מהפכת הסייבר של ה-FDA: כך תעמדו בדרישות החדשות למכשור רפואי ב-2025

 פתיחה

בשנת 2025, ה‑FDA פרסם ב־27 ביוני הנחיה חדשה וחשובה בשם “Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions”, שמחליפה את הגרסה מ‑2023 ומגדירה לראשונה באופן ברור ומחייב את תפיסת ה־“מכשיר סייבר” (cyber device), כולל תנאי פיקוח רלוונטיים תחת סעיף 524B ב‑FD&C Act.

אם אתם מפתחים, מנהלים או מוודאים איכות ארגונית ביחידה לפיתוח מכשור רפואי, מדובר בשינוי פרדיגמה קריטי: כיום, סייבר נחשב לחלק בלתי נפרד מאבטחת המטופל והיעילות הטיפולית. הפוסט הזה עוסק באיך להטמיע את דרישות ה‑FDA בפרקטיקה שלכם, תוך שילוב בין אסטרטגיה, מסמכים, תהליכים וכלים.

רקע והקשר רגולטורי

במסגרת FDORA (Food and Drug Omnibus Reform Act של 2022), נכנס לתוקף סעיף 524B בחוק ה‑FD&C Act החל מ־29 במרץ 2023, שמגדיר מי נחשב ⁣“cyber device” ומחייב הגשה של תיעוד סייבר במסגרת בקשות לפני שיווק (510(k), PMA, De Novo ועוד).

ההנחיה החדשה מ‑2025 מציינת במפורש שגרסתה חלה גם על גרסאות מוקדמות של מכשירים עם שינויים בתוכנה או חיבוריות, והגשה חלקית עלולה להידחות באופן מידי (Refuse to Accept).

ב‑2 בפברואר 2026 צפוי לצאת לתוקף תיקון לרגולציית מערכת האיכות (Quality System Regulation, 21 CFR Part 820) שתאזן אותה עם ISO 13485:2016 – ראש לציון לכך שסייבר הופך לתנאי מערכת איכות, לא רק היבט טכני.

טעויות נפוצות

  1. הגדרה מוטעית של כלי כ‑"לא מכשיר סייבר": גם אם המכשיר לא תוכנן עם חיבור אינטרנט, אך יש לו פוטנציאל להתחבר (USB, Wi‑Fi, Bluetooth וכו'), הוא נחשב cyber device.
  2. הפרדה בלתי ברורה בין ניהול סיכוני בטיחות (ISO 14971) לניהול סיכוני סייבר: FDA דורש שני מסמכים נפרדים – אך מחברים ביניהם.
  3. אי-הגשה של SBOM (Software Bill of Materials): ההנחיות החדשות דורשות SBOM קריא מכונה ואדם לכל רכיב בתוכנה.
  4. לא ביצוע threat modeling בשלבים המוקדמים של עיצוב: השלב הזה הוא בסיס ל-SPDF ויש לבצע אותו בשיתוף צוותי עיצוב, פיתוח וסייבר.
  5. דלג על תיעוד של postmarket vulnerability handling: חובה להציג תוכנית לניטור, triage, תיקונים ועדכונים בטוחים בפוסט־שיווק.

צעדים נכונים ליישום

1. זיהוי האם מדובר באמת ב‑“cyber device”

תשובות חיוביות מתחייבות לפי §524B(c):

  • מכיל תוכנה/firmware או programmable logic
  • יכול להתחבר לאינטרנט (ישירות או עקיפה)
  • חשוף לאיומי סייבר דרך התוכנה או החומרה

2. הטמעת SPDF – Secure Product Development Framework

SPDF היא מסגרת אחידה שמחברת בין פיתוח מוצר, ניהול סיכונים וסייבר לאורך כל מחזור החיים. היא כוללת:

  • security requirements בשלבי תכנון
  • threat modeling & risk assessments
  • secure coding, code review, penetration testing, SBOM
  • תוכנית עדכון ו‑patch management
  • תכנון תגובה לאירועים – incident response

3. ביצוע מודל איום ו־Threat Modeling

השתמשו ב‑DFD (Data Flow Diagram) מסוג DFD3 לפי Adam Shostack לציור המערכת והסביבה. הציבו Trust Boundaries והגדירו את נקודות השבר. השתמשו בדגם STRIDE לזיהוי איומים בכל רכיב או ממשק.

