화요일 하원과 상원 세출 위원회가 발표한 4,100페이지에 달하는 1조 7,000억 달러 규모의 옴니버스 법안에서 3,305항은 의료 기기 사이버 보안을 대폭 강화하는 길을 열어줍니다. 이 법안은 또한 환자 안전이 연결된 의료 기기의 보안에 달려 있으며, 운영 중단은 환자 치료에 생명을 위협하는 지연을 초래할 수 있다는 점을 입법적으로 인정한 것입니다.
법안이 통과되면 관련 조항에 따라 미국 식품의약국(FDA)에 승인을 받기 위해 의료 기기를 제출하는 공급업체는 여러 사이버 보안 요건을 충족해야 합니다. 무엇보다도 이러한 요건은 정기적인 일정에 따라 시판 후 취약점을 해결하기 위한 구체적인 프로세스와 중요한 버그에 대한 대역 외 수정에 중점을 두고 있습니다. 이 법안은 또한 사이버 보안 문제를 더 잘 해결하기 위해 의료 기기에 사용되는 소프트웨어 구성 요소에 대한 투명성의 필요성을 명시하고 있습니다.
커넥티드 의료 기기에서 소프트웨어 사용이 증가함에 따라 올해 옴니버스에 포함된 사이버 보안 조항은 환자 안전을 보장하는 데 있어 중요한 진전입니다. 잘 구성된 코드에도 소프트웨어가 제대로 작동하는 데 영향을 미칠 수 있는 매우 영향력 있는 취약점이 있을 수 있으며, 타사 및 오픈 소스 소프트웨어의 사용이 급증하면서 의료 기기 제조업체는 환자 치료에 영향을 미칠 수 있는 익스플로잇을 인지하지 못할 수도 있습니다.
사이버 의료 보호 및 혁신(PATCH) 법안의 일부인 옴니버스 법안의 조항은 디바이스 제조업체가 90일 이내에 제품의 시판 후 취약점을 식별하고 대응할 수 있는 준비와 의지, 능력을 갖추도록 하는 중요한 지침을 제시하고 있습니다.
또 다른 조항은 장치 공급업체가 장치에 사용되는 모든 상용, 오픈 소스 및 기성 소프트웨어 구성 요소를 명시하는 소프트웨어 부품 명세서(SBOM)를 FDA에 제공하도록 요구합니다. 이 SBOM 요건을 통해 공급업체는 소프트웨어 구성에 활용하는 타사 구성 요소에 문제가 있는지 파악해야 할 의무가 더욱 강화됩니다. 의료 기기 제조업체는 더 이상 사용하는 소프트웨어의 보안 위험으로 인해 환자에게 발생할 수 있는 위험을 외면할 수 없습니다.
이 법안은 업계 및 CISA의 다양한 이해관계자에게 의견을 구한 후 의료기기 시판 전 제출에 관한 지침을 업데이트하여 한 걸음 더 나아갔습니다. 이를 통해 지침이 디지털 기술의 보안 문제와 관련하여 변화하는 특성을 따라잡을 수 있도록 했습니다.
연결성과 위협이 증가함에 따라 이 법안은 의료 서비스 제공 기관(HDO)이 사용하는 의료 기기의 보안에 대한 신뢰와 확신을 주기 위해 투명성을 요구합니다. SBOM을 제공하면 디바이스 제조업체가 제출하는 데이터의 투명성을 높일 수 있습니다.
내년 9월까지 정부에 자금을 지원할 것으로 예상되는 1조 7,000억 달러 규모의 옴니버스 법안은 상원의 승인을 거쳐 하원으로 넘어갑니다. 두 기관 모두 금요일에 정부 자금이 소진되기 전에 법안을 승인할 것으로 예상됩니다.
405(d) 태스크 그룹, 헬스케어, 의료 기기 사이버 보안을 위한 HICP 문서 업데이트
의료 기기 사이버 보안: HHS 405(d) 모범 사례 업데이트
데이터 침해 그 이상: '사이버 보안은 곧 환자 안전'
