INUOVIREGOLAMENTIEUROPEISUIDISPOSITIVIMEDICI

ScenariITnelmondodellaSanitàinrelazionealnuovoMDR

CinziaSpagno

OrdinedegliingegneridellaprovinciadiTriesteUniversitàdegliStudidiTrieste

1

REGOLAMENTOUEDISPOSITIVIMEDICI

• Regolamento(UE)2017/745delParlamentoeuropeoedelConsiglio,del5aprile2017,relativoaidispositivimedici,chemodificaladirettiva2001/83/CE,ilregolamento(CE)n.178/2002eilregolamento(CE)n.1223/2009echeabrogaledirettive90/385/CEEe93/42/CEEdelConsiglio

2

CONTESTOLEREGOLE

• UE- regolamentoDM(2020-24)• UE- regolamentoprivacy(maggio2018)• DLgs – 81/2008sicurezzasullavoro(giàinvigore)• AGID– misureminimesicurezzaPA(31dic 2017)

COMEAPPLICARLE• ISO– 31000 riskmanagement— principi• ISO– 80001-1risk management- retiITmedicali• CEI- 62-237-1gestionedelsoftwarenelcontestosanitario

• CIS- TheCISCriticalSecurityControlsforEffectiveCyberDefenseVersion6.1

STUDIAMO!!3

REGOLAMENTOUEDISPOSITIVIMEDICI

• Regolamento(UE)2017/745delParlamentoeuropeoedelConsiglio,del5aprile2017,relativoaidispositivimedici,chemodificaladirettiva2001/83/CE,ilregolamento(CE)n.178/2002eilregolamento(CE)n.1223/2009echeabrogaledirettive90/385/CEEe93/42/CEEdelConsiglio

4

REGOLAMENTOUEDISPOSITIVIMEDICIDALSITOTUV

• Espansionedelloscopo- …• Maggioreevidenzaclinica- …• Identificazionedella"personaqualificata"- Iproduttorididispositivisaranno

tenutiadindividuarealmenounapersonaall'internodellaloroorganizzazionechesaràresponsabiledituttigliaspettiriguardantilaconformitàairequisitidellanuovaMDR.L'organizzazionedovràinoltredocumentarelesuequalifichespecificherispettoaicompitirichiesti.

• Implementazionedell'IdentificazioneUnivocadeiDispositivi(UDI- Unique DeviceIdentification)- LanuovaMDRpropostaimponemeccanismiperl’identificazioneunicadeldispositivo(UDI).Siprevedechequestorequisitoaumentilacapacitàdelfabbricantenellatracciabilitàdeidispositivinellacatenadifornitura,echefacilitiiproduttorinelrichiamareinmodorapidoedefficienteidispositivimedicichepresentanorischiperlasicurezza.Inoltre,labancadatieuropeadeidispositivimedici(Eudamed)dovrebbeessereampliataperdaremaggioriinformazionisuidispositivimediciapprovati.

• Rigorosasupervisionepost-vendita- …• Caratteristichetecniche- LanuovaMDRprevedechelaCommissioneeuropeao

deigruppidiesperti(ancoradadefinire)pubblichinodelleSpecificheComuni(CommonSpecifications),chedovrannoesserepreseinconsiderazionedaiproduttorieorganisminotificati.QuesteSpecificheComunidevonoesistereinparalleloallenormearmonizzateealloStatodell'Arte. 5

REGOLAMENTOUEPRIVACY

• Regolamento(UE)2016/679delParlamentoeuropeoedelConsiglio,del27aprile2016,relativoallaprotezionedellepersonefisicheconriguardoaltrattamentodeidatipersonali,nonchéallaliberacircolazioneditalidatiecheabrogaladirettiva95/46/CE(regolamentogeneralesullaprotezionedeidati)

6

REGOLAMENTOUEPRIVACYDALSITOGARANTEPRIVACY(GUIDA)

• …• Titolare,responsabile,incaricatodeltrattamento• ladesignazionediunRPD-DPO• Registrodeitrattamenti• databreach• Approcciobasatosulrischiodeltrattamentoemisurediaccountability dititolarieresponsabili

• …

7

DLgs 81

• Testounicoinmateriadisicurezzasullavoro• Decretolegislativo,09/04/2008n° 81,G.U.30/04/2008