4. ניהול סיכון סייבר (Security Risk Assessment)

צרו טבלת Cybersecurity Risk Assessment:

  • נכס (Asset)
  • איום (Threat)
  • פגיעות (Vulnerability)
  • השפעה (Impact)
  • ניקוד CVSS

5. בחירת ויישום אמצעי בקרה (Security Risk Controls)

הכללים צריכים לכסות לפחות את התחומים:

  • Authentication
  • Authorization
  • Cryptography
  • Data/code integrity
  • Confidentiality
  • Logging
  • Resiliency & Recovery
  • Updatability & Patchability

6. בדיקות ואימות (Verification & Validation)

מעבר לוולידציה רגילה:

  • penetration testing
  • fuzzing, static/dynamic analysis
  • בדיקות SBOM ושרשראות אספקה
  • usability testing של הוראות אבטחה למשתמש

7. תיוג והנחיות תפעול למשתמש (Labeling)

ספקו מידע למשתמש הכולל הוראות שילוב סביבות, תפעול עדכוני סייבר, הערות לגבי הגבלות סביבה, ומשימות אבטחה.

8. טיפול לאחר ההשקה – Postmarket Plan

הגישו תוכנית ניטור פגיעויות, תהליך triage, cadence לתיקונים, התראות למשתמשים, ותיעוד ב‑DHF.

סיפור מקרה מהשטח

חברת X מפתחת מקרר תרופות עם חיבור Wi‑Fi לתיעוד טמפרטורה. היא:

  • ביצעה DFD כולל סביבה בבתי חולים
  • זיהתה Tampering דרך STRIDE
  • יישמה TLS ו‑client certificate
  • ערכה בדיקות חדירה ותיקנה פגיעות USB
  • סיפקה למשתמשים מדריך label ברור לעדכונים והגנה

שאלות נפוצות (FAQ)

ש: האם ההנחיה מחייבת ISO 13485? ת: לא, אך התאמת QMS תהיה הכרחית עם כניסת התקנות החדשות ב‑2026.

ש: האם חובה להגיש SBOM? ת: כן – נדרש גם לגרסאות עם תוכנה חלקית.

ש: האם GUI חדש מחייב הגשה? ת: תלוי אם שונה רכיב תוכנה/חיבור המשפיע על סייבר.

סיכום וקריאה לפעולה

ההנחיה של ה‑FDA היא קריאה למעבר מאבטחה כגימיק לאבטחה כמנוע איכות.

מה לעשות עכשיו?

  • ודאו שהמכשיר עונה להגדרת cyber device
  • הטמיעו SPDF
  • בצעו threat modeling עם STRIDE ו‑CVSS
  • הכינו SBOM מלא
  • שלבו תוכנית פוסט־שיווק, עדכונים ובדיקות עצמאיות


שלבי תהליך הביקורת: הכנה, ביצוע ודיווח

מבדק פנימי: מדריך אסטרטגי לתכנון, ביצוע ודיווח אפקטיביים

By Ronit Sade September 4, 2025
מדריך יסודי לביקורת פנים – תכנון, ביצוע, דיווח – כולל עקרונות ISO 19011, צעדים מעשיים, וטיפים לשיפור משמעותי.
מנהל איכות מציג שקף על ISO 900 בפני הנהלה

כך תתכוננו לשינויים בתקני ISO 9000 ו-ISO 9001: מדריך מקצועי

By Ronit Sade August 21, 2025
לקראת שנת 2026 תקני ISO 9000 ו-9001 עוברים עדכון מהותי. גלו מהם השינויים, כיצד להתכונן אליהם, ומה המשמעות לארגון שלכם.
מנהל איכות מציג תכנית שיפור מול הנהלה

7 צעדים להפוך למנהל איכות שמשפיע באמת

By Ronit Sade August 14, 2025
נמאס לך לנהל איכות רק לצורך תעודה? גלה כיצד להפוך למנהל איכות אפקטיבי, שמוביל תוצאות אמיתיות בארגון. 7 צעדים פשוטים – עם השפעה גדולה.
יועצת סתכלת על מסך של ERP

