioni sanitarie e sulla protezione dei dati trattati dai dispositivi medici. In tale prospettiva, la FDA conferma un approccio sempre più integrato tra sicurezza informatica, safety del dispositivo e compliance regolatoria, richiedendo ai produttori di dimostrare non solo la conformità tecnica del prodotto, ma anche la capacità organizzativa di gestire minacce cyber in evoluzione.