8

MISUREMINIMEDISICUREZZAAGID

• AGENZIAPERL'ITALIADIGITALE• CIRCOLARE 18aprile2017,n.2/2017• Sostituzionedellacircolaren.1/2017del17marzo2017,recante:«MisureminimedisicurezzaICTperlepubblicheamministrazioni.(DirettivadelPresidentedelConsigliodeiministri1° agosto2015)».(17A03060) (GUSerieGeneralen.103del05-05-2017)

9

MISUREMINIMEDISICUREZZAAGID

LadirettivadelPresidentedelConsigliodeiministri1° agosto2015,inconsiderazionedell'esigenzadiconsolidareunsistemadireazioneefficiente,cheraccordilecapacitàdirispostadellesingoleamministrazioni,conl'obiettivodiassicurarelaresilienzadell'infrastrutturainformaticanazionale,afrontedieventiqualiincidentioazioniostilichepossonocompromettereilfunzionamentodeisistemi edegliassettifisicicontrollatidaglistessi,vistoanchel'inasprirsidelquadrogeneraleconunpreoccupanteaumentodeglieventiciberneticiacaricodellapubblicaamministrazione,sollecitatutteleamministrazioniegliorganichiamatiadintervenirenell'ambitodegliassettinazionalidireazioneadeventiciberneticiadotarsi,secondounatempisticadefinitaecomunquenelpiùbrevetempopossibile,distandardminimidiprevenzioneereazioneadeventicibernetici.

10

MISUREMINIMEDISICUREZZAAGID

• Ilresponsabiledellastrutturaperl'organizzazione,l'innovazioneeletecnologiedicuiall'art.17delC.A.D.,ovvero,insuaassenza,ildirigentealloscopodesignato,halaresponsabilitàdellaattuazionedellemisureminimedicuiall'art.1.

11

MISUREMINIMEDISICUREZZAAGID• CSC1 INVENTARIODEIDISPOSITIVIAUTORIZZATIENONAUTORIZZATI

"Gestireattivamentetuttiidispositivihardwaresullarete(tracciandoli,inventariandoliemantenendoaggiornatol’inventario)inmodochel’accessosiadatosoloaidispositiviautorizzati,mentreidispositivinonautorizzatienongestitisianoindividuatiesialoroimpeditol’accesso"

• CSC2 INVENTARIODEISOFTWAREAUTORIZZATIENONAUTORIZZATIGestireattivamente(inventariare,tracciareecorreggere)tuttiisoftwaresullareteinmodochesiainstallatoed eseguitosolosoftwareautorizzato,mentreilsoftwarenonautorizzatoenongestitosiaindividuatoenevengaimpedital’installazioneol’esecuzione

• CSC3 PROTEGGERELECONFIGURAZIONIDIHARDWAREESOFTWARESUIDISPOSITIVIMOBILI,LAPTOP,WORKSTATIONESERVERIstituire,implementareegestireattivamente(tracciare,segnalare,correggere)laconfigurazionedisicurezzadilaptop,servereworkstationutilizzandounagestionedellaconfigurazioneeunaproceduradicontrollodellevariazionirigorose,alloscopodievitarechegliattacchiinformaticipossanosfruttarelevul-nerabilità diservizieconfigurazioni.

• CSC4 VALUTAZIONEECORREZIONECONTINUADELLAVULNERABILITÀAcquisire,valutareeintraprenderecontinuamenteazioniinrelazioneanuoveinformazionialloscopodiindividuarevulnerabilità,correggereeminimizzarelafinestradiopportunitàpergliattacchiinformatici.

• CSC5 USOAPPROPRIATODEIPRIVILEGIDIAMMINISTRATORERegole,processiestrumentiattiadassicurareilcorrettoutilizzodelleutenzeprivilegiateedeidirittiamministrativi.

• CSC8 DIFESECONTROIMALWAREControllarel’installazione,ladiffusioneel’esecuzionedicodicemalignoindiversipuntidell’azienda,ottimizzandoaltempostessol’utilizzodell’automazioneperconsentireilrapidoaggiornamentodelledifese,laraccoltadeidatieleazionicorrettive.