מעבר לבדיקות: הסוד לתרבות ייצור מונחית איכות

By Ronit Sade August 7, 2025
איכות לא נמדדת רק בסוף הקו – היא נבנית לאורך כל הדרך. גלו איך ERP מטמיעה תרבות איכות אמיתית, בזמן אמת, בכל שלב בתהליך הייצור.
במפעל מזון בוחנים תכנית בטיחות

מי חייב בתכנית בטיחות מזון? מדריך לעסקים קטנים

By Ronit Sade August 2, 2025
מי חייב בתכנית בטיחות מזון? מהם שלבי ההכנה? מדריך מעשי לעסקים קטנים ובינוניים שרוצים לייצר מזון בטוח, למנוע ריקולים ולחזק את המותג.
סמל מגן על רקע דיגיטלי עם כיתוב

🟦 איך להיערך לתיקון 13 בחוק הגנת הפרטיות: מדריך DPO מתוחכם לארגונים

By Ronit Sade July 24, 2025
דריך יישומי לממוני פרטיות על תיקון 13 שנכנס לתוקף באוגוסט 2025 – מה נדרש, מה הסיכונים, ואיך להיערך נכון וללא קנסות.

שימוש בביקורות בטיחות מזון לזיהוי סיכונים

By Ronit Sade July 17, 2025
ביקורות בטיחות מזון הן כלי אסטרטגי לאיתור סיכונים ושיפור מתמיד בתהליכי הייצור. בפוסט זה נעמוד על ההבדלים בין ביקורת לפיקוח רגיל, נבחן כיצד ניתן לנהל כשלים ולמנוע סיכונים, ונלמד איך להתכונן לביקורות בצורה היעילה ביותר. כל זאת כדי להבטיח מוצרי מזון בטוחים ואיכותיים שמתאימים לדרישות רגולציה ולציפיות הצרכנים.
צוות עובדים בלבוש עבודה עומדים סביב שולחן עבודה במפעל או משרד, אחד מהם מצביע על מסמך או לוח עם דוח

סוגרים את המעגל: איך הדרכה ועבודה בשטח מבטיחים תוצאות

By Ronit Sade July 10, 2025
"גלו איך שילוב נכון בין ביקורות (אודיטים) והדרכה מעשית במקום העבודה מבטיח סגירת מעגל אמיתית, מונע תקלות חוזרות ומקדם איכות ביצועית לאורך זמן."
האיור מציג עסק קטן/בינוני בסגנון מקצועי ונקי, עם דגש על אמינות ואיכות. בתמונה מופיעה: בניין או משרד

5 הטעויות הנפוצות של עסקים קטנים בתהליך קבלת תעודת ISO ואיך להימנע מהן

By Ronit Sade July 3, 2025
"גלו את חמש הטעויות הנפוצות שעסקים קטנים עושים בתהליך קבלת תעודת ISO ואיך להימנע מהן בקלות. ייעוץ מקצועי, טיפים מעשיים וסיפור הצלחה אמיתי שישדרגו את האמינות וההזדמנויות העסקיות שלכם." תיאור כזה תמציתי ומשכנע, כולל מילות מפתח רלוונטיות כמו "עסקים קטנים", "תעודת ISO", "טעויות נפוצות", ו"ייעוץ מקצועי", ומשפר את הסיכוי לה

נוהל חירום: לא רק המלצה, אלא הכרח ישראלי

By Ronit Sade June 26, 2025
בישראל של 2025, מצב חירום הוא לא שאלה של אם אלא של מתי. ולמרות ש־ISO 9001 לא מחייב נוהל חירום – האחריות שלנו כמנהלים מחייבת הרבה מעבר. בפוסט הזה תגלו למה כל ארגון בישראל צריך לכלול נוהל חירום כחלק בלתי נפרד ממערכת האיכות שלו – ואיך זה משתלב בדיוק עם דרישות התקן. 🔍 מה לכלול בנוהל? ⚠ איך זה עוזר לכם לעבור מבדקים? 📉 וא