Recursos
/
Blog
/
Artigo
Artigo do Blog

Novos Padrões de Cibersegurança em Dispositivos Médicos

A elevação dos padrões de cibersegurança para dispositivos médicos exige a conformidade dos fabricantes com as novas regulamentações globais.

Escrito por:
Publicado em:
11 de março de 2024

O Cenário em Evolução das Regulamentações de Cibersegurança para Dispositivos Médicos

A gestão da cibersegurança de seus produtos por parte das empresas de dispositivos médicos tem sido uma expectativa significativa das autoridades regulatórias há muitos anos.

Para auxiliar nesse processo nos EUA, a FDA publicou seu primeiro guia sobre cibersegurança de dispositivos médicos em 2005. Ele abordava a Cibersegurança para Dispositivos Médicos em Rede Contendo Software de Prateleira (OTS).

Isso foi seguido em 2014 pelo guia sobre Conteúdo de Submissões de Pré-mercado para Gestão de Cibersegurança em Dispositivos Médicos e pelo guia sobre Gestão de Pós-mercado de Cibersegurança em Dispositivos Médicos. Embora úteis, as recomendações desses documentos foram consideradas insuficientes e pouco rigorosas.

No entanto, desde a aprovação da Lei de Apropriações Consolidadas do Governo dos EUA de 2023 e do guia atualizado de 2023 da FDA sobre Cibersegurança em Dispositivos Médicos: Considerações do Sistema de Qualidade e Conteúdo de Submissões de Pré-mercado, o patamar da cibersegurança foi elevado. O guia de pré-mercado de 2023 substitui o guia de pré-mercado de 2014, que havia sido atualizado em versões preliminares em 2018 e 2022.

Ao longo dos anos, o guia de pré-mercado da FDA passou por uma evolução significativa, desde o documento de 9 páginas um tanto limitado de 2014 até o agora abrangente guia de 57 páginas de 2023.

A Lei de Apropriações Consolidadas de 2023 converteu o que historicamente fora uma abordagem de "recomendações" menos formal nos guias da FDA sobre cibersegurança de dispositivos médicos em exigências legais e estatutárias, por meio da aprovação da referida Lei.

Por exemplo, por força de lei, a Seção 3305 da Lei de Apropriações Consolidadas exige que o patrocinador (por exemplo, uma empresa de dispositivos médicos) de uma petição de registro ou submissão (por exemplo, uma submissão de pré-mercado 510(k)) deverá:

  1. Submeter um plano para monitorar, identificar e tratar vulnerabilidades e explorações (exploits) de cibersegurança pós-mercado, incluindo a divulgação coordenada de vulnerabilidades e procedimentos correlatos;
  2. Projetar, desenvolver e manter processos e procedimentos para fornecer uma garantia razoável de que o dispositivo e os sistemas relacionados sejam ciberseguros, além de disponibilizar atualizações e patches pós-mercado para o dispositivo e sistemas relacionados para tratar de:
    • Em um ciclo regular razoavelmente justificado, vulnerabilidades inaceitáveis conhecidas
    • E, o mais rápido possível e fora de ciclo, vulnerabilidades críticas que possam causar riscos incontroláveis
  3. Fornecer ao Secretário uma lista de componentes de software (software bill of materials), incluindo componentes de software comerciais, de código aberto e prontos para uso (off-the-shelf); e
  4. cumprir com outros requisitos que o Secretário possa exigir por meio de regulamentação para demonstrar garantia razoável de que o dispositivo e sistemas relacionados são ciberseguros.

Mudança Global em Direção ao Fortalecimento da Cibersegurança de Dispositivos Médicos

Particularmente notáveis na Lei de Apropriações Consolidadas são as exigências para o plano de cibersegurança pós-mercado e a lista de componentes de software (software bill of materials), que historicamente não eram enfatizados nas submissões regulatórias dos EUA. Estes exigem um esforço significativo desde as fases iniciais do desenvolvimento de um dispositivo médico. Além disso, conforme o guia de pré-mercado de 2023, as submissões de pré-mercado passarão a exigir a inclusão de resultados de testes de intrusão (penetration testing) e exercícios de modelagem de ameaças (threat modeling), que também demandam esforço e custos substanciais.

Expectativas mais rigorosas em relação à cibersegurança não se limitam aos EUA. A Diretiva 2022/2555 da UE sobre a Segurança de Redes e Sistemas de Informação (“NIS2”) agora estabelece medidas de gestão de riscos de cibersegurança e requisitos de notificação para fabricantes de produtos médicos, incluindo produtos químicos (APIs), farmacêuticos e dispositivos médicos.

Semelhante aos EUA, o guia de cibersegurança de dispositivos médicos de 2022 para a indústria da Therapeutic Goods Administration da Austrália preconiza uma abordagem de ciclo de vida total do produto (TPLC) para a gestão da cibersegurança. Também requer a realização de testes de intrusão e modelagem de ameaças como parte do processo de gestão e avaliação de risco do dispositivo.

E Singapura anunciou em 2022 que planeja implementar um Esquema de Rotulagem de Cibersegurança para Dispositivos Médicos - CLS-MD. O esquema de rotulagem está atualmente em um período de "sandbox" ou de teste. O sistema baseia-se na classificação dos dispositivos médicos de acordo com quatro níveis de provisões e avaliações de cibersegurança.

O selo de cibersegurança para dispositivos médicos forneceria uma indicação do nível de segurança nos dispositivos. Embora atualmente seja voluntário, esse novo esquema demonstra a séria preocupação do governo de Singapura com a cibersegurança de dispositivos médicos.

Além dos exemplos acima, há uma conscientização crescente sobre a necessidade de manter os dispositivos médicos "ciberseguros" em todo o mundo, incluindo iniciativas globais do internacional Medical Device Regulators Forum para produzir excelentes documentos técnicos sobre Princípios e Práticas para Cibersegurança de Dispositivos Médicos, Princípios e Práticas para a Cibersegurança de Dispositivos Médicos Legados e Princípios e Práticas para Software Bill of Materials para Cibersegurança de Dispositivos Médicos.

Se você está desenvolvendo ou já possui um dispositivo médico com software, especialmente se o dispositivo puder ser conectado eletronicamente a outros dispositivos ou a uma rede, é necessário levar a cibersegurança a sério e compreender plenamente os requisitos e expectativas de cibersegurança em qualquer região na qual você esteja vendendo ou pretenda vender. Se desejar suporte para navegar em sua conformidade regulatória global de cibersegurança, sinta-se à vontade para entrar em contato com a Pure Global para obter assistência.

Leia mais

Vamos conversar,
Onde quer que você esteja.

Quer esteja procurando mais informações ou pronto para ser nosso parceiro, estamos aqui para orientá-lo em todas as etapas do processo regulatório.

Fale conosco