• CSC10 COPIEDISICUREZZAProcedureestrumentinecessariperprodurreemantenerecopiedisicurezzadelleinformazionicritiche,cosìdaconsentirneilripristinoincasodinecessità.

• CSC13 PROTEZIONEDEIDATIProcessiinterni,strumentiesisteminecessariperevitarel’esfiltrazione deidati,mitigarneglieffettiegarantirelariservatezzael’integritàdelleinformazionirilevanti

12

• Cosaciimponelanormativa?Safety-nessunodevesubiredannofisico:lavoratore,paziente,visitatore,passante…-nientedevesubiredannofisico:ambiente,beniaziendali,…Security-nessunodevesubiredannononfisico:lavoratore,paziente,visitatore,passante…(es.lesionedirittifondamentali)-nientedevesubiredannononfisico:azienda(es.perditaeconomica,dannod’immagine,segretoindustriale,…)

• Qualeilnuovoapproccio?Misureidoneeadeguateallostatodell’arteAccountabilityà Devofarelagestionedelrischio

13

• Comemantenereilrischioneilivelliaccettabili?Operandosecondolenorme/glistandard/lebestpracticeà secondolaregoladell’arte

• Bastoio?Politica…Mercato…

Lacatenadellasicurezzaimponechetuttiglianellidellacatenaportino

ilgiustocontributoallasicurezzacomplessiva14

ISO31000

• ISO31000:2009• Riskmanagement— Principlesandguidelines

• Analisi• Valutazione• Controllo• Monitoraggio

15

ISO31000

• LanormaISO31000indicacheilcosiddetto trattamentodelrischio sipuòcompiere:

• Evitandoirischi,decidendodinonavviareocontinuareattivitàchecomportanol’insorgeredelrischio;

• Accettandooaumentandoilrischioperraggiungerecerteopportunità;

• Eliminandolafontedirischio;• Modificandolaprobabilitàdirischio;• Modificandoleconseguenzedelrischio;• Condividendoilrischioconaltra/eparte/i(inclusochisi

occupadi rischiofinanziario);• Mantenendoilrischioaseguitodidecisioniinformate.

16

IEC80001-1

• IEC80001-1:2010• ApplicationofriskmanagementforIT-networksincorporatingmedicaldevices-- Part1:Roles,responsibilitiesandactivities

affrontal’aspettodicomeiDISPOSITIVI MEDICIpossanoesserecollegatialleRETI-IT

17

IEC80001-1• IncorporareunDMinunaRETE-ITvaprogettato• LaGESTIONEDELRISCHIOdovrebbeessereapplicataprima

dell’incorporazioneedurantel’interociclodivita• Ilfabbricante halaresponsabilitàdellaGESTIONEDELRISCHIOdel

DMdurantelaprogettazione,l’implementazioneelaproduzione• LaDOCUMENTAZIONE ANNESSA dovrebbefornireistruzionisucome

incorporareilDISPOSITIVO MEDICO nella RETE-ITesullecaratteristicheminimedellaRETE-ITnecessarieperrispettarelaDESTINAZIONE D’USOdelDISPOSITIVO MEDICO

• ACCORDI DI RESPONSABILITÀ possonodefinireruolieresponsabilitàtracolorochesonocoinvoltinell’incorporazionediunDISPOSITIVOMEDICO inunaRETE-IT

• L’ORGANIZZAZIONE RESPONSABILE deveindicarelepersoneincaricatepersvolgerespecificiruolidefinitinellapresenteNorma,laqualedefinisceleresponsabilitàassociateataliruoli.IlpiùimportantetraquestiruolièquellodiRESPONSABILE DEL RISCHIO DELLA RETE IT-MEDICALE(MEDICAL-IT NETWORK RISK MANAGER).

18

IEC80001-1• IlRISK MANAGER DELLA RETE-ITMEDICALE halaresponsabilitàdiassicurare

chelaGESTIONE DEL RISCHIO siainclusaneiPROCESSI:– dipianificazioneediprogettazionedellenuoveincorporazionidi

DISPOSITIVI MEDICI odimodificheataliincorporazioni;– dellamessainfunzionedellaRETE-ITMEDICALE edelsuosuccessivo

utilizzo;e– dellaGESTIONE DEL RILASCIO DELLE MODIFICHE edellagestionedei

cambiamentiapportatiallaRETE-ITduranteilsuointerociclodivita.

