Nuevos estándares en ciberseguridad para desarrolladores médicos
Elevar los estándares de ciberseguridad para dispositivos médicos requiere que los fabricantes cumplan con las nuevas regulaciones globales.
El panorama en evolución de las regulaciones de ciberseguridad de dispositivos médicos
La gestión de la ciberseguridad de sus productos por parte de una empresa de dispositivos médicos ha sido una expectativa importante entre las autoridades reguladoras durante muchos años.
Para ayudar con eso en US, FDA publicó su primera guía sobre ciberseguridad de dispositivos médicos en 2005. Cubría Ciberseguridad para dispositivos médicos en red que contienen software disponible en el mercado (OTS).
A esto le siguió en 2014 una orientación sobre Contenido de las presentaciones previas a la comercialización para la gestión de la ciberseguridad en dispositivos médicos y una orientación sobre Gestión poscomercialización de la ciberseguridad en dispositivos médicos. Aunque útiles, las recomendaciones de estos documentos se han considerado insuficientes y poco rigurosas.
Sin embargo, desde la aprobación del 2023 US Ley de Asignaciones Consolidadas del Gobierno y la guía actualizada de 2023 de FDA sobre Ciberseguridad en dispositivos médicos: consideraciones sobre el sistema de calidad y contenido de las presentaciones previas a la comercialización, se ha elevado el listón de la ciberseguridad. La guía previa a la comercialización de 2023 reemplaza la guía previa a la comercialización de 2014, que se había actualizado en borradores en 2018 y 2022.
A lo largo de los años, la guía previa a la comercialización de FDA experimentó una evolución significativa desde el documento algo limitado de 9 páginas de 2014 hasta la guía ahora completa de 57 páginas de 2023.
La Ley de Asignaciones Consolidadas de 2023 hizo la transición de lo que históricamente ha sido un enfoque de “recomendaciones” menos formal en la guía de FDA sobre ciberseguridad de dispositivos médicos a requisitos basados en estatutos o leyes mediante la aprobación de la Ley.
Por ejemplo, por ley, la Sección 3305 de la Ley de Asignaciones Consolidadas exige que el patrocinador (por ejemplo, una empresa de dispositivos médicos) de una solicitud o presentación (por ejemplo, una presentación previa a la comercialización 510(k)) deberá:
- Presentar un plan para monitorear, identificar y abordar vulnerabilidades y exploits de ciberseguridad posteriores a la comercialización, incluida la divulgación coordinada de vulnerabilidades y procedimientos relacionados;
- Diseñar, desarrollar y mantener procesos y procedimientos para proporcionar una garantía razonable de que el dispositivo y los sistemas relacionados sean ciberseguros, y poner a disposición actualizaciones y parches posteriores a la comercialización para el dispositivo y los sistemas relacionados para abordar:
- En un ciclo regular razonablemente justificado, se conocen vulnerabilidades inaceptables
- Y lo antes posible fuera del ciclo, vulnerabilidades críticas que podrían provocar riesgos incontrolados.
- Proporcionar al Secretario una lista de materiales de software, incluidos componentes de software comerciales, de código abierto y disponibles en el mercado; y
- cumplir con otros requisitos que el Secretario pueda exigir mediante regulación para demostrar una seguridad razonable de que el dispositivo y los sistemas relacionados son ciberseguros.
Cambio global hacia el fortalecimiento de la ciberseguridad de los dispositivos médicos
Particularmente notables en la Ley de Asignaciones Consolidadas son los requisitos para el plan de ciberseguridad posterior a la comercialización y la lista de materiales del software, que históricamente no se han enfatizado en las presentaciones regulatorias de US. Estos requieren un gran esfuerzo desde las primeras etapas del desarrollo de un dispositivo médico. Además, a partir de la guía previa a la comercialización de 2023, las presentaciones previas a la comercialización ahora deberán incluir resultados de pruebas de penetración y ejercicios de modelado de amenazas, que también implican esfuerzos y costos sustanciales.
Las mayores expectativas en materia de ciberseguridad no se limitan únicamente al US. La Directiva 2022/2555 de EU sobre seguridad de redes y sistemas de información (NIS2) ahora exige medidas de gestión de riesgos de ciberseguridad y requisitos de presentación de informes para los fabricantes de productos médicos, incluidos productos químicos (API), productos farmacéuticos y dispositivos médicos.
Al igual que en el US, la Guía de seguridad cibernética de dispositivos médicos para la industria 2022 de la Therapeutic Goods Administration de Australia exige un enfoque del ciclo de vida total del producto (TPLC) para gestionar la ciberseguridad. También exige pruebas de penetración y modelado de amenazas como parte del proceso de evaluación/gestión de riesgos de un dispositivo.
Y Singapur anunció en 2022 que planea desplegar un Esquema de etiquetado de ciberseguridad para dispositivos médicos - CLS-MD. El esquema de etiquetado se encuentra actualmente en un “sandbox” o período de prueba. El esquema se basa en la clasificación de los dispositivos médicos de acuerdo con cuatro niveles de disposiciones y evaluaciones de ciberseguridad.
La etiqueta de ciberseguridad para dispositivos médicos proporcionaría una indicación del nivel de seguridad de los dispositivos médicos. Aunque actualmente es voluntario, este nuevo esquema demuestra la seria preocupación del gobierno de Singapur con la ciberseguridad de los dispositivos médicos.
Además de los ejemplos anteriores, existe una mayor concienciación sobre la necesidad de mantener los dispositivos médicos "ciberseguros" en todo el mundo, incluidas iniciativas globales del Foro Internacional de Reguladores de Dispositivos Médicos para producir excelentes documentos técnicos sobre Principios y prácticas para la ciberseguridad de dispositivos médicos, Principios y prácticas para la ciberseguridad de dispositivos médicos heredados, y Principios y prácticas para la lista de materiales de software para la ciberseguridad de dispositivos médicos.
Si está desarrollando o ya tiene un dispositivo médico con software, especialmente si el dispositivo se puede conectar electrónicamente a otros dispositivos o a una red, entonces debe tomar en serio la ciberseguridad y comprender completamente los requisitos y expectativas de ciberseguridad en cualquier región en la que esté o vaya a vender. Si desea ayuda para navegar por el cumplimiento global de la ciberseguridad, no dude en comunicarse con Pure Global para obtener ayuda.
Hablemos,
esté donde esté.
Ya sea que busque más información o esté listo para asociarse con nosotros, le guiaremos en cada paso del proceso regulatorio.
Contáctenos

