Cyber Resilience Act, dispositifs médicaux et AI Act – Une perspective intégrée de la cybersécurité et de l’IA dans le secteur de la santé

Le MDR exige déjà une sécurité tout au long du cycle de vie des dispositifs médicaux. L’ARC étend cela avec des exigences de sécurité détaillées pour les dispositifs connectés, qui s’appliquent également aux applications d’IA médicale. Un contrôle continu de la sécurité informatique et une documentation sont indispensables pour éviter les failles de sécurité.

L’AI Act impose des exigences strictes en matière de gestion des risques et de transparence des algorithmes d’IA. Les dispositifs médicaux avec des composants d’IA doivent donc non seulement répondre aux exigences de sécurité médicale du MDR, mais aussi s’assurer que leurs algorithmes fonctionnent de manière robuste, équitable et transparente. En outre, l’AI Act exige que ces systèmes d’IA soient conçus de manière contrôlable et traçable, ce qui est particulièrement vrai pour leur utilisation dans des applications médicales critiques.

Le CRA et l’AI Act exigent tous deux des évaluations de conformité. Pour de nombreux produits, il sera nécessaire d’obtenir un marquage CE qui combine les exigences de cybersécurité et d’utilisation de l’IA.

L’obligation de tenir un SBOM n’est pas seulement pertinente pour la conformité CRA, elle est également utile pour la surveillance des composants pour les applications d’IA. En particulier pour les logiciels d’IA qui utilisent souvent des bibliothèques open source, la documentation de tous les modules utilisés est essentielle pour identifier les failles de sécurité.

L’AI Act exige, en cas de risque élevé, une explication compréhensible et une transparence des processus d’IA. Combinés aux exigences de l’ARC, les produits du secteur de la santé doivent donc surveiller et contrôler attentivement les risques à la fois techniques et éthiques.