• LaGESTIONE DEL RISCHIO dovrebbeaffrontarelePROPRIETÀ CHIAVE (KEYPROPERTIES) appropriateadunaRETE-ITcheincorporaunDM:

• SICUREZZA (SAFETY) (assenzadiRISCHI inaccettabilidilesionefisicaodidanniallasalutedipersoneoallecoseoall’ambiente);

• EFFICACIa (capacitàdiprodurreilrisultatoprevistoperilpazienteeperl’ORGANIZZAZIONE RESPONSABILE);e

• SICUREZZA DEI DATI E DEL SISTEMA (SECURITY) (statooperativodiunaRETE IT-MEDICALE, incuilerisorseinformatiche,datiesistemi,sonoragionevolmenteprotettedaldegradodellalororiservatezza,integritàedisponibilità).

19

CEI62-237

• GuidaCEI62-2372015-02"GuidaallagestionedelsoftwareedelleretiITmedicalinelcontestosanitario.Parte1:gestionedelsoftware«

strumentoperleOrganizzazioniResponsabili(OR)perlacorrettaidentificazione,gestioneedutilizzodeisoftwareimpiegatiincontestosanitario

20

CEI62-237• SiapplicasiaalsoftwareDM(D1)chenonDmsiaconscoposanitario(D2-D3-D4)che

senzascoposanitario(C1-C2)

• Definizioni.• Contestosanitario:luogofisicoovirtualeincuisisvolgonoazioniconscopisanitaridiretti

oindiretti,ovverovengonogestitidatiadusoclinico.• Scoposanitario:azioneeseguitaperavereuneffettooilcontrollo/monitoraggiosullo

statodisalute(fisico,mentale,sociale)diunoopiùindividui.• Scopomedico:scoposanitarioconfinalitàdiagnostichee/oterapeutichesuunsolo

individuo.

• Identificazionedelsoftware.– Qualificazione:èDMononèDM– Classificazione(seèDMilfabbricanteassegnaunaclassedirischio).– Categorizzazionedeisw usatiincontestosanitario(siaDMchenon)sullabasedi5fattori,alloscopodi

individuareperciascunsw usatoincontestosanitariospecificipercorsidigestione:• Destinazioned'uso• Contestodidestinazione,

– ovveroscopo(generico,sanitario,medico)econtesto/ambienteprevistidalFabbricante(incasodiDMèfacile,altrimentisecondolaDirettivasullasicurezzageneraledeiprodotti2001/95/CEloscopomedicodeveessereesclusodalFabbricantedidispositivoconscopogenerico);

• Contestod'uso• Usoeffettivo

– ovveroscopoecontesto/ambienteeffettivichedecide/rileval'ORaprescinderedaquantodichiarailFabbricante;• Possibilieffettisusaluteesicurezzainbaseallaspecificacombinazionedeiquattrofattoriprecedenti.

21

CEI62-237• Categorie(inaumentodilivellodiattenzione):• Asw;• Bsw usatoincontestosanitario;• Csw chenonha/nonassumescopisanitari;• C1sw concontestodidestinazionesanitariochenonha/nonassumescopi

sanitari(prontuariofarmaceutico,atlantemedico);• C2sw genericochenonha/nonassumescopisanitari(wordprocessorsoloper

scriverereferti,fogliodicalcolopergestioneesenzioni);• Dsw cheha/assumescopisanitari;• D1sw DM(sw TC,sw elaborazione3D);• D2sw nonDMconcontestodidestinazionesanitarioescopisanitariindicati

(cartelladirepartoconmeroinserimentodati,sw perelaborazioniepidemiologiche);

• D3sw concontestodidestinazionesanitariosenzascopisanitariindicatimacheassumescopisanitari(sw perlagestionedelmagazzinoconsumabili,swgestionedatalogger sistemidirefrigerazione);

• D4sw genericocheassumescopisanitari(wordprocessorusatocomegestoredocumentalereferticondecisionicliniche,sw statisticogenericousatoperelaorazioni diagnostichesuunsignolo paziente).

22

• Processioperatividigestionedelsw.Sonodifferenziatiinbaseallaclassificazionedelsw maingeneraleprevedono4lineediazione.

• IstituzionedelFascicolodiprodotto/sistema:raccoltadidocumenticreataeaggiornatadall'ORdituttoquantoriguardailsw (doccollaudo,docFabbricante(dich conformitàdirettiveCE,manualid'usoelabeling,manualed'installazioneemanutenzione),analisidiusoeffettivoecontestod'usoeimpattosusaluteesicurezzaconeventualediniegoall'usooderogaconmisuremitigazionerischi,docdigestioneeanalisideirischi,docformazioneall'uso,rapportidiinterveno emanutenzioneperiodica(preventivaeverifichefunzionali),"sorveglianza"incidenti/malfunzionamenti,verbaledidismissione,Responsability Agreement80001).

• Verificheinfasedicollaudoomessainservizio:creareilFascicolo;eseguirequalificazione/classificazioneecategorizzazionedelsw aprescinderedaquantodichiaratodalFabbricanteedintraprendereazioniincasodidifformità;eseguireanalisiegestionedelrischioinrelazioneall'usoeffettivonelcontestod'usospecifico(secondoISO14971e31000).

• Manutenzioneerivalutazioneperiodicadeisoftware/sistemiutilizzatinelcontestosanitario:verificareperiodicamentequantoriscontratoinfasedicollaudoancheinconsiderazionedelciclodivitadelsoftwareedieventualimalfunzionamenti,aggiornandoladocumentazione.

• Dismissionediunprodottosoftware:sw nonDMusatocomeDM,sw nonconformiconleleggivigenti,sw periqualiillivellodirischiononèaccettabile(anchesullabasediincidentiomancatiincidenti);valutarel'impattodelladismissionebilanciandolarapiditàdisostituzioneconlenecessitàd'usodelsw legateallapraticaclinica.

23

• TheCenterforInternetSecurity• CriticalSecurityControlsforEffectiveCyberDefense

• Version6.1• August31,2016

24

• CSC1:InventoryofAuthorizedandUnauthorizedDevices• CSC2:InventoryofAuthorizedandUnauthorizedSoftware• CSC3:SecureConfigurationsforHardwareandSoftwareonMobileDevices,Laptops,Workstations,andServers• CSC4:ContinuousVulnerabilityAssessmentandRemediation• CSC5:ControlledUseofAdministrativePrivileges• CSC6:Maintenance,Monitoring,andAnalysisofAuditLogs• CSC7:EmailandWebBrowserProtections• CSC8:MalwareDefenses• CSC9:LimitationandControlofNetworkPorts,Protocols,andServices• CSC10:DataRecoveryCapability• CSC11:SecureConfigurationsforNetworkDevicessuchasFirewalls,Routers,andSwitches• CSC12:BoundaryDefense• CSC13:DataProtection• CSC14:ControlledAccessBasedontheNeedtoKnow• CSC15:WirelessAccessControl• CSC16:AccountMonitoringandControl• CSC17:SecuritySkillsAssessmentandAppropriateTrainingtoFillGaps• CSC18:ApplicationSoftwareSecurity• CSC19:Incident Response andManagement• CSC20:PenetrationTestsandRedTeamExercises

25

REGOLAMENTOUEDISPOSITIVIMEDICI

• Regolamento(UE)2017/745delParlamentoeuropeoedelConsiglio,del5aprile2017,relativoaidispositivimedici,chemodificaladirettiva2001/83/CE,ilregolamento(CE)n.178/2002eilregolamento(CE)n.1223/2009echeabrogaledirettive90/385/CEEe93/42/CEEdelConsiglio

26

Articolo2Definizioni

• Aifinidelpresenteregolamentosiapplicanoleseguentidefinizioni:

• 1)«dispositivomedico»:qualunquestrumento,apparecchio,apparecchiatura,software,impianto,reagente,materialeoaltroarticolo,destinatodalfabbricanteaessereimpiegatosull'uomo,dasolooincombinazione,perunaopiùdelleseguentidestinazionid'usomedichespecifiche:

• —• diagnosi,prevenzione,monitoraggio,previsione,prognosi,trattamentooattenuazionedimalattie,….

27

Articolo2Definizioni

• 4) «dispositivoattivo»:qualsiasidispositivoilcuifunzionamentodipendedaunafontedienergiadiversadaquellageneratadalcorpoumanopertalescopoodallagravitàecheagiscemodificandoladensitàditaleenergiaoconvertendola.Idispositividestinatiatrasmettere,senzamodifichedirilievo,l'energia,lesostanzeoaltrielementitraundispositivoattivoeilpazientenonsonoconsideratidispositiviattivi.

• Ancheilsoftwareèconsideratoundispositivoattivo;••

28

Articolo2Definizioni

• 25) «compatibilità»:lacapacitàdiundispositivo,compresoilsoftware,quandoutilizzatoinsiemeaunoopiùaltridispositivi,conformementeallasuadestinazioned'uso,di:

• conseguireleprestazionisenzaperderenécomprometterelacapacitàdifunzionarecomeprevisto;e/o

• essereintegratoe/ofunzionaresenzachesianecessariomodificareoadattarealcunapartedeidispositivicombinati;e/o

• essereutilizzatoinsiemeadaltridispositivisenzaconflitti/interferenzeoreazioniavverse;

29

Articolo2Definizioni

• 26) «interoperabilità»:lacapacitàdidueopiùdispositivi,compresoilsoftware,dellostessofabbricanteodifabbricantidiversidi:

• scambiareinformazionieutilizzareleinformazioniscambiateaifinidellacorrettaesecuzionediunafunzionespecificasenzamodificadelcontenutodeidati;e/o

• comunicaretradiloro;e/o• funzionarecongiuntamentecomeprevisto;

30

ALLEGATOIREQUISITIGENERALIDISICUREZZAEPRESTAZIONE

CAPOIREQUISITIGENERALI

• 1. Idispositivifornisconoleprestazioniprevistedallorofabbricanteesonoprogettatiefabbricatiinmodoche,innormalicondizionid'uso,sianoadattiallalorodestinazioned'uso.Essisonosicuriedefficacienoncompromettonolostatoclinicoolasicurezzadeipazienti,nélasicurezzaelasalutedegliutilizzatoriedeventualmentedialtrepersone,fermorestandocheglieventualirischiassociabilialloroutilizzosonoaccettabili,consideratiibeneficiapportatialpaziente,ecompatibiliconunelevatolivellodiprotezionedellasaluteedellasicurezza,tenendocontodellostatodell'artegeneralmentericonosciuto.

• 2. Ilrequisitoprevistonelpresenteallegatodiridurreirischiperquantopossibileindicalariduzionedeirischiperquantopossibilesenzacompromettereilrapportobenefici-rischi.

• 3. Ifabbricantistabiliscono,implementano,documentanoemantengonounsistemadigestionedelrischio.

31

ALLEGATOIREQUISITIGENERALIDISICUREZZAEPRESTAZIONE

CAPOIIREQUISITIRELATIVIALLAPROGETTAZIONE EALLAFABBRICAZIONE• 14.Fabbricazionedeidispositivieinterazioneconilloroambiente

• 14.2. Idispositivisonoprogettatiefabbricatiinmodotaledaeliminareoridurreperquantopossibile:

• irischiassociatiallapossibileinterazionenegativatrailsoftwareel'ambientetecnologico(«ambienteIT»)incuioperaeinteragisce;

32

ALLEGATOIREQUISITIGENERALIDISICUREZZAEPRESTAZIONE

CAPOIIREQUISITIRELATIVIALLAPROGETTAZIONEEALLAFABBRICAZIONE• 17.Sistemielettroniciprogrammabili— dispositivicontenentisistemielettroniciprogrammabiliesoftwarechecostituisconodispositiviaséstanti

• 17.1. Idispositivicontenentisistemielettroniciprogrammabili,compresiisoftware,oisoftwarechecostituisconodispositiviaséstanti,sonoprogettatiinmodotaledagarantirelariproducibilità,l'affidabilitàeleprestazioniinlineaconladestinazioned'usoperessiprevista.Incasodicondizionediprimoguastosonoprevistimezziadeguatipereliminareoridurre,perquantopossibile,irischichenederivanooilpeggioramentodelleprestazioni

33

ALLEGATOIREQUISITIGENERALIDISICUREZZAEPRESTAZIONE

CAPOIIREQUISITIRELATIVIALLAPROGETTAZIONE EALLAFABBRICAZIONE• 17.Sistemielettroniciprogrammabili—dispositivicontenentisistemielettroniciprogrammabiliesoftwarechecostituisconodispositiviaséstanti

• 17.2. Peridispositivicontenentiunsoftwareoperisoftwarechecostituisconodispositiviaséstanti,ilsoftwareèsviluppatoefabbricatoconformementeallostatodell'arte,tenendocontodeiprincipidelciclodivitadellosviluppo,dellagestionedelrischio,compresalasicurezzadelleinformazioni,dellaverificaedellaconvalida.

34

ALLEGATOIREQUISITIGENERALIDISICUREZZAEPRESTAZIONE

CAPOIIREQUISITIRELATIVIALLAPROGETTAZIONEEALLAFABBRICAZIONE• 17.Sistemielettroniciprogrammabili— dispositivicontenentisistemielettroniciprogrammabiliesoftwarechecostituisconodispositiviaséstanti

• 17.3. Isoftwaredicuialpresentepuntodestinatiaessereusatiincombinazioneconpiattaformedicalcolomobilisonoprogettatiefabbricatitenendocontodellepeculiaritàdellapiattaformamobile(adesempiodimensioniegradodicontrastodelloschermo)edifattoriesterniconnessiallorouso(variazioniambientalirelativeallivellodiluceodirumore).

35

ALLEGATOIREQUISITIGENERALIDISICUREZZAEPRESTAZIONE

CAPOIIREQUISITIRELATIVIALLAPROGETTAZIONE EALLAFABBRICAZIONE• 17.Sistemielettroniciprogrammabili—dispositivicontenentisistemielettroniciprogrammabiliesoftwarechecostituisconodispositiviaséstanti

• 17.4. Ifabbricantiindicanorequisitiminimiinmateriadihardware,caratteristichedelleretiinformaticheemisuredisicurezzainformatica,compresalaprotezionecontrol'accessononautorizzato,necessari perfarfunzionareilsoftwarecomeprevisto.

36

ALLEGATOIREQUISITIGENERALIDISICUREZZAEPRESTAZIONE

CAPOIIREQUISITIRELATIVIALLAPROGETTAZIONE EALLAFABBRICAZIONE

• 18.Dispositiviattiviedispositiviaessicollegati

• 18.8. Idispositivisonoprogettatiefabbricatiinmodotaledaproteggerli,perquantopossibile,daaccessinonautorizzatichepotrebberoimpedirelorodifunzionarecomeprevisto.

37

ALLEGATOIREQUISITIGENERALIDISICUREZZAEPRESTAZIONE

CAPOIIIREQUISITIRIGUARDANTILEINFORMAZIONIFORNITECONILDISP.• 23.Etichetteeistruzioniperl'uso• 23.4.Informazionicontenutenelleistruzioniperl'uso

• Ater)peridispositivichecontengonosistemielettroniciprogrammabili,compresounsoftware,operisoftwarechecostituisconodispositiviaséstanti,requisitiminimiinmateriadihardware,caratteristichedelleretiinformaticheemisuredisicurezzainformatica,compresalaprotezionecontrol'accessononautorizzato,necessariperfarfunzionareilsoftwarecomeprevisto.

38

ALLEGATOVIINFORMAZIONIDAPRESENTAREPREVIAREGISTRAZIONEDEIDISPOSITIVIEDEGLI

OPERATORIECONOMICI…;DATIDIBASEDAFORNIREALLABANCADATIUDIUNITAMENTEALL'IDENTIFICATIVODELDISPOSITIVOUDI-DI…;ESISTEMAUDI

• PARTEC• SISTEMAUDI6.5. Software6.5.1. Criteri di attribuzione dell'UDIL'UDI è attribuito al livello di sistema del software. Sonosoggetti a questo requisito solo i software disponibiliseparatamente in commercio e quelli che costituisconodispositivi a sé stanti.

39

ALLEGATOVIINFORMAZIONIDAPRESENTAREPREVIAREGISTRAZIONEDEIDISPOSITIVIEDEGLI

OPERATORIECONOMICI…;DATIDIBASEDAFORNIREALLABANCADATIUDIUNITAMENTEALL'IDENTIFICATIVODELDISPOSITIVOUDI-DI…;ESISTEMAUDI

• PARTEC• SISTEMAUDI6.5. Software6.5.2. È necessario un nuovo UDI-DI ogniqualvoltaintervenga una modifica che muti:a) le prestazioni originali,b) la sicurezza o l'uso previsto del software,c) l'interpretazione dei dati.Tali modifiche comprendono algoritmi nuovi o modificati,strutture di basi di dati, la piattaforma operativa,l'architettura o nuove interfacce utente o nuovi canali perl'interoperabilità. 40

ALLEGATOVIINFORMAZIONIDAPRESENTAREPREVIAREGISTRAZIONEDEIDISPOSITIVIEDEGLI

OPERATORIECONOMICI…;DATIDIBASEDAFORNIREALLABANCADATIUDIUNITAMENTEALL'IDENTIFICATIVODELDISPOSITIVOUDI-DI…;ESISTEMAUDI

• PARTEC• SISTEMAUDI6.5. Software6.5.3. le revisioni del software di modesta entitàrichiedono un nuovo UDI-PI e non un nuovo UDI-DI.Le revisioni del software di modesta entità sono in genereassociate a correzioni di bug, miglioramenti dell'usabilitàche non siano a fini di sicurezza, patch di sicurezza oall'efficienza operativa.Le revisioni del software di minore entità sono identificatemediante una modalità di identificazione specifica delfabbricante. 41

ALLEGATOVIIIREGOLEDICLASSIFICAZIONE

CAPOIDEFINIZIONISPECIFICHEALLEREGOLEDICLASSIFICAZIONE

• 2.5«Dispositivoattivodestinatoalladiagnosiealcontrollo»:qualsiasidispositivoattivoutilizzatodasolooincombinazioneconaltridispositivi,destinatoafornireinformazioniriguardantil'individuazione,ladiagnosi,ilcontrollooiltrattamentodistatifisiologici,statidisalute,malattieomalformazionicongenite.

42

ALLEGATOVIIIREGOLEDICLASSIFICAZIONE

CAPOIIREGOLEDIAPPLICAZIONE

• 3.3Ilsoftwaredestinatoafarfunzionareundispositivooainfluenzarnel'usorientranellastessaclassedeldispositivo.

• Seilsoftwarenonèconnessoconnessunaltrodispositivo,èclassificatoseparatamente.

43

ALLEGATOVIIIREGOLEDICLASSIFICAZIONE

CAPOIIIREGOLEDICLASSIFICAZIONE

• 6.DISPOSITIVIATTIVI• 6.3. Regola11• Ilsoftwaredestinatoafornireinformazioniutilizzateperprendere

decisioniafinidiagnosticioterapeuticirientranellaclasse IIa,amenochetalidecisioniabbianoeffettitalidapotercausare:

• ildecessooundeterioramentoirreversibiledellecondizionidisalutediunapersona,nelqualcasorientranellaclasse III,o

• ungravedeterioramentodellecondizionidisalutediunapersonaouninterventochirurgico,nelqualcasorientranellaclasse IIb.

• Ilsoftwaredestinatoamonitorareiprocessifisiologicirientranellaclasse IIa,amenochesiadestinatoamonitorareiparametrifisiologicivitali,ovelanaturadellevariazionididettiparametrisiataledapotercreareunpericoloimmediatoperilpaziente,nelqualcasorientranellaclasse IIb.

• Tuttiglialtrisoftwarerientranonellaclasse I.44

ALLEGATOVIIIREGOLEDICLASSIFICAZIONE

CAPOIIIREGOLEDICLASSIFICAZIONE

• 7. REGOLESPECIALI• 7.4. Regola17• IdispositividestinatispecificamentearegistrareleimmaginidiagnosticheottenutemedianteradiazionearaggiXrientranonellaclasse IIa.

45

HIMSS/NEMAStandardHN1-2013ManufacturerDisclosureStatementforMedicalDeviceSecurity

Èindispensabilelacollaborazionetraproduttoreeutilizzatore

46

47

48

49

50